Abuse Melding

Je hebt een klacht over de onderstaande posting:

12-11-2015, 02:07 door Anoniem

Door Erik van Straten: 11 november 2015, 11:03 door Redactie: Dat lijkt in eerste instantie het geval, maar is onjuist. Libraries kunnen nou eenmaal functies bevatten die trusted input verwachten, omdat ze anders niet kunnen functioneren en/of te traag zijn. Of omdat de ontwikkelaar geen benul had dat je invoer moet valideren. Er lijkt met geen woord gerept dat deze library trusted input verwacht. Als een ontwikkelaar het al in het hoofd haalt om na te laten geen input validatie te implementeren dan mag je op zijn minst verwachten dat deze bewuste keuze kenbaar is gemaakt zodat ieder die de library wil gebruiken niet eerst zelf een code review hoeft te doen of die library wel veilig is. Het fixen of uitschakelen van de Apache Commons library lost dit ene probleem misschien even op, maar met de schijnwerpers op dit onderwerp verwacht ik meer vergelijkbare lekken in allerlei libraries. Vanwaar deze redenatie? Bijna dagelijks worden er meldingen gedaan van lekken in libraries. Dit lek was zelfs 9 maanden ...

Beschrijf je klacht (Optioneel):

captcha