Новая разработка Google поможет бороться с атаками, связанными с переполнением буфера

image

Теги: Google, атака

Google собственными силами ведет разработку набора расширений для Java, которые позволят лучше защитить Java-программы от атак, связанных с переполнением буфера.

Google собственными силами ведет разработку набора расширений для Java, которые позволят лучше защитить Java-программы от атак, связанных с переполнением буфера. Интернет-гигант сообщил, что компания открыла исходники собственного проекта, который проектировался чтобы добавить новую функциональность в Java, известную как Contracts или Design-By-Contract (DBC).

Вариант Google получил название Contracts for Java или, иначе говоря, Cofoja. Базируется эта разработка на наборе Java-аннотаций Modern Jass, созданных Йоханнесом Рикеном. Изначально созданная для облегчения программирования, Contracts также позволяют программистам бороться с будущими атаками, связанными с переполнением буфера в системе.

По словам специалистов, переполнение буфера - это один из самых старых видов атак, но он по-прежнему остается одним из главных в арсенале злоумышленников. Особенно активно переполнение буфера используется в JRE (Java Runtime Engine).

Говоря упрощенно, Contracts требует, чтобы каждый раз вызываемый метод в работающей программе, любые значения этого метода и иные данные соответствовали заранее определенным критериям. Кроме того, возвращаемые данные, также должны соответствовать критериям. "DBC следует понимать как контракт между компонентами программного обеспечения", - говорит Рикен.

В блоге Google для разработчиков компания призывает активнее использовать Contracts еще и как средство для выявления багов и неверно функционирующего кода.


или введите имя

CAPTCHA
TSx
14-02-2011 12:21:46
Как на производительность влияет?
0 |
44349
14-02-2011 12:50:04
Закон Мура должен выполняться!!111
0 |
what a fuck?
14-02-2011 17:33:16
в JRE (Java Runtime Engine)JRE - Java Runtime Environment
0 |
Билли
15-02-2011 16:55:28
Проснулись, майкрософт таки расторопней оказалась с реализацией контрактного программирования под дотнет
0 |
sdv
16-02-2011 16:11:54
У меня только три вопроса 1. И как можно в Java-программе получить переполнение буфера, кроме JNI или явного и очень хитрожопого (надо очень постараться обойти контроль JVM и не во всех версиях это проходит) использования недокументированных фич самим разработчиком????? 2. Так все-таки, переполнению подвержен java-код (см. начало статьи и первый вопрос) или сама JRE (середина статьи), которая, собственно, на C (или С++, не берусь утверждать) 3. Автор уверен, что "Особенно активно переполнение буфера используется в JRE"? Что-то я не слышал, что-бы JRE была самой уязвимой к переполнению буфера или большая часть их использования припадала на JRE. И уведомлений о подобных уязвимостях в JRE очень мало. А теперь самое интересное: 1. Это старая статья (прошлая пятница) с cybersecurity.ru, которую, похоже, писали они сами. 2. В самом проекте НИ СЛОВА о переполнении стека и о том, что проект предназначен для этой цели. 3. Не нашел никакой связи между cofoja и переполнением стека в англоязычном инете 4. В проекте есть много слов о стеке, но это, блин, совсем не тот стек. Из чего я делаю вывод, что ребятам из cyber security очень захотелось сенсации. Ну очень захотелось. С английским было туго, со знаниями тоже негусто. Поэтому пришлось высасывать статью в лучшем случае из пальца, главное что-бы присутствовали слова java, google и что нибудь про безопасность. Не важно насколько связанные. У меня все.
0 |
17-02-2011 12:18:13
Из чего я делаю вывод, что ребятам из cyber security очень захотелось сенсации. Это кто такие, позвольте полюбопытствовать?
0 |