Ein großer Prozentsatz des Programmierers (in meiner vielleicht zu Unrecht negativ versetzten Sicht der Welt) entweder nicht verstehen, Sicherheitsbedenken überhaupt nicht oder nicht verstehen, welche Datenstrukturen, die sie verwenden sind verwundbar. Eine ganze Tonne von Programmierern ging durch die 90er Jahre, wo jeder gets() verwendete und sogar jedes C-Buch da draußen ermutigte es. Jetzt würden Sie verrückt genannt werden, um es zu benutzen. Aber nicht jeder hat das Memo erhalten!
Unterkategorien umfassen „wird niemand stören meine App angreifen“, „es ist nur ein Prototyp sowieso“, und „es nächste Woche fällig ist, werde ich es beheben später“
- Schwierigkeit (wahrgenommen oder auf andere Weise)
Es ist eigentlich wirklich schwer tragbar, korrekt und sicher C-Code zu schreiben. Fast jedes nichttriviale Projekt, das nicht mit einem scharfen Auge geschrieben wurde, hat wahrscheinlich Bugs, wenn nicht sogar offensichtliche Schwachstellen. Und in einer nicht verwalteten Sprache wie C können viele Bugs Sicherheitsprobleme verursachen.
Es ist auch schwierig, APIs zu erstellen, die sowohl "benutzbar" als auch "sicher" sind.
Und für das letzte Messer in der Leiche, betreffen alle diese Probleme alle Entwickler im gesamten Projekt. Dazu gehören alle Bibliotheken, die Sie verwenden, alle Bibliotheken sie verwenden, bis hin zu und einschließlich des Betriebssystemkernels, den Sie verwenden. Jeder Programmierer, der auf dem Weg in irgendeine Sicherheitsfalle gerät, kompromittiert das Ganze ziemlich.
Viele dieser Probleme werden mit verwalteten Sprachen besser - zumindest können Sie nicht über willkürlichen Speicher scribbeln, aber es gibt immer noch verschiedene Klassen von Sicherheitsproblemen.
Ignoranz ist # 1. Sicherheit und Best Practices werden weder gelehrt noch hervorgehoben. Und wie bereits bei gets() erwähnt, können sich "Best-Practices" im Laufe der Zeit ändern. – LaJmOn