Date: 2005-09-03 09:12 am (UTC)
netch: (Default)
From: [personal profile] netch
> Так ведь и он создан с учётом того, что "неведома зверушка" интерпретируется как то, что мы укажем. В то время как в шарпе всё-таки неведомых зверушек нет. То есть если ты передаёшь число, а в строке форматирования указываешь %s - как должен вести себя шарп?

Ага, ага. Вот я передал, например, объект класса System.Thread, а в спецификаторе формата указал {0:U} (длинное универсальное время). Как ты думаешь, куда меня пошлёт исполняющая система? И чем тут новые форматы отличаются от старых?

Синтаксис формата для контроля передаваемых типов - неважен. Важно что форматтер должен во всех случаях, когда он не знает как перевести, возбудить исключение. Для [s][n]printf эта же методика подойдёт без изменений.

> Да-да, только это поздновато IMHO. Уже, видишь, и NX-биты в процессорах вводить начали :)

И что тебе дадут те NX-биты? Прямое исполнение кода в стеке - только самый тупой вариант exploit'а, от него уже защитились все кому не лень. wu-ftpd уже года три назад как ломали через модификацию числовой переменной в стеке рядом с переполнившимся буфером и как следствие - нарушение логики работы.
This account has disabled anonymous posting.
If you don't have an account you can create one now.
HTML doesn't work in the subject.
More info about formatting
 
Notice: This account is set to log the IP addresses of everyone who comments.
Links will be displayed as unclickable URLs to help prevent spam.

Profile

netch: (Default)
netch

December 2023

S M T W T F S
     12
3456789
10111213141516
171819 20212223
24252627282930
31      

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jan. 3rd, 2026 07:27 am
Powered by Dreamwidth Studios