脳log[20180923]

2018年09月23日 (日) [SakuraEditor] バックステージ。バッファがあふれる、スタックを破壊するっていうのは、原理的に起こりうる、そういう可能性があるというだけでバグだと思ってるんだけど、同意してもらえない。■Web アプリケーションではセキュリティを考えるうえで「外部入力」というものを峻別せずにはいられない。できなければ SQLインジェクションなり OSコマンドインジェクションなりを許す穴を作り込んでしまう。で、話は戻るけど、Windows アプリケーションで HWND 経由で得られるコントロールの値は「外部入力」だと、自分は考えてる。外部といってもネットワークの外部ではなくシステム内の第三者なので、権限の昇格が伴わなければ他のプログラムを操作するような迂遠な方法をとる理由がないわけだけど、サクラエディタを、管理者として実行してはいけないプログラム、とマークさせたいわけでもなし。■２つの理由で見過ごせないわけだけど、理解してもらえない相手になすすべがない。判断の分かれ目などではなく、問答無用だと思っているから。