iT邦幫忙

2021 iThome 鐵人賽

DAY 9
0
Security

網路奇妙物語 - IT&Security 系列 第 9

鬼故事 - 我不曉得這東西為甚麼會動

  • 分享至 

  • xImage
  •  

鬼故事 - 我不曉得這東西為甚麼會動

https://ithelp.ithome.com.tw/upload/images/20210909/20141165P0Bsw3AdUU.jpg
source: starecat.com

故事開始

故事主角:小彎

這次的故事又回到 RD 小彎的身上了,
小彎自從上次進公司發現許多程式的漏洞,並且發現程式碼裡面有一些奇怪的現象。
這些現象包括:

  • 變數名稱不統一甚至跟功能完全無關
  • 無效的變數很多
  • coding style 不同,但卻都出自同一人
  • 或多或少還有一些奇怪的 BUG/漏洞

小彎發現這個東西都出自同一人手中,便開始觀察這位同事,
觀察之後發現這位同事非常喜歡去 StackOverflow 複製貼上程式碼,
其實小彎自己也常去上面找一些問題的答案。

但小彎發現這個同事也 copy 太多了吧,而且並沒有去了解程式碼的運作,
單純覺得會動就貼上去了,難怪一個人像是精神分裂有三十幾種 coding style。

可怕的是,小彎發現他們單位有一半的 RD 都是這樣寫程式的,
而這些可能還存放著你的資料或是替你守護資料...

資安探討

其實複製程式碼這件事沒有甚麼對錯,
重用別人程式碼減少了開發人員的時間,可以將時間更多專注在重要的功能上,
但如果在複製別人程式碼並沒有注意內容將安全漏洞同時複製了呢?

其實這件事情在 2018 年就有人研究了,論文連結
而這件事還曾經上過 BBC News https://www.bbc.com/news/technology-49960387
有趣的是這些被研究的主體已 C/C++ 為主,或許是因為這類型的語言大家最不會寫也最懶的 code review吧。

作為程式開發人員在複製貼上程式碼之前,請先閱讀程式本身。
就連開源專案編譯的時候也請注意是不是可靠來源,曾經也出現針對研究人員/開發人員所出的攻擊,
趁你編譯程式的時候執行惡意程式,這種操作已經有許多歷史案例,應要多加注意。


上一篇
靈異現象 - 我是你的惡夢
下一篇
鬼故事 - 不修拉,這輩子都不可能修的
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
Kuma
iT邦新手 3 級 ‧ 2021-09-09 11:13:58

既視感好強啊…

John醬 iT邦新手 4 級 ‧ 2021-09-09 13:25:18 檢舉

大家都是 StackOverflow 工程師(X

我要留言

立即登入留言