اندازهی قلم متن
تخمین مدت زمان مطالعهی مطلب:
یک دقیقه
اگر سخنان بزرگان برنامه نویسی را مطالعه کرده باشید، یکی از موارد این بود:
" هیچگاه از gets و sprintf استفاده نکنید، در غیر اینصورت شیاطین به زودی به سراغ شما خواهند آمد! (FreeBSD Secure Programming Guidelines) "
به عبارت دیگر استفاده از توابع کتابخانههای استاندارد زبان C ، بدون ملاحظات لازم (یا همان برنامه نویسی کلاسیک به زبان C )، منشاء بسیاری از حملات Buffer overrun است، زیرا اکثر این توابع اندازهی بافر یا رشتهی ورودی را بررسی نمیکنند.
برای رفع این مشکلات که هنوز که هنوز است قربانی میگیرد! ، The Safe C Library پدید آمده است. این کتابخانه بر اساس استاندارد ISO TR24731 تهیه گردیده و در آن یک سری توابع مکمل، جهت بالا بردن امنیت برنامههای تهیه شده به زبان C مطابق استاندارد ISO/IEC 9899:1999 معرفی شده است.
برای مثال مطابق استاندارد ISO/IEC JTC1 SC22 WG14 N1172 ، تابع نا امن memcpy با تابع امن زیر باید جایگزین شود:
errno_t memcpy_s(void *dest, rsize_t dmax, const void *src, rsize_t smax)
مستندات آنرا در فایل safe_lib_html.tar پس از دریافت کتابخانه میتوانید مشاهده نمائید.
همچنین اخیرا به عنوان مکمل این مجموعه، یک کتابخانهی ریاضی امن نیز تهیه شده است.
پ.ن.
شبیه به همین مورد در اینترفیس پلاگینهای IDA-Pro در نگارشهای اخیر آن اعمال شده است و برنامه نویس را وادار میکند که از نمونههای معادل امن در آن محیط استفاده کند.
//pro.h
// We forbid using dangerous functions in IDA Pro
#ifndef USE_DANGEROUS_FUNCTIONS
#if defined(__BORLANDC__) && (__BORLANDC__ < 0x560 || __BORLANDC__ >= 0x580) // for BCB5 (YH)
#include <stdio.h>
#endif
#undef strcpy
#define strcpy dont_use_strcpy // use qstrncpy
#define stpcpy dont_use_stpcpy // use qstpncpy
#define strncpy dont_use_strncpy // use qstrncpy
#define strcat dont_use_strcat // use qstrncat
#define strncat dont_use_strncat // use qstrncat
#define gets dont_use_gets // use fgets
#define sprintf dont_use_sprintf // use qsnprintf
#define snprintf dont_use_snprintf // use qsnprintf
#define wsprintfA dont_use_wsprintf // use qsnprintf
#endif