<div dir="ltr">Thanks guys.<br>Attilla, on further reflection, I completely agree that it's all rather weak - if anyone has access to the VM facilities, it probably is game over anyways.<br>Mihai - that is indeed a worry, in general. However, in case of such applications I'd hope I would have sufficient control over the deployment platform...<br>
<br><br><div class="gmail_quote">On Thu, Apr 28, 2011 at 5:04 PM, Mihai Balea <span dir="ltr"><<a href="mailto:mihai@hates.ms">mihai@hates.ms</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div style="word-wrap:break-word"><div class="im"><br><div><div>On Apr 28, 2011, at 9:38 AM, Attila Rajmund Nohl wrote:</div><blockquote type="cite"><div><font color="#000000"><br></font>I think the security threat in C would be that malicious other code<br>
allocated some memory and the credit card number would be there. I<br>think in Erlang you can't allocate memory without initializing it -<br>the closest is the unbound variable, but the emulator throws an<br>exception upon accessing unbound variables.<br>
<br>On the other hand, the Erlang VM provides great tracing features. If<br>that credit card number is passed to a function (or a list<br>comprehension) and the attacker knows the module name of that<br>function, he can setup trace and see the credit card number...<br>
</div></blockquote><br></div></div><div>I think that if attackers have access to the Erlang VM's memory space, then it's game over, they can get to anything.</div><div>But I believe the OP was concerned about memory pages released by the VM that, if not properly scrubbed, would allow somebody from outside the VM to glean info</div>
<div><br></div><font color="#888888"><div>Mihai</div><br></font></div><br>_______________________________________________<br>
erlang-questions mailing list<br>
<a href="mailto:erlang-questions@erlang.org">erlang-questions@erlang.org</a><br>
<a href="http://erlang.org/mailman/listinfo/erlang-questions" target="_blank">http://erlang.org/mailman/listinfo/erlang-questions</a><br>
<br></blockquote></div><br></div>