076萌SNS
  • Login

  • Public

    • Public
    • Network
    • Groups
    • Popular
    • People

Conversation

Notices

  1. 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 22:08:46 JST 斎藤ただし 斎藤ただし

    アルゴリズムに脆弱性があったのかと誤読しかけたけどそんなことなかった。
    もともとbcryptは「入力は72バイトまで」という仕様らしいので(好ましくはないけど脆弱性とは言えないと思う)、それをはみ出る長さのユーザー名を入力として使っちゃった側・仕様を考慮しなかった側が悪いってだけのはず。
    https://gigazine.net/news/20241105-okta-ad-ldap-delegated-authentication-username/

    In conversation about 16 days ago from best-friends.chat permalink

    Attachments

    1. ユーザー名が52文字以上だと「パスワードなしでログインできる」欠陥が3カ月間も存在していたことをOktaが公表
      IDやパスワードなどのユーザアカウントを一元管理するシステムを手がけるOktaが、「ユーザー名が52文字以上だとパスワードによる認証を回避できる脆弱(ぜいじゃく)性」が2024年7月23日から約3カ月間にわたって存在していたと発表しました。
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 22:08:44 JST ikeji ikeji
      in reply to
      @tadd goのbcryptは、長い文字列を渡すとエラーを出すらしい。
      https://pkg.go.dev/golang.org/x/crypto/bcrypt
      > ErrPasswordTooLong is returned when the password passed to GenerateFromPassword is too long (i.e. > 72 bytes).

      Pascalは型に文字列の最大長が入ってたっけか?
      In conversation about 16 days ago permalink

      Attachments

      1. No result found on File_thumbnail lookup.
        bcrypt package - golang.org/x/crypto/bcrypt - Go Packages
        Package bcrypt implements Provos and Mazières's bcrypt adaptive hashing algorithm.
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 22:08:45 JST 斎藤ただし 斎藤ただし
      in reply to

      ただbcryptの実装として、73文字以上が渡されたら教える、とかするのはやってもいいかも知れない、いややりすぎかも知れない。

      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 22:08:45 JST 斎藤ただし 斎藤ただし
      in reply to

      言語処理系側として考えられるのは…強引かもしんないけど、文字列の長さまで型にできる依存型?
      73以上の長い文字列がbcryptの処理に渡される可能性を静的に検出する。いやびみょうかもしれない

      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 22:08:46 JST 斎藤ただし 斎藤ただし
      in reply to

      差が20バイトあるけど、おそらく先頭のユーザーIDが64ビットの整数で、それを10進で文字列化したものだった(最大20バイト)、としたらとても素直な説明になりそう

      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 22:38:31 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji ところでこないだPascal配列 (???) を作ったので自慢しておきます。 https://github.com/tadd/libscary

      In conversation about 16 days ago permalink

      Attachments

      1. GitHub - tadd/libscary: A (scary) scalable array library in C
        A (scary) scalable array library in C. Contribute to tadd/libscary development by creating an account on GitHub.
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 22:38:31 JST ikeji ikeji
      in reply to
      @tadd 😀
      In conversation about 16 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 22:39:34 JST ikeji ikeji
      in reply to
      @tadd Pascal文字列も常に256バイト確保するわけじゃないはずなので、短かくしか確保されてない型があるんじゃないでしょうか?
      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 22:39:35 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji おぉ、それらしい感じだね。Pascalは型でそういうのってあるのかな?1バイト目がヘッダ(長さ)なので255まで、とかいう固定長なのはありそう。

      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 23:01:01 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji ざっとFreePascalというのを見たら、むしろ
      ShortString = String[255];
      と書いてあった。短くても255?
      https://www.freepascal.org/docs-html/ref/refsu9.html#x32-370003.2.4

      In conversation about 16 days ago permalink

      Attachments

      1. Single-byte String types
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:01:01 JST ikeji ikeji
      in reply to
      @tadd それは、Cで言うところの、
      typedef char[255] ShortString;
      みたいな意味だと思う。
      In conversation about 16 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:09:33 JST ikeji ikeji
      in reply to
      @tadd いや、普通にstring[10]とか使えるよ。
      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 23:09:34 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji うん、そう思う。つまり短い=255文字まで、なので、それより短い(というか、確保するバイト数が少ない)型は存在しないんじゃない?と言いたかった

      In conversation about 16 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:26:03 JST ikeji ikeji
      in reply to
      @tadd いや、ShortStringが10個は
      array [1..10] of ShortString
      だと思う。
      http://kaitei.net/pascal/arrays/
      In conversation about 16 days ago permalink

      Attachments

      1. No result found on File_thumbnail lookup.
        配列 - Pascal 入門
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 23:26:04 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji あれ、それは10文字じゃなくて文字列十個だよね?

      In conversation about 16 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:27:09 JST ikeji ikeji
      in reply to
      • ikeji
      @tadd ところで、短いやつにキャストしても怒られないだけで、Cも文字列型に長さが入ってると言える?
      In conversation about 16 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 23:40:18 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji 型には入ってないよね?つまり(普通のconst char *では)静的には検証できない。

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:40:18 JST ikeji ikeji
      in reply to
      @tadd 例えば、
      void a(char b[10]);
      a("abc");
      は警告出るよね。
      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:40:44 JST ikeji ikeji
      in reply to
      @tadd どれがどれへのレスポンスかわからなくなってきた。
      In conversation about 15 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 23:40:45 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji うん、それはそうだけど。なんだか話がかみ合って無い気がする?

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:45:19 JST ikeji ikeji
      in reply to
      @tadd 20年以上前の事でよく覚えてないんだけど、
      string →長さが指定できる
      ShortString →string[255]へのエイリアス
      String → ライブラリが用意する構造体、C++のStringみたいなやつ
      とかじゃなかったっけ?他の長さのもあった気がする。
      In conversation about 15 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Thursday, 07-Nov-2024 23:45:20 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji 何となく分かったんだけど、これはtypedefの例えではないってことかな?

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Thursday, 07-Nov-2024 23:49:28 JST ikeji ikeji
      in reply to
      • ikeji
      @tadd さっきのfreepascalのマニュアル見ると違うな。
      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Friday, 08-Nov-2024 00:10:46 JST ikeji ikeji
      in reply to
      @tadd https://web.archive.org/web/20151125114234/http://www.codexterity.com/delphistrings.htm
      違いに関してはこれが詳しそう。
      In conversation about 15 days ago permalink

      Attachments

      1. A Brief History of Delphi Strings
    • 斎藤ただし (tadd@best-friends.chat)'s status on Friday, 08-Nov-2024 00:10:47 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji うん、そう思うー

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Friday, 08-Nov-2024 00:18:33 JST ikeji ikeji
      in reply to
      @tadd
      ここでは、72文字までを受け取る関数が書きたいという話だったと思う。

      CもPascalも最大長を気にしない文字列を受け取る関数も気にする関数も書けるけど、
      Cではメモリサイズが大きい文字列を、小さい文字列に渡しても警告も出ないが、
      Pascalでは厳密にメモリサイズをチェックする。

      と理解した。
      Cでchar*で受け取るのも、Pascalでopenstringで受け取るのもできるけど、それは今やりたいことではないのではないかと思った。
      In conversation about 15 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Friday, 08-Nov-2024 00:18:34 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji うん、それは普通のconst char *じゃないからね。
      という、予防線を張っても堂々と無視されると、議論が進まなくてうむむ……

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Friday, 08-Nov-2024 00:33:54 JST ikeji ikeji
      in reply to
      @tadd
      https://web.archive.org/web/20151125114234/http://www.codexterity.com/delphistrings.htm をまとめると、
      # ShortString (String)
      最初からあった文字列型
      型に最大長さがある。(デフォルトで255、最大255)
      値に長さが保存されてる。
      型の長さが違うと違う型として扱われるのでキャストできない。
      # openstring
      型に最大長さがない。
      値に長さが保存されてる。
      どの最大長さのShortStringでも入れられる。
      ポインタ型とセットでないと使えない。
      # PChar
      Cのchar*との相互運用用に導入された。ヌル終端。
      型に最大長さがない。
      値に長さが保存されてない。
      # AsciiString
      PCharとShortStringの良いところどりをしたい。ヌル終端。
      型に最大長さがない。
      値に長さが保存されてる。

      AsciiStringは、先頭に長さがあって、最後にヌル終端してあるけど、
      これはRubyのStringがそうだったなと思った。
      In conversation about 15 days ago permalink

      Attachments

      1. A Brief History of Delphi Strings
    • 斎藤ただし (tadd@best-friends.chat)'s status on Friday, 08-Nov-2024 00:33:55 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji 結論だけおしえてくださると助かる

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Friday, 08-Nov-2024 00:41:08 JST ikeji ikeji
      in reply to
      @tadd
      > - char*で取り回すコードが大量に出回っている現実と、ヒープを受け取りたい必要性があるので、それをchar s[static 73](の逆版)みたいなので置き換えられるとはあまり思えないし、メリットが少なさそう

      char* からchar x[n]への変換時に、手動で長さがn以下だとチェックしてなかったら警告出すぐらいなら、コードアナライザとかでできたりしないかな?
      メリットないか。

      > 想像は、文脈含めて流石にできなかった(できない)と思いますです。
      それはすまんかった。

      >「Cの文字列型の中には長さが入っているものもある」ならわかる。
      「Cでも関数の引数に受け取る文字列の最大長さを記述する事は可能(書いたからと言って何か意味があるとは言ってない)」
      ぐらいを言うべきだった。
      In conversation about 15 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Friday, 08-Nov-2024 00:41:09 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji 「Cの文字列型」と言われたとき、「……のバイト数が明示的に宣言・制限されたものに限る」という修飾子がつく、という想像は、文脈含めて流石にできなかった(できない)と思いますです。
      「Cの文字列型の中には長さが入っているものもある」ならわかる。けど文字列型一般ではないと思う。

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Friday, 08-Nov-2024 00:46:19 JST ikeji ikeji
      in reply to
      @tadd あれ、RHGに常にヌル終端だと書いてあった気がするんだけど、変わった?さすがに昔すぎるか?
      In conversation about 15 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Friday, 08-Nov-2024 00:46:20 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji これでいろいろ考えてたけどとりあえず。Rubyの方はStringValueCStrを呼び出さないと、NUL終端は保証しないはずです(というのがやや最近だったのかも?)。
      なので実態としては、「そうであることを助ける機構まではある」くらいじゃないかな。

      In conversation about 15 days ago permalink
    • 斎藤ただし (tadd@best-friends.chat)'s status on Friday, 08-Nov-2024 00:49:45 JST 斎藤ただし 斎藤ただし
      in reply to
      • ikeji

      @ikeji コードアナライザとかで、は確かにできそう。メリットある場合もあるかも?その場合はコストと天秤にかけて、Cプログラマが受け入れてよいくらいまで楽で効果的なら、って感じかなぁ。

      最後の方のは、一つの案としては、スタックに確保した&バイト数が分かってるやつしか受け入れない、という方針のAPIやらなんやらを作ってみるのはありかもね。
      型を強制することによって安全性を確保……になるのかな??かも。

      In conversation about 15 days ago permalink
    • ikeji (ikeji@ostatus.ikeji.ma)'s status on Friday, 08-Nov-2024 00:49:45 JST ikeji ikeji
      in reply to
      @tadd DDDとかを熱狂的に信じてる人だと、Stringを受けとるのはケシカラン、BcryptPassword型を作ってそれを渡せ、とか言うのだろうか?
      In conversation about 15 days ago permalink

Feeds

  • Activity Streams
  • RSS 2.0
  • Atom
  • Help
  • About
  • FAQ
  • TOS
  • Privacy
  • Source
  • Version
  • Contact

076萌SNS is a social network, courtesy of 076. It runs on GNU social, version 2.0.2-beta0, available under the GNU Affero General Public License.

Creative Commons Attribution 3.0 All 076萌SNS content and data are available under the Creative Commons Attribution 3.0 license.