Cool and I agree,<br>but its still out there and a fact of life. Describing the issues with native methods in code and with the aid of some examples, it would be best delivered so developers,given the choice would avoid this path.
<br><br><div><span class="gmail_quote">On 18/01/07, <b class="gmail_sendername">Jim Manico</b> &lt;<a href="mailto:jim@manico.net">jim@manico.net</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">



  

<div bgcolor="#ffffff" text="#000000">
That was me, Eoin. There are betting ways that Native Methods any they
should not ever be used by web programmers. Corba is safer. I stand by
my originial statment&nbsp; that Native Methods should never be used in Web
Applications and if found in cod review it should be flagged and
immediately rolled away from. <br>
<br>
- Jim<br>
<br>
Dinis Cruz wrote:
<blockquote cite="http://mid701fd6b60701180737g7293ee1ci306edb483dcf50e3@mail.gmail.com" type="cite"><div><span class="e" id="q_11036be7091b7fc8_1">Well, what you need is to tweak that statement a bit to
make it correct:
  <br>
  <br>
&quot;The moment you see native methods (which leave the Java security
manager
  <br>
and memory protection), you know you found an area that might contain
  <br>
potential Buffer Overflows, or other C++ type vulnerabilities.&quot;
  <br>
  <br>
And I will add
  <br>
  <br>
&quot;In the .Net Framework this is even more problematic due to the high
usage
  <br>
of unmanaged COM objects (Note to Dinis: Put here details about his
&#39;Buffer
  <br>
Overflows on the .Net Framework&#39; Research)&quot;
  <br>
  <br>
:)
  <br>
  <br>
Dinis Cruz
  <br>
Chief OWASP Evangelist, Are you a member yet?
  <br>
<a href="http://www.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.owasp.org</a>
  <br>
  <br>
  <br>
On 1/18/07, Eoin <a href="mailto:eoinkeary@gmail.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">&lt;eoinkeary@gmail.com&gt;</a> wrote:
  <br>
  <blockquote type="cite"><br>
Hi,
    <br>
Someone has be putting &quot;helpful&quot; comments in some sections of the Code
    <br>
review guide, such as:
    <br>
<a href="http://www.owasp.org/index.php/Native_Methods" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.owasp.org/index.php/Native_Methods</a>
    <br>
    <br>
&quot;The moment you start writing native methods you leave the Java
security
    <br>
manager and memory protection faculties. Don&#39;t do it.&quot;
    <br>
    <br>
Firstly this is not helpful to anyone involved in code review.
    <br>
Secondly if we are performing a code review on a native method code
block
    <br>
this advice is too late and useless.
    <br>
Thirdly, sometimes native methods need to be used for legacy reasons.
    <br>
    <br>
The guide is to show what to look for in code review, This helpful
advice
    <br>
is firstly aimed at the developer and hence no good for a code
reviewer.
    <br>
    <br>
thanks,
    <br>
Eoin
    <br>
    <br>
    <br>
    <br>
--
    <br>
Eoin Keary OWASP - Ireland
    <br>
<a href="http://www.owasp.org/local/ireland.html" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.owasp.org/local/ireland.html</a>
    <br>
<a href="http://www.owasp.org/index.php/OWASP_Testing_Project" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.owasp.org/index.php/OWASP_Testing_Project</a>
    <br>
<a href="http://www.owasp.org/index.php/OWASP_Code_Review_Project" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://www.owasp.org/index.php/OWASP_Code_Review_Project</a>
    <br>
    <br>
_______________________________________________
    <br>
Owasp-testing mailing list
    <br>
<a href="mailto:Owasp-testing@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Owasp-testing@lists.owasp.org</a>
    <br>
<a href="http://lists.owasp.org/mailman/listinfo/owasp-testing" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://lists.owasp.org/mailman/listinfo/owasp-testing</a>
    <br>
    <br>
    <br>
    <br>
  </blockquote>
  <br>
  <br>
--
  <br>
  <br>
  </span></div><pre><hr size="4" width="90%">
_______________________________________________<br>Owasp-codereview mailing list<br><a href="mailto:Owasp-codereview@lists.owasp.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">Owasp-codereview@lists.owasp.org
</a>
<a href="http://lists.owasp.org/mailman/listinfo/owasp-codereview" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://lists.owasp.org/mailman/listinfo/owasp-codereview</a>
  </pre>
</blockquote>
<br>
<pre cols="72">-- <br>Best Regards,<br>Jim Manico<br>GIAC GSEC Professional, Sun Certified Java Programmer<br><a href="mailto:jim@manico.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">jim@manico.net
</a>
808.652.3805</pre>
</div>


</blockquote></div><br><br clear="all"><br>-- <br>Eoin Keary OWASP - Ireland<br><a href="http://www.owasp.org/local/ireland.html">http://www.owasp.org/local/ireland.html</a><br><a href="http://www.owasp.org/index.php/OWASP_Testing_Project">
http://www.owasp.org/index.php/OWASP_Testing_Project</a><br><a href="http://www.owasp.org/index.php/OWASP_Code_Review_Project">http://www.owasp.org/index.php/OWASP_Code_Review_Project</a>