アカウント名:
パスワード:
ランダムじゃ動かないからってどこかにメモしておくとそのメモを読まれるから、あんまり意味ないんだな厨房避けか
その「メモを読む」という手順を仕込む為に攻撃の難易度が一段階上昇するのが狙いですよ。ASLRが有効とされる典型的なパターンであるスタックオーバーフローでreturn先を改竄する場合、スタックオーバーフローを仕掛ける段階で何処にreturnするか決定できなくなるため、任意コードの実行可能性からクラッシュを狙うDoS攻撃にまで被害の程度が軽減されます。例外を捕まえていれば更に被害範囲を減らせますが…アドレスが当たれば結局任意コードな時点で危険なのは変わりませんね。
メモを読む(ランダム化したアドレスを特定する)為に攻撃難易度が上がるとはいえ、メモを読まれたりメモの必要ない攻撃では効果が出ないって点は全く間違ってない。そういった工夫のない安易な攻撃に対する効果が高いので厨房避けという評価も正しい。
「あんまり意味ない」の下りこそ間違ってるがマイナスモデするほどの間違いじゃねぇだろコレ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
ASLR (スコア:0, オフトピック)
ランダムじゃ動かないからってどこかにメモしておくとそのメモを読まれるから、あんまり意味ないんだな
厨房避けか
Re:ASLR (スコア:2, 参考になる)
その「メモを読む」という手順を仕込む為に攻撃の難易度が一段階上昇するのが狙いですよ。
ASLRが有効とされる典型的なパターンであるスタックオーバーフローでreturn先を改竄する場合、
スタックオーバーフローを仕掛ける段階で何処にreturnするか決定できなくなるため、
任意コードの実行可能性からクラッシュを狙うDoS攻撃にまで被害の程度が軽減されます。
例外を捕まえていれば更に被害範囲を減らせますが…
アドレスが当たれば結局任意コードな時点で危険なのは変わりませんね。
なぜマイナスモデ(オフトピ:-1) (スコア:0)
メモを読む(ランダム化したアドレスを特定する)為に攻撃難易度が上がるとはいえ、
メモを読まれたりメモの必要ない攻撃では効果が出ないって点は全く間違ってない。
そういった工夫のない安易な攻撃に対する効果が高いので厨房避けという評価も正しい。
「あんまり意味ない」の下りこそ間違ってるがマイナスモデするほどの間違いじゃねぇだろコレ。