Názory k článku
Apple opravil chybu v iOS při přístupu na WiFi s % v názvu
-
Nejspolehlivější "oprava" by bylo vyloučit z povolených znaků pro SSID všechna svinstva jako například emoji a podobně. Jen to zbytečně rozšiřuje plochu cíle pro případný útok. Na straně AP (špatně kontroluje délku pro emoji atd.) i na straně připojivaného zařízení (např. špatně nekontroluje délku a snaží se to navíc i spustit).
-
Lukáš TurekStříbrný podporovatel
Podle standardu je SSID binární řetězec, takže může mít 0 až 32 úplně libovolných znaků.
-
Filip JirsákStříbrný podporovatelNe znaků, ale oktetů. Z oktetů na znaky to musíte převést nějakým kódováním, které ale myslím pro SSID standardizované není. U viditelných SSID to vlastně nevadí, maximálně uvidíte něco divného. U skrytých SSID může být problém napsat to, co někde vidíte. Ale předpokládám, že reálně se to všude interpretuje jako UTF-8. Což bohužel zase vede na neplatné kombinace oktetů, které jsou validní SSID ale nevalidní UTF-8.
-
Lukáš TurekStříbrný podporovatel
Stačí úplně jednoduchý kód: je-li řetězec platné UTF-8 (což zahrnuje i ASCII), zobraz ho jako UTF-8, jinak ho zobraz třeba hexadecimálně.
To mi připomíná, v nové verzi standardu může AP označit, že SSID je v UTF-8, ale to je podle mě chyba, protože to skrývá past: svádí to, aby klient neověřoval, jestli je SSID opravdu platné UTF-8 a rovnou ho zobrazil.
-
Filip JirsákStříbrný podporovatel
Ano, ale to už jsou právě ty výjimky, které musí kód řešit. Na které se často zapomíná a o kterých lidé často ani netuší, že je mají řešit. Kolik programátorů asi napadne, když se dozví, že SSID je v UTF-8, že mohou také dostat neplatnou sekvenci bajtů? Kolik programátorů vůbec ví, že ne každá posloupnost bajtů je platná sekvence UTF-8?
-
Lukáš TurekStříbrný podporovatel
Ano, právě na to je potřeba myslet při návrhu standardů, že implementaci pak budou dělat lidé a lidé dělají chyby. Tj. nedávat tam zbytečné označení, že SSID je v UTF-8, když to v praxi nic nepřinese (stejně je potřeba ověřovat, zda je to platné UTF-8) a hrozí, že se na to programátoři nachytají a způsobí bezpečnostní problém.
-
Filip JirsákStříbrný podporovatel
Na druhou stranu, SSID je něco, co se zobrazuje uživateli, někdy to uživatel dokonce musí odněkud opsat. Zobrazovat to jako oktety, třeba hexadecimálně, není zrovna uživatelsky přívětivé. Použít UTF-8 je asi nejméně špatné řešení. Buďme rádi, že je aspoň dodatečně určeno, že ty oktety mají být interpretovány jako UTF-8. Je pořád spousta případ, kdy kódování textu určené není a každý si to může interpretovat, jak chce…
-
Filip JirsákStříbrný podporovatel
Právě naopak. Nejspolehlivější oprava je, když jsou povolené všechny znaky (jako to v SSID doopravdy je, resp. tam nejsou znaky ale oktety). Jakmile nějaké znaky nejsou povolené, je to něco speciálního, co se musí extra ošetřit a nejspíš to každý ošetří trochu jinak.
-
Ondra Satai NekolaZlatý podporovatelTak hlavne uz je pozde bycha honiti.
Zpetne to nejak omezit proste rozumne nejde. -
Filip JirsákStříbrný podporovatel
Dá se z toho poučit pro příště. Jenže tady je ten standard správně, nedává žádnému vstupu speciální význam.
-
Filip JirsákStříbrný podporovatel
To je ovšem zpětně kompatibilní změna – UTF-8 je pořád jen posloupnost oktetů. Takže i staré řešení, které tomuto bitu nerozumí, bude pořád fungovat.
-
Ondra Satai NekolaZlatý podporovatel
To nevyresi nic. Pokud budes mit "zle" SSID, tak proste bude pouzivat dal a dal zpetnou kompatibilitu klientu...
