<p dir="ltr"><br>
On Aug 24, 2016 11:45 AM, "Sebastian Krahmer" <<a href="mailto:krahmer@suse.com">krahmer@suse.com</a>> wrote:<br>
><br>
> On Wed, Aug 24, 2016 at 02:08:48AM +0000, Peter Gutmann wrote:<br>
> > Jerry Leichter <<a href="mailto:leichter@lrw.com">leichter@lrw.com</a>> writes:<br>
> ><br>
> > >We've had safe programming languages for quite some time, but this kind of<br>
> > >code continues to be written in C.<br>
> ><br>
> > There's also the other problem, inspired by Ed Post's comment that "the<br>
> > determined Real Programmer can write FORTRAN programs in any language".  You<br>
> > can write insecure code in any language, it's just that C is everywhere, and<br>
> > in particular in mission-critical areas, so the problems are more visible.<br>
> > Look at Java for example, no buffer overflows and no pointers so it's got to<br>
> > be totally secure.  No-one has ever found an exploit involving Java, have<br>
> > they?<br>
><br>
> Never! The design goal of java - being a secure language by removing<br>
> pointers and having exceptions - was entirely achieved.<br>
> Also, python (php,golang,...) programs are known to have no security issues at all.<br>
> If someone forgets to check certificates, doing it the wrong way,<br>
> allocated too short buffers or relies on untrusted input: Blame it all<br>
> to the language.</p>
<p dir="ltr">Consequence of short buffer in java: a crash. In C: epic pwnage. All the other bugs still exist in C programs. Java just closes a huge swath.</p>
<p dir="ltr">><br>
> "safe programming languages" for the lulz. There is no such thing.<br>
> Theorem: The safer and easy-to-use the language is, the more stupid bugs will come around.<br>
> php showed us the hard way that for "safe languages", bug classes are rising<br>
> that nobody would have thought of before.<br>
><br>
> Sebastian<br>
><br>
> --<br>
><br>
> ~ perl <a href="http://self.pl">self.pl</a><br>
> ~ $_='print"\$_=\47$_\47;eval"';eval<br>
> ~ <a href="mailto:krahmer@suse.com">krahmer@suse.com</a> - SuSE Security Team<br>
><br>
> _______________________________________________<br>
> The cryptography mailing list<br>
> <a href="mailto:cryptography@metzdowd.com">cryptography@metzdowd.com</a><br>
> <a href="http://www.metzdowd.com/mailman/listinfo/cryptography">http://www.metzdowd.com/mailman/listinfo/cryptography</a></p>