ImperialViolet - Apple's SSL/TLS bug

Yesterday, Apple pushed a rather spooky security update for iOS that suggested that something was horribly wrong with SSL/TLS in iOS but gave no details. Since the answer is at the top of the Hacker News thread, I guess the cat's out of the bag already and we're into the misinformation-quashing stage now. So here's the Apple bug: static OSStatus SSLVerifySignedServerKeyExchange(SSLContext *ctx, bo

[atsushifx]

そのままクソコードに入るな。TogetterではC言語じゃなくC++にしろといっていたが、これはTDDやリファクタリングをきっちりしろという問題

[tetsutalow]

AppleのSSL/TLSバグの件。額に入れて飾りたいくらいの凡ミス。ツールで潰して欲しいよなぁ。コーディング規約でも防げたかも。

[koogawa]

やっぱり{}は省略しない方が良いね

[hush_puppy]

{}規約化不可避

[goinger]

これな

[side_tana]

"goto fail;" 案件だ

[t-wada]

最近各所で話題になっている "goto fail;" バグ

[ama-ch]

“goto fail;”

[stealthinu]

これは…　すんごくわかりやすく致命的なバグだわｗ

[mh615033891]

コーディング規約でブレースを強制するとですね、そのブレースがノイズになって逆に読みづらくなる人もいるんですよ。テストで防ごうよ。

[wyukawa]

例外機構が無いCならgotoを使うのは仕方無いと思うし、pythonじゃないんだから括弧書く方が良いとは思うが、それはそれとしてgoto failを実行して正常終了するコードってのも不思議な気が、、、failじゃないじゃん

[mad-p]

updateは常に成功する。検証はfinalを呼んだとき。ダブったgotoの結果、finalを実行せずにupdateの結果を返す。つまり検証しないで成功したと言っているわけだ。必ず！

[kaz_hiramatsu]

やりがち。でもテストでわかるよなあ

[tasanobu]

これは。。。

[naoto322]

ImperialViolet - Apple\'s SSL/TLS bug

[mohno]

リンク先のソースコードを見ると、ごく当たり前に goto 文が使われているな:-O

[cogen]

ひどいけど、こういうのはやっちまいがちだ。テストやレビューは大事だって事だな。

[nettabo]

これはひどい

[masakih]

　これは…

[nobuoka]

goto fail...!!!! ひー。

[hfmgarden]

これはやばいｗｗｗ

[ysks]

今日の更新で修正されたiOS/OSXのSSLのバグの原因。ありがちなミスのせいなのが怖い。

[Nyoho]

SSL のアップデートのところ(笑)