1. C++ / Говнокод #4378

    +164

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    8. 8
    srand(time(0));
for (i = 0; i < 10000; i++) {
    sprintf(qtrc, "/tmp/%010d", rand());
    if (!mkdir(qtrc, 0700))
        goto okay;
}
logPanic("Cannot create $HOME\n");
okay:

    Исходники KDM

    Запостил: proDOOMman, 17 Октября 2010

    Комментарии (19) RSS

    • ava Dummy00001 18.10.2010 00:28 # −1

      нда... mktempdir()/подобное реально не хватает.

      знаю и понимаю почему так делают, но говно однозначно. но не в самом KDM - а в POSIX/UNIX....
      Ответить

      • ava Dummy00001 18.10.2010 00:44 # −1

        но если подумать, то даже в самой OS это как бы по другому то и не реализовать. без лока на dnode /tmp/ это работать не будет. но локи как раз в таких местах стараются как только можно избегать. и никто исключения для security oriented приложений делать не будет - тем более если это проблему можно решить вот таким тривиальным говнецом.
        Ответить

    • ava absolut 18.10.2010 10:39 # 0

      Почему бы не сгенерить какой-нибудь UUID?
      Ответить

    • ava 3.14159265 18.10.2010 11:37 # +1

      > for (i = 0; i < 10000; i++) {
      > goto okay;
      на первый взгляд чья-то лаба.
      на второй взгяд редкостное уебанство
      Ответить

    • ava ReallyBugMeNot 18.10.2010 17:43 # 0

      А
      srand(time(0));
      не говно?
      Это же полностью предсказуемый перебор, более того, заранее известный! Т.е. как минимум DOS-атаку произвести просто элементарно, а может и что по-хуже.
      Ответить

      • ava absolut 18.10.2010 20:20 # 0

        А с чего вы взяли, что данный код должен быть устойчив ко взлому ? Заранее известный, если знать в какую секунду будет вызываться.
        Ответить

      • ava istem 18.10.2010 20:40 # 0

        ...чем дальше в лес - тем ближе вылез
        Ответить

      • ava ReallyBugMeNot 19.10.2010 15:10 # 0

        Следует признать, что я был не прав, и не заметил time. Мне почему-то показалось, что код srand(0). Реальный код, хотя и не идеален, конечно, намного лучше.
        Ответить

        • ava xXx_totalwar 19.10.2010 15:47 # 0

          >не заметил time
          можно подумать это что-то меняет
          Ответить

          • ava ctm 20.10.2010 06:38 # 0

            какова вероятность, что папка не создастся (не в случае когда прав нету)?
            какова вероятность повторения GUID (пусть и в условиях сферического в ваккуме)?
            какова вероятность повторения MD5?
            Все пользуются и ничего...
            Однако подобному софту, управляющему работой ядерным реактором (например) я бы не доверял :)
            Ответить

            • ava ReallyBugMeNot 21.10.2010 10:33 # 0

              Повторения MD5 чего? Вопрос о случайном совпадении или о злонамеренном? Случайного и так скорее всего не будет, а при злонамеренном ни GUID, ни MD5 не помогают. Для надёжности нужны криптографически случайные числа.
              Ответить

              • ava ctm 22.10.2010 10:54 # 0

                в этом и есть ответ
                Ответить

                • ava ctm 22.10.2010 11:00 # 0

                  поясню:
                  речь видимо, идет о случайном совпадении - вероятность этого очень мала.
                  При злонамеренном совпадении - изначально нужно ставить задачу соответственно, и уж KDM к ним относить нет смысла.
                  Ответить

    • ava bugmenot 21.10.2010 14:26 # 0

      Чувствую, что пованивает, но не пойму почему, ибо виндусятник, о процессе гуевого логона ничего не знаю. Может, кому не лень, набросаете 10..20 слов?
      Ответить

      • ava ootync 21.10.2010 15:46 # 0

        А тут ничего не нужно знать о процессе. Просто программа пытается создать временную папку и в цикле подбирает имя которое ещё не занято :)
        Ответить

        • ava bugmenot 21.10.2010 17:29 # 0

          Это-то из кода очевидно. А неясно, например, зачем хочет создать $HOME и почему в /tmp и под кем KDM (видимо и X) работает, получая полный овнерский доступ туда, вот
          Ответить

          • ava ootync 21.10.2010 17:33 # 0

            А это не $HOME. Это просто временная папка, она потом удаляется. ХЗ для чего она нужна :)
            Ответить

            • ava bugmenot 22.10.2010 11:05 # 0

              "Cannot create $HOME\n" как бы намекает нам...
              а имя переменной намекает на конфиг Qt который обычно берется из ~/.qt/qtrc
              видимо всё-таки это такое особое хоме...
              Ответить

              • ava absolut 22.10.2010 12:08 # 0

                > logPanic("Cannot create $HOME\n");
                Тут вообще просто строка.
                Не надо смущаться от вида значка $.
                Ответить

    Добавить комментарий