バッファ・オーバーフロー攻撃を防ぐ“万能薬”はあるか?
図3 例示したコードを悪用して戻りアドレスを書き換える様子 ポインタ渡しされているため,gets関数が直接buf配列に書き込める。標準のgets関数はバッファ・オーバーフロー問題を抱えるため,gets関数の戻りアドレスを書き換えられてしまう。 IT Pro読者の方なら,「バッファ・オーバーフロー」という言葉を何度も聞いたことがあるだろう。そう,代表的なセキュリティ・ホールの一つである。10月12日に公表されたWindows製品のセキュリティ・ホールの中にも,バッファ・オーバーフローに関するものが複数含まれる(関連記事)。 これらのセキュリティ情報を読んで,以前,バッファ・オーバーフローを悪用する攻撃(詳細については後述)を解説する記事を書いたときのことを思い出した。書き上げた記事を査読したデスクは,筆者に次のように問いかけた。「バッファ・オーバーフローを悪用して戻りアドレスが書き換え可能
可変長バッファの実装 (Codelogy)
ご存知のように、C/C++ の「配列」は、コンパイル時に (静的に) そのサイズを決定する必要があります。 そのため、動的配列を扱うには、C では malloc/free 系の関数、C++ では new/delete[] 演算子を利用することになるわけですが、 コードが 複雑になる 解放の手続きが面倒 (忘れるとメモリリークが発生) といった理由から、静的な配列 (固定長) が入出力用のバッファとして使用されてしまうことが少なくありません。 しかし、こうした横着はバッファオーバーラン (buffer overrun)というセキュリティ上の問題 (脆弱性) を引き起こします。 最近作られた言語では、可変長バッファを利用した入出力機構を (言語使用あるいは標準ライブラリとして) 備えているため、こうした問題が起こることは少ないようです。 それなら、C/C++ でも同じ機構を作ってそれを
C言語最大の欠点
1980年代、筆者が高校生・大学生だったころに「C言語がすごい」という話を友人から聞いていた。しかし、当時の筆者が触れていたのはMSXパソコンのBASICと大学の汎用機のFortranくらいだった。C言語をやっと手に入れたのは、1992年の暮れである。清水の舞台から飛び降りるような気持ちでBorland C++の大箱を買って帰った。 それから20年近くが経過した今でも、C言語は「最強のプログラミング言語」と呼ぶべきポジションを確保し続けている。UNIXオペレーティングシステムとC言語が世界に与えたインパクトの大きさは、実に大きなものがあった。 ただ、C言語を学習したり評価したりする際には、C言語の大きな欠点を知っておく必要があるだろう。筆者が考えるその大きな欠点とは、「文字列の扱いが非常に面倒」であることだ。 「バッファオーバーフロー」を回避するのは大変 例を示そう。図1はC言語で記述した
読みやすい日本語のSafariにしておく - ザリガニが見ていた...。
些細なことなのだが、前々から気になっていたことがある。この日記をSafariで見たとき、以下のように表示されることがある。 ホームベーカリー観察日記 - ザリガニが見ていた...。 気になるのは→の部分。句読点や小さな「っ」が行頭に表示されてしまっている。普段何気なく読んでいる本や雑誌では、決してこのような表示になることはないはず。紙媒体では、当たり前のルールとして、さり気なく、でも徹底されている禁則処理。なのに、日本語のWebページをSafariで見ると「あれれ?」な表示になってしまうことがよくある。 ちなみに、Firefoxでは禁則処理が正常に働いて、以下のような表示になった。 ホームベーカリー観察日記 - ザリガニが見ていた...。 しかし、Google Chromeでは、Safariと同様に句読点や小さな「っ」が行頭に表示されてしまっている。 WebKit系ブラウザの問題なのだろう
~師範、オススメのブラウザないですか?~ (1/5)
小林:今回もUbuntu道場のお時間です。 編集S:これが掲載されるころには10.10がリリースされてるのか……。 村田:10.10リリース記念にリリースパーティやります。近場の方はご参加ください。 編集S:な、なにぃ! あわしろいくや:驚くところなんでしょうか……。 編集S:味噌が味噌語尾じゃない……! 村田:しかもそこで驚かれても困るので味噌。真面目な案内のときは味噌語尾じゃなくなるで味噌。 hito:速攻で味噌語尾に戻すあたり、すばらしいネタ系人材ですね! 瀬尾浩史:次回あたり、「10.10、実際に触ってどう?」みたいなのやるペン? 編集S:気分次第。 やまね:て、適当だ……。 あわしろいくや:なにぶん、道場の収録は適当にチャットしてるだけですからなぁ。 ミズノ:ハリセンが飛び交うデンジャラスな空間ですけどね……。 瀬尾浩史:単にミズノさんがハリセンをもらいに行っているだけのような気
HTTP 404 - ファイル未検出[LAWSON]
ご指定のページが見つかりません。 The requested page was not found ご指定のページが見つかりませんでした。 恐れ入りますが、正しくアドレスが入力されているか、もう一度ご確認ください。 正しくアドレスを入力してもページが表示されない場合、または 「ブックマーク」や「お気に入り」から ページをご指定された場合、他のサイトからリンクされた場合は、申し訳ありませんが、ページが移動したか、もしくは掲載期間が終了しているものと思われます。 HTTP 404 - ファイル未検出 LAWSONトップページへ|English Home Page
Safariの禁則処理 - symmetry club annex
Appleのウェブブラウザ、Safariがバージョン3になってから、ときどき日本語の禁則処理が働いていないページを見かけることがある。文末の句読点とか括弧とかが行頭に送られてしまったりするのだ。そうしたページも、Safari以外のブラウザでは正常だし、自分で制作しているサイトではそんなことが起きたこともないので、気にはなっても調べもしないで放ってあったのだが、今日もたまたまそういうサイトを見かけて、この機会に検証してみた。 結論を言えば、スタイルシートに "word-break: break-all" が指定されているページでは、Safari 3が禁則文字まで折り返してしまうらしい。 今のところ "word-break" プロパティはCSS3で策定中のものとはいえ(もとはIEの独自拡張だそうだ)、欧文ばかりでなく和文にまで適用してしまうSafariの仕様にも問題ありだろうな。 サイト制作者
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さよう, Appleは今日CDを殺した