[iPhone] - Dicas de Programas e Jogos

**sopro** · 18-02-2014, 19:02

alguém aí sabe que app é esse?

**Alvinho** · 23-02-2014, 02:38

Caralho, bug mais bizarro que já vi na vida, simplesmente destruiu toda a segurança do iOS e OSX por causa de um goto:

Código:

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
                                 uint8_t *signature, UInt16 signatureLen)
{
	OSStatus        err;
	...

	if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
		goto fail;
	if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;
		goto fail;
	if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
		goto fail;
	...

fail:
	SSLFreeBuffer(&signedHashes);
	SSLFreeBuffer(&hashCtx);
	return err;
}

Não sei o que é mais bizarro, a Apple deixar passar isso ou o Xcode não dar warning.

E os fanboys ainda enchem a boca pra falar de segurança, lol.

**ekalil** · 23-02-2014, 02:54

Postado originalmente por Alvinho

Caralho, bug mais bizarro que já vi na vida, simplesmente destruiu toda a segurança do iOS e OSX por causa de um goto:

Código:

static OSStatus
SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams,
                                 uint8_t *signature, UInt16 signatureLen)
{
	OSStatus        err;
	...

	if ((err = SSLHashSHA1.update(&hashCtx, &serverRandom)) != 0)
		goto fail;
	if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;
		goto fail;
	if ((err = SSLHashSHA1.final(&hashCtx, &hashOut)) != 0)
		goto fail;
	...

fail:
	SSLFreeBuffer(&signedHashes);
	SSLFreeBuffer(&hashCtx);
	return err;
}

Não sei o que é mais bizarro, a Apple deixar passar isso ou o Xcode não dar warning.

E os fanboys ainda enchem a boca pra falar de segurança, lol.

explica ai pros leigos

**Alvinho** · 23-02-2014, 03:10

Um código é executado seguindo a ordem do "texto". Quando tem um if, ele só executa a linha seguinte (que é escrita mais "pra dentro" exatamente pra mostrar que faz parte do if) se o if for verdadeiro. Então quando tem

Código:

if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;

Esse "goto fail;" só é executado se o if for verdadeiro.

O problema é que por algum motivo tem isso no código:

Código:

if ((err = SSLHashSHA1.update(&hashCtx, &signedParams)) != 0)
		goto fail;
		goto fail;

Tem duas linhas iguais, dois goto. O problema é que o segundo goto NÃO faz parte do if, então ele vai sempre ser executado. Isso faz com que o programa pule o resto do código, pulando uma verificação de segurança.

Btw, goto é muito mal visto em programação, ninguém recomenda o uso, exatamente porque fode todo o fluxo de execução.

**lagostinha** · 23-02-2014, 03:46

va chegar dedo alvinho

windows e android tem milhoes de bugs e merdas q ocorrem todo dia e so pq essa merda de goto sei la o q ta dando pau vc vem correndo aqui encher o saco da nossa gangue, tnc

**sopro** · 23-02-2014, 04:20

olha esse @lagostinha hahahahaah

**lagostinha** · 23-02-2014, 04:28

lol, era "va cheirar dedo alvinho"

saiu estranho ali

**bruccm** · 23-02-2014, 10:07

Android q eh bom! Mto mais seguro e com um loja sem app maliciosos

**Alvinho** · 23-02-2014, 11:55

Eu nunca vi um bug do Windows ou Android que simplesmente entrega sua senha e login sem criptografia nenhuma.

**Alvinho** · 23-02-2014, 11:55

Postado originalmente por bruccm

Android q eh bom! Mto mais seguro e com um loja sem app maliciosos

apps maliciosos, Hahahahaha

Lista de Usuários Marcados

Tópico: [iPhone] - Dicas de Programas e Jogos

Ferramentas de Tópicos

Exibir

Permissões de postagem