アカウント名:
パスワード:
SSIDに「%s」が含まれるアクセスポイントを「悪意あるアクセスポイント」と呼ぶのは違和感がある。この話が明らかになってから新たに設定したのなら悪意の存在は明確だけど、知らずにバグを突いてしまった善意の第三者を「悪意ある」というのは言い過ぎでしょ。
規格上問題はないわけだから、おかしな実装をしたAppleの方こそ悪意があるのではないか。
https://apple.srad.jp/comments.pl?sid=814769&cid=4056261 [apple.srad.jp]wikipediaには> 規格ではそのような制限はなく、SSIDは1から32オクテットの並びであって、各オクテットの値は任意である。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
今回はAppleの落ち度だが、例えばメールアドレスを厳密にRFCチェックすると途方もない処理になる実現できてるソフトはほぼ無いんじゃないかな
「落ち度」って言うより、純粋なバグだと思うよ。それも、かなり恥ずかしいレベルの。
printf(ssid);
みたいな明らかにまずいことを、どこかでやっているだけ。
RFCに完璧に準拠してるわけじゃないという点は通じるものが有るけど、ばれないバグはバグじゃないという観点から見ると大きな差が有るな。落ち度として見えてしまったことが悪い。
別に完璧な処理を書けというわけではなくて、踏んだときに発生する影響範囲が問題なわけですよメールアドレスも弾くだけなら影響範囲は狭いですけど、今回だとサーバ自体が通信不能になるみたいな話で、それだったら大きな問題になるでしょ今回のも該当 SSID に接続できないぐらいだったら大きな問題にはならなかったけど、その後も引きずる大きな影響があったわけで何が言いたいって、例外処理は大事
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
悪意とは (スコア:1)
SSIDに「%s」が含まれるアクセスポイントを「悪意あるアクセスポイント」と呼ぶのは違和感がある。
この話が明らかになってから新たに設定したのなら悪意の存在は明確だけど、知らずにバグを突いてしまった善意の第三者を「悪意ある」というのは言い過ぎでしょ。
Re: (スコア:1)
規格上問題はないわけだから、おかしな実装をしたAppleの方こそ悪意があるのではないか。
https://apple.srad.jp/comments.pl?sid=814769&cid=4056261 [apple.srad.jp]
wikipediaには
> 規格ではそのような制限はなく、SSIDは1から32オクテットの並びであって、各オクテットの値は任意である。
Re: (スコア:1)
規格上問題はないわけだから、おかしな実装をしたAppleの方こそ悪意があるのではないか。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
Re:悪意とは (スコア:0)
今回はAppleの落ち度だが、
例えばメールアドレスを厳密にRFCチェックすると途方もない処理になる
実現できてるソフトはほぼ無いんじゃないかな
Re:悪意とは (スコア:1)
「落ち度」って言うより、純粋なバグだと思うよ。
それも、かなり恥ずかしいレベルの。
みたいな明らかにまずいことを、どこかでやっているだけ。
Re: (スコア:0)
RFCに完璧に準拠してるわけじゃないという点は通じるものが有るけど、
ばれないバグはバグじゃないという観点から見ると大きな差が有るな。
落ち度として見えてしまったことが悪い。
Re: (スコア:0)
別に完璧な処理を書けというわけではなくて、踏んだときに発生する影響範囲が問題なわけですよ
メールアドレスも弾くだけなら影響範囲は狭いですけど、今回だとサーバ自体が通信不能になるみたいな話で、それだったら大きな問題になるでしょ
今回のも該当 SSID に接続できないぐらいだったら大きな問題にはならなかったけど、その後も引きずる大きな影響があったわけで
何が言いたいって、例外処理は大事