分類
CISSP

檢查時間到使用時間(TOCTOU、TOCTTOU或TOC/TOU)

軟件開發中檢查時間到使用時間TOCTOUTOCTTOUTOC/TOU)是一類由涉及檢查系統一部分狀態的競爭條件引起的軟件錯誤(例如安全憑證)以及該檢查結果的使用

防止 TOCTOU [編輯]

儘管概念很簡單,但 TOCTOU 競爭條件很難避免和消除。一種通用技術是使用異常處理而不是檢查,在 EAFP 的哲學下——“請求寬恕比許可更容易”而不是 LBYL——“跳之前先看看”——在這種情況下沒有檢查和失敗在使用時通過異常檢測到要保持的假設。

文件鎖定是防止單個文件競爭條件的常用技術,但它沒有擴展到文件系統命名空間和其他元數據,鎖定也不適用於網絡文件系統,並且不能防止 TOCTOU 競爭條件。

資料來源:https://en.wikipedia.org/wiki/Time-of-check_to_time-of-use

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。