| 1.1, Лютый жабист_ (?), 10:31, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– | |
"В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"
Блин, кто бы объяснил без стёба... допустим есть web-сервер undertow. И теперь через него любого качества приложение можно иметь во все щели, т.к. "13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"?! Ну не верится, ошибки в JVM же где-то в глубине, как это на 3-7 уровнях OSI то можно использовать?
А если не можно, то как на JVM осуществлять атаки "удалённо без проведения аутентификации"?!
| | |
| |
| 2.4, Аноним (-), 12:09, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Рискну предположить:
Известно, что программа состоит из: сегмент кода, сегмент данных. Код это инструкции для процессора, по сути код ассемблера (или инструкции smali для JVM в случае Java).
1. Классическая ошибка - это отсутствие проверки на длину массива. После определённого количества элементов (индекса) все данные считаются кодом и выполняются.
2. Ещё одна классическая ошибка - это парсинг данных, как в старых PHP сайтах (уже вымершая для сайтов благодаря подготовленным процедурам уязвимость). Где после определённого экранирующего символа все данные отправленные пользователем (массив или строка) в запросе считают кодом и выполняются.
3. Ну и совсем уж обычные глупые ошибки. Когда например отправил 100 раз запрос, а на 101 тебе открылась админка. Просто ошибка. Как в heartbleed, когда внезапно пароли передавались: https://ru.wikipedia.org/wiki/Heartbleed
4. Можно ещё выделить в отдельную категорию аппаратные ошибки. Как например недавняя, где после определённого количества обращений к ячейке RAM памяти соседние меняли значения. От них спасает рандомизация запросов.
| | |
| 2.19, Нанобот (ok), 18:10, 20/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Отставить панику. Для того, чтобы иметь во все щели твоё приложение, оно, как минимум, должно использовать уязвимые классы. Плюс, могут быть дополнительные ограничения
| | |
|
| |
| 2.3, Andrey Mitrofanov (?), 10:46, 20/07/2016 [^] [^^] [^^^] [ответить]
| –3 +/– |
>>плановый выпуск
>>Critical Patch Update
И ч-чё? Оракел победившего социализма. Всем обновить свои уязвимости.
| | |
| 2.28, Вареник (?), 01:45, 21/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
То что у любителе стало бы "Critical Patch Update", то у профессионалов - ждет до "планового выпуска".
| | |
|
| 1.5, iZEN (ok), 13:03, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
 Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько лет можно ловить одни те же ошибки в разных местах, обусловленные несовершенством инструмента? Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?
Это говорит о том, что на ранних стадиях отказа от применения C в силу его сложноси и изобретения Java как более простой версии, была совершена колоссальная системная ошибка - взят C++ в качестве основного языка программирования.
| | |
| |
| |
| 3.39, ram_scan (?), 19:16, 21/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.
Если ошибка может быть сделана она будет сделана. А си хоть с крестами хоть без поощряет плохое написание кода, прикрывая это наличием фич в духе "смотрите пацаны как я могу". И это легаси до последнего стандарта протащили и костылями обвешали.
| | |
|
| 2.7, Аноним (-), 14:24, 20/07/2016 [^] [^^] [^^^] [ответить]
| +13 +/– |
Вы зря говорите на языке, на котором можно сказать много глупостей. Язык для речи следует выбирать такой, на котором невозможно сказать ничего неправильного. Ведь такой язык - признак ума. Если человек не способен такой язык изучить, то он наверняка идиот и говорить с ним не о чем.
Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать неправильных вещей. Но его, видимо, в серьёз не восприняли и язык так и не разработали, оставив его лишь элементом художественной литературы.
| | |
| |
| |
| 4.29, Вареник (?), 01:47, 21/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Шкраб, сельпо, соцреализм?
Именно! ЗК, СИЗО, СССР, ВКЛСМ, ЗПТ, ТЧК.
| | |
|
| 3.14, Andrey Mitrofanov (?), 15:59, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать
> неправильных вещей. Но его, видимо, в серьёз не восприняли и язык
> так и не разработали, оставив его лишь элементом художественной литературы.
Да, норм. всё с новоязом. Маркотоиды регулярно промывают мОзги потреб-ям.
Просто они из оруэла сделали правильный вывод: чтоб нелзя было сказать, им не надо, им надь, чтоб цель думала и делала, чего им надо.
"Десяточка стала ещё лучче", "мйакросоувт самый большой друхх опенсурса". Регулярно в Новосях опенета.
| | |
|
| 2.8, Анонимус2 (?), 14:28, 20/07/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Вообще-то большая часть багов - в стандартной библиотеке, написанной на java, а не в jvm, написанной на c++
| | |
| |
| 3.35, _ (??), 17:14, 21/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да всё еще проще. На крестах можно написать жывыЭм, хоть и с багами. А вот на самой жабе - хренушки! :-))) Это всё что вам надо знать о Жабе! :)
| | |
| |
| 4.41, iZEN (ok), 20:27, 21/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
> багами. А вот на самой жабе - хренушки! :-))) Это всё
> что вам надо знать о Жабе! :)
JVM на Java — Jikes RVM.
| | |
| |
| 5.43, Andrey Mitrofanov (?), 12:05, 22/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
>> багами. А вот на самой жабе - хренушки! :-))) Это всё
>> что вам надо знать о Жабе! :)
> JVM на Java — Jikes RVM.
Ты когда писал, за пару суток до того: "Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?" - про неё не знал? Или ты теперь го/раст больше чем джавву "любишь"? Или чего-то жизненно важного не хватает в? Неужели еже-месячных обновлений?!
Теряюсь в догадках. Очень сложная Технология эта ваша напиши-везде. Непонятна-а-ая!
| | |
|
| 4.42, 1 (??), 11:19, 22/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Есть же питон на питоне (на самом деле ограниченном компилируемом подмножестве), почему нельзя выделить такое подмножество в Java и написать на нем JVM?
| | |
|
|
| 2.20, Нанобот (ok), 19:04, 20/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
из четырёх самых критичных багов три в java-классах (CVE-2016-3587, CVE-2016-3598, CVE-2016-3610), и только один - в .cpp-файле (CVE-2016-3606).
остальные баги мне смотреть лень, думаю, там расклад где-то такой-же.
Соответственно, замена С на неС не сильно бы помогла
| | |
| 2.30, Вареник (?), 01:51, 21/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько лет можно ловить одни те же ошибки в разных местах, обусловленные
> несовершенством инструмента?
Java же и так "безопасная", ибо "VM". Смотрим раннюю рекламу и наслаждаемся.
Вывести на рынок тормозящую в 2 раза VM, объясняя это тем что она написана на хрусте? Объясните это своему продавану.
| | |
| |
| 3.37, _ (??), 17:16, 21/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да тут какрах проблем нет. Девиз экономики 21-го века - чем хуже, тем лучше!
| | |
|
|
| 1.9, Володя (??), 15:20, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?
| | |
| |
| 2.10, z (??), 15:25, 20/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество и штабильность!
| | |
| |
| 3.12, Володя (??), 15:29, 20/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять.
| | |
| |
| 4.22, Led (ok), 19:11, 20/07/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять
... пока школу не закончу.
| | |
|
| 3.15, Andrey Mitrofanov (?), 16:01, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество
> и штабильность!
О, точн. MS-DOS 7.1. 30 лет на Рынке.
| | |
|
| 2.17, Kodir (ok), 16:50, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам стабилен. По кр. мере между Мускуль и Постгрес я б выбрал последний.
| | |
| |
| 3.23, Led (ok), 19:13, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам
> стабилен. По кр. мере между Мускуль и Постгрес я б выбрал
> последний.
Да кто ж рабам разрешит выбирать?
| | |
| |
| 4.31, Вареник (?), 01:53, 21/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> Да кто ж рабам разрешит выбирать?
Грамотный рабовладелец всегда учитывает психологический комфорт для рабов.
В конечном итоге это удешевляет их содержание - меньше затраты на охрану, меньше риск бунта.
| | |
|
|
| 2.21, Нанобот (ok), 19:07, 20/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?
бери Microsoft SQL Server 2016 Enterprise, не прогадаешь!
| | |
|
| 1.26, bob (??), 20:20, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
надеюсь джава в скором времени исчезнит с компов как и флеш
| | |
| |
| 2.32, Вареник (?), 01:57, 21/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
> надеюсь джава в скором времени исчезнит с компов как и флеш
Давайте перепишем мавен репо на руби. Или хрусте. А еще лучше на ассемблере.
На выходе будет то же самое, зато можно триллион баксов освоить, лет за 15. Миллион рабочих мест занять и наполнить очередным смыслом.
| | |
|
| 1.45, iZEN (ok), 11:32, 31/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Наконец портировали на FreeBSD:
openjdk8-8.92.14_3 < needs updating (index has 8.102.14)
| | |
|
