В Sun, 15 Nov 2015 13:11:43 +0300 Artem Chuprina <[email protected]> пишет:
> > EN> А у вас есть гарантия что вам отвечает ваша-же программа, или что > EN> программа той-же версии что ваша? Если нет, то валидация всех > EN> полей, особенно на переполнение, преобразование во внутренне > EN> представление и так далее. > > EN> Та же самба торпеду в протокол много раз получала, причем с > EN> исполнение произвольного кода - ну что-то не провалидировали. > > EN> С текстом устроить такую подлость гораздо сложнее... > > Ой, да ладно... SQL injection, Javascript injection, XSS... > > Проблема валидации недоверенных данных для текста стоит в тот же > полный рост. Разговор начался с оверхеда в текстовых протоколах, и быстроты разбора. Несомненно, все типы взаимодействия с недостоверными источниками требуют валидации. Просто не надо утверждать что валидация двоичных данных менее затратна, чем валидация текста. Хочу отметить что все приведенные вами примеры атак и происходят в случае интерпретации текстового протокола как простого потока двоичных данных, и решается все семантическим, или хотя-бы грамматическим разбором поступивших данных.
