C言語のセキュリティホールについて

がるです。 んと… > C言語のセキュリティホールに関して書籍等があまりないので困っています。 > 確かに優位性があまりないのはわかるのですが、危険だ！！ということがよくわかりません。 > これと言って大したセキュリティホールはないのでは？と思ってしまいます・・・ C言語そのものが保有するセキュリティホール、というのは、記憶している限りではなかったかと思います(ちなみに、例えば有名なPHPなんてのは結構あったりします困ったことに)。 ただ、C言語は良くも悪くも「非常に自由な言語」なので、作り手の知識不足が「セキュリティホールを作り出す」可能性が、他の言語と比較しても割合に飛び出てたりします。 極単純に例えば。 最近のほとんどの言語は、「確保した領域を超えて情報を書き込んでしまう」、いわゆるバッファオーバフローに対して「言語的なブロック」があるのですが、C言語にはンなものはまったくないので。 この１点だけでも、嫌がる人はかなりいやがります。 > タグを埋め込まれる可能性があり、フォームを送り込まれて危険だということは調べました。 > でも、これもサーバに影響を及ぼすものではないと思うのです。 これに関しては「サーバに影響を及ぼさない」はYesですね。 でも、ブラウザで閲覧しているユーザに「直に」問題のある影響を与えてきたりします。 > 他にはどのようなものがあるのでしょうか・・・ Webアプリでのセキュリティホール、でしょうか？ んと…ぶっちゃけ「山のように」としか(苦笑 googleとかで調べられてみるとかなり大量に出てくると思います。 > あと、あるページで見たのですが > 「Cでプログラムするにはコンパイルの為にシェルを開放しなければならずそうすると解決不能なセキュリティホールを抱えることに」 > と、あったのですが、何故だかがわかりません。 解決不能かどうかは微妙ですが。 コンパイルのために、loginできてシェル使えて、という環境の提供が必須なので。 例えばレンタルサーバとかそういった環境の場合、場合によってはかなり致命的な出来事が起きるんじゃないかと思います。 逆に、例えば「自社開発で自社サーバで」とかだと、そこまで問題視する部分ではないように思います(まぁgccが嫌って話もありますが…その場合、クロスコンパイルとか色々あるわけですし)。 負けず劣らず長くなってしまいましたが(苦笑 何かの参考にでもなれば幸いです。