personaje, el 18 de junio a las 13:57 me escribiste: > 2009/6/18 Leandro Lucarella <[email protected]> > > > personaje, el 18 de junio a las 12:22 me escribiste: > > > 2009/6/17 Leandro Lucarella <[email protected]> > > > > Sin responder tu pregunta, te pregunto yo a vos: qué tiene de malo > > > > strncat()? Digo, para qué ponerse a analizar posibles vulnerabilidades > > de > > > > algo potencialmente peligroso si esa función hace exactamente lo que > > > > querés y no tenés vulnerabilidad posible (más allá de bugs en la > > > > implementación de strncat() =). > > > > > > Porque strncat concatena strings, lo que yo quiero y estoy haciendo es > > algo > > > más parecido a esto : > > > > Sí, quise decir strncpy =) > > > > > snprintf(dest,2048,traducir("mi %s con formato y %d > > parametros"),"string", > > > 2); > > > > > > traducir me traduce el string y me devuelve otro, es decir, > > potencialmente > > > un formato invalido para los parametros variables que le estoy enviando. > > > > El "traducir" no es la función _() de gettext, no? Donde está el string > > que viene del usuario? > > Exacto, bueeeeno, usuario, archivo de catálogo... =D
Bueno, en ese caso es normal usar los strings del catálogo confiando en ellos. No son una entrada de usuario común y corriente, es algo bastaaaante controlado. > en definitiva, no es algo que esta fuera de mi control? Y por consiguiente, > potencialemente peligroso? Es peligroso si el usuario corrompe el catálogo que le pasaste o algo así y corre la aplicación él mismo, en cuyo caso medio que puede hacer lo que se le canta de todos modos. En general los problemas de seguridad son cuando el usuario que puede hacer cagadas no es el mismo que levanta la aplicación y/o no tiene un usuario en el sistema local. Si bien yo creo que hay cierto grado de riesgo en casos muy puntuales, en términos generales creo que uno puede confiar en los catálogos. -- Leandro Lucarella (luca) | Blog colectivo: http://www.mazziblog.com.ar/blog/ ---------------------------------------------------------------------------- GPG Key: 5F5A8D05 (F8CD F9A7 BF00 5431 4145 104C 949E BFB6 5F5A 8D05) ----------------------------------------------------------------------------
_______________________________________________ Lista de correo Programacion. [email protected] http://listas.fi.uba.ar/mailman/listinfo/programacion
