On 22/11/21 08:20, Diego Zuccato wrote:
Il 21/11/2021 08:19, Davide Prina ha scritto:
Ad esempio è stata scoperta recentemente una vulnerabilità sui
sorgenti di quasi tutti i linguaggi di programmazione e, almeno
l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa
effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti
per sistemare il problema prima di rendere totalmente pubblica la
vulnerabilità.
Però, IMVHO, non è una vulnerabilità del compilatore.
Non avevo detto questo, poiché quando avevo letto io non c'era scritto
quasi nulla.
Però qui:
https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html
dice:
many compilers, interpreters, code editors, and repositories have
implemented defenses
Quindi probabilmente introdurranno un flag in vari compilatori per
intercettare problematiche di questo tipo e segnalarle
Infatti qui:
https://trojansource.codes/
dice:
Compilers, interpreters, and build pipelines supporting Unicode should
throw errors or warnings for unterminated bidirectional control
characters in comments or string literals, and for identifiers with
mixed-script confusable characters.
Language specifications should formally disallow unterminated
bidirectional control characters in comments and string literals.
Code editors and repository frontends should make bidirectional control
characters and mixed-script confusable characters perceptible with
visual symbols or warnings.
e nel PDF spiega un po' meglio di cosa si tratta:
https://trojansource.codes/trojan-source.pdf
Quando avevo letto io c'era solo un accenno al fatto di tipi di
caratteri estesi, di commenti, di lettura destra-sinistra e
sinistra-destra, senza far capire nulla, invece nel pdf è spiegato tutto
più in dettaglio.
Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook