2009/6/18 Leandro Lucarella <[email protected]> > personaje, el 18 de junio a las 13:57 me escribiste: > > 2009/6/18 Leandro Lucarella <[email protected]> > > > > > personaje, el 18 de junio a las 12:22 me escribiste: > > > > 2009/6/17 Leandro Lucarella <[email protected]> > > > > > Sin responder tu pregunta, te pregunto yo a vos: qué tiene de malo > > > > > strncat()? Digo, para qué ponerse a analizar posibles > vulnerabilidades > > > de > > > > > algo potencialmente peligroso si esa función hace exactamente lo > que > > > > > querés y no tenés vulnerabilidad posible (más allá de bugs en la > > > > > implementación de strncat() =). > > > > > > > > Porque strncat concatena strings, lo que yo quiero y estoy haciendo > es > > > algo > > > > más parecido a esto : > > > > > > Sí, quise decir strncpy =) > > > > > > > snprintf(dest,2048,traducir("mi %s con formato y %d > > > parametros"),"string", > > > > 2); > > > > > > > > traducir me traduce el string y me devuelve otro, es decir, > > > potencialmente > > > > un formato invalido para los parametros variables que le estoy > enviando. > > > > > > El "traducir" no es la función _() de gettext, no? Donde está el string > > > que viene del usuario? > > > > Exacto, bueeeeno, usuario, archivo de catálogo... =D > > Bueno, en ese caso es normal usar los strings del catálogo confiando en > ellos. No son una entrada de usuario común y corriente, es algo > bastaaaante controlado. > > > en definitiva, no es algo que esta fuera de mi control? Y por > consiguiente, > > potencialemente peligroso? > > Es peligroso si el usuario corrompe el catálogo que le pasaste o algo así > y corre la aplicación él mismo, en cuyo caso medio que puede hacer lo que > se le canta de todos modos. En general los problemas de seguridad son > cuando el usuario que puede hacer cagadas no es el mismo que levanta la > aplicación y/o no tiene un usuario en el sistema local. > > Si bien yo creo que hay cierto grado de riesgo en casos muy puntuales, en > términos generales creo que uno puede confiar en los catálogos.
Bueno, me quedo más tranquilo... pero no tanto.=P Gracias por los aportes! Saludos
_______________________________________________ Lista de correo Programacion. [email protected] http://listas.fi.uba.ar/mailman/listinfo/programacion
