惊！用C语言写的程序不安全

关于C语言内存管理薄弱的问题几年前我们就讨论过。有人试图反驳，说现代各种操作系统或runtime平台的进步，对内存管理的风险提供了各种保护，比如地址空间随机化，还有各种诸如Valgrind这样的工具可以发现内存访问bug，大大削弱危险程度。我十分推荐大家重新阅读一下那次讨论。

成都网络公司-成都网站建设公司创新互联十多年经验成就非凡，专业从事网站制作、成都网站制作，成都网页设计，成都网页制作，软文推广，广告投放平台等。十多年来已成功提供全面的成都网站建设方案，打造行业特色的成都网站建设案例，建站热线：028-86922220，我们期待您的来电！

我的观点——当时和现在——都是C语言不适合用来写安全性要求高的程序，任何缺乏内存检查机制的编程语言都不适合。很简单，就是不适合。它们应该仅 限于用来写一些小的核心系统，***是小到可以用一些常规的方法(被证明的方法)进行检查，所有其它的，包括全部应用逻辑，都应该用受控代码实现(例如 C#，Java或其它的，我没有偏向)。

心脏出血就是这种缺乏边界检查造成的结果的另一个例子。它无法被Valgrind这样的工具检查出，因为它不是普通的被触发的动作——它需要是一种恶意的行为或是一种足够智能的测试协议才能发现(很难很难)。

事实上，没有哪个程序员能够聪明到可以写出完全避免心脏出血这 样的bug的程序。毕竟，程序员的学习和编码关注的是他们的程序的逻辑。在没有边界检查机制的编程语言里，逻辑可能会走错路，因为计算机可以访问和执行任 意内存内容，这些内容是和你的程序里的代码和变量是没关系的。所有没有边界检查的编程语言将计算机的多个维度暴露给程序，如果你觉得自己比OpenSSL 开发团队强、能很好的处理这种情况，那是自欺欺人。

我们无法在软件中避免bug的存在，但我们可以堵住这些看起来无穷无尽的bug的源头。因为它，很早之前我们的互联网就遭受了Morris蠕虫病毒的危害。现在，2年的时间里，世界70%的互联网流量都暴露无疑，代价惨重。如果不堵住这源头，以后会让我们损失更多。

英文原文：The Heartbleed Bug

译文链接：http://www.vaikan.com/c-vulnerabilities/

标题名称：惊！用C语言写的程序不安全
转载源于：http://www.gawzjz.com/qtweb/news5/181355.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联