<html><head></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><div><div>On Apr 28, 2011, at 9:38 AM, Attila Rajmund Nohl wrote:</div><blockquote type="cite"><div><font class="Apple-style-span" color="#000000"><br></font>I think the security threat in C would be that malicious other code<br>allocated some memory and the credit card number would be there. I<br>think in Erlang you can't allocate memory without initializing it -<br>the closest is the unbound variable, but the emulator throws an<br>exception upon accessing unbound variables.<br><br>On the other hand, the Erlang VM provides great tracing features. If<br>that credit card number is passed to a function (or a list<br>comprehension) and the attacker knows the module name of that<br>function, he can setup trace and see the credit card number...<br></div></blockquote><br></div><div>I think that if attackers have access to the Erlang VM's memory space, then it's game over, they can get to anything.</div><div>But I believe the OP was concerned about memory pages released by the VM that, if not properly scrubbed, would allow somebody from outside the VM to glean info</div><div><br></div><div>Mihai</div><br></body></html>