OpenForum RSS: Watchman - новый GCC-фреймворк для защиты от переполнения бу... https://opennet.me/openforum/vsluhforumID3/91583.html Представлена (http://permalink.gmane.org/gmane.comp.security.oss.general/11045) новая надстройка над GCC - Watchman (https://github.com/ewimberley/Watchman), нацеленная на выявление выходов за допустимые границы памяти и блокирование переполнений буферов в приложениях. Принцип действия Watchman сводится к добавлению дополнительных случайных данных в кучу и стек, с последующей их периодической проверкой. Подобные проверки негативно влияют на производительность, но оправданы в ситуациях, когда безопасности уделяется первостепенное внимание.<br><br><br>URL: http://permalink.gmane.org/gmane.comp.security.oss.general/11045<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=37841<br> Watchman - новый GCC-фреймворк для защиты от... (arisu) https://opennet.me/openforum/vsluhforumID3/91583.html#31 Sat, 07 Sep 2013 22:48:31 GMT &gt; А можно несколько примеров, когда без Nested Functions вообще никак?<br><br>можно и вооще без си. и даже без ассемблера &#8212; напрямую машинный код фигачить. только зачем? nested functions и compound statements &#8212; мегаудобные штуки. ну, нет их в стандарте &#8212; что ж теперь, кровью харкать?<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (qux) https://opennet.me/openforum/vsluhforumID3/91583.html#28 Sat, 07 Sep 2013 10:21:40 GMT А можно несколько примеров, когда без Nested Functions вообще никак? Которые gcc extension и отсутствуют в стандарте С.<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (qux) https://opennet.me/openforum/vsluhforumID3/91583.html#27 Sat, 07 Sep 2013 10:10:38 GMT Простите, влезу.<br><br>&gt; Всегда и все, или ядро не ядро.<br><br>Hint: почему корректность входящих параметров не проверяется во всех-всех функциях ядра (и не только его)?<br><br>&gt; Чего, чего?<br><br>А что неясного?<br><br>&gt; Гуглить на тему дефрагментации памяти, менеджеров памяти, и т.д, и т.п. Много думать.<br><br>Всегда приятно видеть образованных людей. Которые про гугл знают, в смысле.<br>Ничего, что эти вещи и в юзерспейсе расположены?<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (аноня) https://opennet.me/openforum/vsluhforumID3/91583.html#26 Sat, 07 Sep 2013 08:41:17 GMT Грабли Си такие грабли. И это вместо того, чтоб использовать адекватный(е) язык(и).<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (none7) https://opennet.me/openforum/vsluhforumID3/91583.html#25 Sat, 07 Sep 2013 07:55:33 GMT &gt;Принцип действия Watchman сводится к добавлению дополнительных случайных данных в кучу и стек, с последующей их периодической проверкой<br><br>Случайности не случайны. Это может защитить от ошибок переполнения буфера из за некорректных данных, но от целенаправленной атаки скорей всего не защитит.<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (AnonuS) https://opennet.me/openforum/vsluhforumID3/91583.html#24 Fri, 06 Sep 2013 20:49:18 GMT &gt; От кривых рук ни один патч не спасёт, особо в С. <br>&gt; Так что, foreach in &lt;limits.h&gt; do ... вперед с песней.<br><br>Павлик, переходи на C++, пользуй STL и BOOST, включи максимальный уровень предупреждений и спасёшься, ибaвaистину...<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (AnonuS) https://opennet.me/openforum/vsluhforumID3/91583.html#23 Fri, 06 Sep 2013 20:45:17 GMT &gt; ... Или виндус вей, выпускаем debug-версию, ибо в релизе падает xD<br><br>Вован, это ты клёво придумал, такой незамысловатый подход наверняка сберёг очень много твоего личного времени и нервов.<br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (___) https://opennet.me/openforum/vsluhforumID3/91583.html#22 Fri, 06 Sep 2013 19:14:41 GMT &gt;&gt;Ядро может контролировать поведение, но не всегда и не все.<br>&gt; Всегда и все, или ядро не ядро.<br>&gt;&gt; Очень упрощенно, вы запросили 1k памяти для массива, ядро в силу страничной организации выделило 4к, все, выход за пределы 1к это сугубо дело вашей программы.<br>&gt; Чего, чего?<br><br>Не путаем выделение памяти в ядре и оптимизации которые может сделать malloc, или другой распределитель памяти в пространстве пользователя.<br><br>&gt;&gt;Так же не забываем что еще есть static, область стека, ядро сможет проконтроллировать сколько памяти выделить (а точнее отобразить) под стек и static, но все что происходит внутри уже выделенных страниц памяти ядру неподконтрольно.<br>&gt; Гуглить на тему дефрагментации памяти, менеджеров памяти, и т.д, и т.п. Много <br>&gt; думать.<br><br>То же самое на тему mmu и страничной адресации.<br><br> Watchman - новый GCC-фреймворк для защиты от переполнения бу... (Пампарам.) https://opennet.me/openforum/vsluhforumID3/91583.html#21 Fri, 06 Sep 2013 18:25:50 GMT &gt;Ядро может контролировать поведение, но не всегда и не все.<br><br>Всегда и все, или ядро не ядро.<br><br>&gt; Очень упрощенно, вы запросили 1k памяти для массива, ядро в силу страничной организации выделило 4к, все, выход за пределы 1к это сугубо дело вашей программы. <br><br>Чего, чего? <br><br>&gt;Так же не забываем что еще есть static, область стека, ядро сможет проконтроллировать сколько памяти выделить (а точнее отобразить) под стек и static, но все что происходит внутри уже выделенных страниц памяти ядру неподконтрольно.<br><br>Гуглить на тему дефрагментации памяти, менеджеров памяти, и т.д, и т.п. Много думать.<br>