forum.opennet.ru - "Уязвимость в oFono, эксплуатируемая через SMS" (76)

"Уязвимость в oFono, эксплуатируемая через SMS"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в oFono, эксплуатируемая через SMS"	+/–
Сообщение от opennews (ok), 21-Дек-23, 11:18
В развиваемом компанией Intel открытом телефонном стеке oFono, используемом для организации осуществления звонков, передачи данных через сотового оператора и отправки SMS в таких платформах, как Tizen, Ubuntu Touch, Mobian, Maemo, postmarketOS и Sailfish/Aurora, выявлены две уязвимости, позволяющие организовать выполнение кода при обработке специально оформленных SMS-сообщений. Уязвимости устранены в выпуске oFono 2.1... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60326
Ответить \| Правка \| Cообщить модератору

Оглавление

Удобненько, Анонимно (ok), 11:18 , 21-Дек-23, (1) +4

А аврорку то обновлять никто не будут она как вышла сертифицированная так и стои, Аноним (11), 12:16 , 21-Дек-23, (11) +2

Аврорка под пристальным оком товарища майора Враги туда не пройдут , Аноним (17), 13:17 , 21-Дек-23, (17)

Смска стой раз, два Уязвимость исправься на счёт три , Аноним (11), 13:39 , 21-Дек-23, (22) +5

Так это и не уязвимость вовсе, а намерено оставленный бэкдор как раз для товарищ, ИмяХ (ok), 14:08 , 21-Дек-23, (28)

А как ты это определил Работаешь майором , Аноним (32), 14:56 , 21-Дек-23, (32) +3

Он шпион НАТО , Аноним (78), 12:23 , 22-Дек-23, (78)

Ну это смотря какого майора Теперь то майоры туда зачастят Кому разведчик, а к, Аноним (-), 19:50 , 21-Дек-23, (58)

На авроре рут есть Если нет то это не взлом, а освобождение, vitalif (ok), 23:16 , 21-Дек-23, (69) +1

Что интересно, обе уязвимости выявлены с помощью AddressSanitizer, а нам кто-то , Аноним (4), 11:49 , 21-Дек-23, (4) +1

Тот факт, что уязвимости этими инструментами могут быть выявлены никто не оспари, Анонимус3000 (?), 11:59 , 21-Дек-23, (5)

сколько говорят что надо на раст переписывать - и удобно и быстро и безопасно - , Аноним (15), 12:56 , 21-Дек-23, (15)

Хм какое интересно и, главное, безосновательное утверждение У гугл получается, Анонимусс (?), 13:07 , 21-Дек-23, (16)

так у них магия денег - плати мне и я тоже начну переписывать на раст, Аноним (15), 13:17 , 21-Дек-23, (18)

Т е дело не в том, что язык плохой, а только в деньгах А примерно так и подумал , Анонимусс (?), 13:39 , 21-Дек-23, (23)

дело всегда только в деньгах - мне баги безопасности не мешают абсолютно, платит, Аноним (15), 14:00 , 22-Дек-23, (82)

Отличная фраза Я добавлю ее в свою табличку самые глупые отмазки по поводу баг, Аноним (-), 17:08 , 22-Дек-23, (86)

сколько драйверов ты переписал на раст сколько же тут дурачков бегает с таблич, Аноним (15), 18:05 , 22-Дек-23, (88)

Целый один и две утилиты Это немного, но это честный труд с Но смотря как ты , Аноним (-), 18:14 , 22-Дек-23, (89)

покажешь , Аноним (15), 18:19 , 22-Дек-23, (90)

Кого куда он перевёл Пруфы будут даже в ядре фучсии без плюсов не обошлось , Вы забыли заполнить поле Name (?), 13:39 , 21-Дек-23, (21) +1

Без проблем, вот их блог opensource googleblog com 2023 06 rust-fact-vs-fiction-, Анонимусс (?), 14:10 , 21-Дек-23, (29)

gt оверквотинг удален Я тебе подобную пасту могу накатать Имея нормальные гот, Вы забыли заполнить поле Name (?), 15:22 , 21-Дек-23, (34)

Может ты просто не понимаешь, сколько стоит денег и занимает времени верификация, Аноним (-), 15:43 , 21-Дек-23, (36) –3

Ты бред написал и подменил понятия , Аноним (55), 19:38 , 21-Дек-23, (55) +2

Ну накатай, кто ж тебе запретит Напиши как ты взял людей с питончика или го, и з, анонимусс (?), 15:47 , 21-Дек-23, (39) +1

Может проблему стоит в себе поискать раз не доводилось Давай покажи мне код на р, Вы забыли заполнить поле Name (?), 19:44 , 21-Дек-23, (56)

Ты совсем не понимаешь о чем речь Это ядро верифицировали 11 человеко-лет The , Аноним (-), 19:59 , 21-Дек-23, (59)

gt оверквотинг удален Загляни в репозиторий фучсии и увидь код ядра zircon и ч, Вы забыли заполнить поле Name (?), 21:15 , 21-Дек-23, (62)

Не-не-не, ты уже не сдашь назад Ты сам отвечал Может ты просто не понимаешь, чт, Аноним (-), 21:39 , 21-Дек-23, (64)
С самого начала об этом говорил Перечитай тред Мне лень форкать репу https o, Вы забыли заполнить поле Name (?), 23:40 , 21-Дек-23, (70)
Конечно есть Фуксию - ее делать начали еще в 2016м Точнее еще раньше, в 2016 по, Аноним (-), 21:52 , 21-Дек-23, (65)

А что на Carbon они уже забили , fuggy (ok), 11:15 , 22-Дек-23, (77)

С карбоном ситуация интереснее Смотрим их README md на github com carbon-languag, Анонимусс (?), 14:37 , 22-Дек-23, (85)
Carbon пилится отдельно На последних конфах по плюсам о нем есть выступления И, Вы забыли заполнить поле Name (?), 20:26 , 22-Дек-23, (91)

Между 171 выявлены 187 и 171 не допущены 187 есть существенная разница , Аноним (9), 12:12 , 21-Дек-23, (9) –4

Подробно про неё расскажу гуру наш , Аноним (11), 12:15 , 21-Дек-23, (10)
Добавь в makefile -fsanitize address и эта существенная разница сводится к нул, Аноним (4), 12:16 , 21-Дек-23, (12)

К сожалению это добавит основательно кода и аппетитов к RAM и получится нечто ср, Аноним (-), 23:11 , 21-Дек-23, (66)

Мой опыт показывает если что-то делать не обязательно - то это делаться не буде, Анонимусс (?), 12:41 , 21-Дек-23, (14)

В OpenSource и Free Software проектах ничто не мешает добавить санитайзеры в CI , Andrey (??), 13:45 , 21-Дек-23, (24)
А латексный костюмчик, ошейничек и плёточку покажете , Аноним (26), 13:53 , 21-Дек-23, (26)

Хм те понятие иерархия у тебя ассоциируется только латексом, ошейником и плет, Анонимусс (?), 14:18 , 21-Дек-23, (30) +2

Хуже фанатиков какой-либо фигни могут быть только коммерчески заинтересованные ф, Tron is Whistling (?), 14:04 , 21-Дек-23, (27)

Телефонный стек настолько сложный что никто кроме большой компании не может его , Аноним (11), 12:07 , 21-Дек-23, (7)
Первая extract_bcd_number pdu offset, byte_len, out- address , Анонимусс (?), 12:11 , 21-Дек-23, (8) –2
Жалко только не написали сколько эта незакладка спокойненько жила в коде , Аноним (-), 12:17 , 21-Дек-23, (13) +1
Список коммитов отлично показывает качество разработкиЧИтать снизу вверх2023-08-, фнон (?), 14:45 , 21-Дек-23, (31) +4
Скрыто модератором, Аноним (33), 15:03 , 21-Дек-23, (33) –4

Скрыто модератором, Вы забыли заполнить поле Name (?), 15:25 , 21-Дек-23, (35) +3

Скрыто модератором, Аноним (-), 15:47 , 21-Дек-23, (38) –1

Скрыто модератором, nox. (?), 17:34 , 21-Дек-23, (41)

Скрыто модератором, фнон (?), 17:52 , 21-Дек-23, (45)
Скрыто модератором, Аноним (49), 18:02 , 21-Дек-23, (49)

Скрыто модератором, Аноним (-), 18:13 , 21-Дек-23, (51)

Если нет способностей освободить столько же памяти, сколько выделено, проконтрол, nox. (?), 17:37 , 21-Дек-23, (42) +2

Срочно выписывай из программистов всех, вплоть до Ричи, не ошибешься , Аноним (49), 18:03 , 21-Дек-23, (50)

Лол Ты сейчас пишешь из под бразуера на с , в котором каждый релиз закрывается, Вы забыли заполнить поле Name (?), 19:46 , 21-Дек-23, (57)

Ахаха, как же быстро ты опустился до сперва добейся Я пишу из браузера где уж, Аноним (-), 20:08 , 21-Дек-23, (60)

Из огнелиса чтоль Дык там большинство кода на безопаснейшем js Мечтать не вред, Вы забыли заполнить поле Name (?), 21:04 , 21-Дек-23, (61) +3

Да про что угодно И про драйвер, и про спутник И про Arti замена либы Tor num, Аноним (-), 21:31 , 21-Дек-23, (63) –1

gt оверквотинг удален Это называется слашу звон, да не знаю где он Ты можешь , Вы забыли заполнить поле Name (?), 23:58 , 21-Дек-23, (72)

Корпоративная Защищённая Своя , avsprv (ok), 15:47 , 21-Дек-23, (37)

Скрыто модератором, Аноним (-), 23:13 , 21-Дек-23, (67)
choose any two , Аноним (68), 23:15 , 21-Дек-23, (68)

Кстати, ОМП поправило молодцыhttps lore kernel org ofono 20231221141638 19774, Аноним (52), 18:32 , 21-Дек-23, (52) +4

хоть кто-то готов мешки ворочать, 123 (??), 18:35 , 21-Дек-23, (53)
Круто Молодцы , Аноним (74), 06:05 , 22-Дек-23, (74)

Вместо того чтобы писать на c и не обмазываться указателями на каждый чих они , Аноним (73), 05:50 , 22-Дек-23, (73)

А почему не Rus , Аноним (74), 06:05 , 22-Дек-23, (75)

Потому что Eng, Аноним (78), 12:42 , 22-Дек-23, (81)

Принимать недоверенные данные через С С не в песочнице или переписать на расте, Пряник (?), 09:43 , 22-Дек-23, (76)

Проверять данные , Аноним (78), 12:37 , 22-Дек-23, (80)

Скрыто модератором, Аноним (-), 14:06 , 22-Дек-23, (83) +1

Есть еще вариант писать на С С , сипрользоваться всяие смартпойнтеры или их сур, Анонимусс (?), 14:22 , 22-Дек-23, (84) +2

Многим погроммистам достаточно, что их код хотя бы запускается и что-то делает , Пряник (?), 12:04 , 25-Дек-23, (92)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в oFono, эксплуатируемая через SMS" +4 +/–

Сообщение от Анонимно (ok), 21-Дек-23, 11:18

>> Уязвимость в oFono, эксплуатируемая через SMS
>> Aurora
Удобненько

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в oFono, эксплуатируемая через SMS" +2 +/–

Сообщение от Аноним (11), 21-Дек-23, 12:16

А аврорку то обновлять никто не будут она как вышла сертифицированная так и стоит.

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (17), 21-Дек-23, 13:17

Аврорка под пристальным оком товарища майора. Враги туда не пройдут!

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в oFono, эксплуатируемая через SMS" +5 +/–

Сообщение от Аноним (11), 21-Дек-23, 13:39

Смска стой раз, два. Уязвимость исправься на счёт три.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от ИмяХ (ok), 21-Дек-23, 14:08

Так это и не уязвимость вовсе, а намерено оставленный бэкдор как раз для товарищ мaйopa

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в oFono, эксплуатируемая через SMS" +3 +/–

Сообщение от Аноним (32), 21-Дек-23, 14:56

А как ты это определил? Работаешь майором?

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (78), 22-Дек-23, 12:23

Он шпион НАТО.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 21-Дек-23, 19:50

> Аврорка под пристальным оком товарища майора.
Ну это смотря какого майора. Теперь то майоры туда зачастят. Кому разведчик, а кому и шпион, от точки зрения зависит.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

69. "Уязвимость в oFono, эксплуатируемая через SMS" +1 +/–

Сообщение от vitalif (ok), 21-Дек-23, 23:16

На авроре рут есть? Если нет то это не взлом, а освобождение

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость в oFono, эксплуатируемая через SMS" +1 +/–

Сообщение от Аноним (4), 21-Дек-23, 11:49

Что интересно, обе уязвимости выявлены с помощью AddressSanitizer, а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Анонимус3000 (?), 21-Дек-23, 11:59

> а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык
Тот факт, что уязвимости этими инструментами могут быть выявлены никто не оспаривал, мне кажется, иначе зачем их используют? Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (15), 21-Дек-23, 12:56

> Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?
сколько говорят что надо на раст переписывать - и удобно и быстро и безопасно - вжух-вжух и готово! Но когда доходит до дела магия лапши растворяется.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Анонимусс (?), 21-Дек-23, 13:07

Хм... какое интересно и, главное, безосновательное утверждение.
У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца, а у тебя магия растворяется...
Предположу, что ты просто неосилятор.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (15), 21-Дек-23, 13:17

> У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца
так у них магия денег - плати мне и я тоже начну переписывать на раст

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Анонимусс (?), 21-Дек-23, 13:39

Т.е дело не в том, что язык плохой, а только в деньгах?
А примерно так и подумал)

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (15), 22-Дек-23, 14:00

> Т.е дело не в том, что язык плохой, а только в деньгах?
дело всегда только в деньгах - мне баги безопасности не мешают абсолютно, платить должны те кому мешают, собственно так и происходит

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 22-Дек-23, 17:08

> мне баги безопасности не мешают абсолютно
Отличная фраза!
Я добавлю ее в свою табличку "самые глупые отмазки по поводу багов, которые я слышал".
> платить должны те кому мешают, собственно так и происходит
Странно, добавление Хруста в ядро оплачивают корпы, а аноны воют так, как будто у них из кармана кошелек украли.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (15), 22-Дек-23, 18:05

> Я добавлю ее в свою табличку "самые глупые отмазки по поводу багов, которые я слышал".
сколько драйверов ты переписал на раст ? сколько же тут дурачков бегает с табличками..

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 22-Дек-23, 18:14

> сколько драйверов ты переписал на раст ? сколько же тут дурачков бегает с табличками..
Целый один и две утилиты! Это немного, но это честный труд. (с)
Но смотря как ты оправдываешь бракоделов - я понимаю почему ИТ в такой заднице.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (15), 22-Дек-23, 18:19

> Целый один
покажешь ?

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в oFono, эксплуатируемая через SMS" +1 +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 13:39

Кого куда он перевёл? Пруфы будут?даже в ядре фучсии без плюсов не обошлось.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

29. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Анонимусс (?), 21-Дек-23, 14:10

> Пруфы будут?
Без проблем, вот их блог opensource googleblog com/2023/06/rust-fact-vs-fiction-5-insights-from-googles-rust-journey-2022.html
Смотрим раздел "Rumor 1: Rust takes more than 6 months to learn – Debunked !"
Они взяли программистов с опытом C/C++, Python, Java, Go, or Dart и дали им писать на новом языке.
Причем с Растом раньше имели дело только 13%.
И посмотрели сколько из них освоились без потери продуктивноси.
more than 2/3 of respondents are confident in contributing to a Rust codebase within two months or less when learning Rust.
Т.е 27% увернно писали за 2-3 недели, и еще почти 40% - за два месяца.
Потерь продуктивности при этом замечено не было.
we’ve seen no data to indicate that there is any productivity penalty for Rust relative to any other language these developers previously used at Google
> даже в ядре фучсии без плюсов не обошлось.
Может у них сидит менеджер растохейтер, как анноны тут.
Почему-то для последнего проекта Open Se Cura (который программно-аппаратный) она взяла ядро  seL4 (думаю из-за верификации), а поверх все системное окружение пишется на Раст.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 15:22

>[оверквотинг удален]
> Причем с Растом раньше имели дело только 13%.
> И посмотрели сколько из них освоились без потери продуктивноси.
> more than 2/3 of respondents are confident in contributing to a Rust
> codebase within two months or less when learning Rust.
> Т.е 27% увернно писали за 2-3 недели, и еще почти 40% -
> за два месяца.
> Потерь продуктивности при этом замечено не было.
> we’ve seen no data to indicate that there is any productivity penalty
> for Rust relative to any other language these developers previously used
> at Google
Я тебе подобную пасту могу накатать. Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал. Для примера возьми qt.
>> даже в ядре фучсии без плюсов не обошлось.
> Может у них сидит менеджер растохейтер, как анноны тут.
> Почему-то для последнего проекта Open Se Cura (который программно-аппаратный) она взяла
> ядро  seL4 (думаю из-за верификации), а поверх все системное окружение
> пишется на Раст.
Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в oFono, эксплуатируемая через SMS" –3 +/–

Сообщение от Аноним (-), 21-Дек-23, 15:43

> даже гугл с их возможностями не смог на расте написать ос
Может ты просто не понимаешь, сколько стоит денег и занимает времени верификация ядра типа seL4.
Поэтому гугл просто взял готовенькое. А учитывая, что это микроядро на целых "8,700 lines of C and 600 lines of assembler", то по факту всю ось они пишут на расте.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в oFono, эксплуатируемая через SMS" +2 +/–

Сообщение от Аноним (55), 21-Дек-23, 19:38

Ты бред написал и подменил понятия.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в oFono, эксплуатируемая через SMS" +1 +/–

Сообщение от анонимусс (?), 21-Дек-23, 15:47

> Я тебе подобную пасту могу накатать.
Ну накатай, кто ж тебе запретит.
Напиши как ты взял людей с питончика или го, и за 2 месяца они начали выдавать С/С++ достойного качества.
Но что-то мне таких историй успеха читать не доводилось, бгг.
> Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал.
Хм... как будто это что-то плохое)
Хотя про готовые либы ничего написано не было, это ты сам додумал.
> Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.
Не смогла или не захотела?
Думаю у сони хватило бы денег на свою операционку, но они 3ю плойку делали на БСД.
И у эпл денег тоже не мало, но она тоже позаимстовала часть кода.
А что если можно взять готовое, проверненное (если говорить о seL4, то еще и формально верифицированное) и еще и забесплатно?
Та тут любой корп просто заплачет от радости.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

56. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 19:44

>> Я тебе подобную пасту могу накатать.
> Ну накатай, кто ж тебе запретит.
> Напиши как ты взял людей с питончика или го, и за 2
> месяца они начали выдавать С/С++ достойного качества.
> Но что-то мне таких историй успеха читать не доводилось, бгг.
Может проблему стоит в себе поискать раз не доводилось?
>> Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал.
> Хм... как будто это что-то плохое)
> Хотя про готовые либы ничего написано не было, это ты сам додумал.
Давай покажи мне код на расте гугла, который не использует стандартную либу или карго. Жду.
>> Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.
> Не смогла или не захотела?
> Думаю у сони хватило бы денег на свою операционку, но они 3ю
> плойку делали на БСД.
> И у эпл денег тоже не мало, но она тоже позаимстовала часть
> кода.
> А что если можно взять готовое, проверненное (если говорить о seL4, то
> еще и формально верифицированное) и еще и забесплатно?
> Та тут любой корп просто заплачет от радости.
Ну то есть какие-то левые отмазы, а по факту сказать не можешь? Ну я так и думал. Ну переписали бы на расте "безопасном" за вечер, там на С 9000 строк кода. Все равно код будет эволюционировать. Возможно дело в чем-то другом, подумай об этом.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 21-Дек-23, 19:59

> Ну переписали бы на расте "безопасном" за вечер, там на С 9000 строк кода.
> Все равно код будет эволюционировать.
Ты совсем не понимаешь о чем речь? Это ядро верифицировали 11 человеко-лет.
"The total effort for the seL4-specific proof was 11 py."
Плюс еще 9 человеко-лет для разработки методологии, фреймворков и тд.
Чтобы это повторить - нужно будет потратить 6-8 человеко-лет.
"We expect that re-doing a similar verification for a new kernel, using the same overall methodology, would reduce this figure to 6 py, for a total (kernel plus proof) of 8 py."
Если ты хоть что-то в нем поменяешь, то придется переделывать, как минимум частично.
Это не твой ####код быстренько на проде править.

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 21:15

>[оверквотинг удален]
> Ты совсем не понимаешь о чем речь? Это ядро верифицировали 11 человеко-лет.
> "The total effort for the seL4-specific proof was 11 py."
> Плюс еще 9 человеко-лет для разработки методологии, фреймворков и тд.
> Чтобы это повторить - нужно будет потратить 6-8 человеко-лет.
> "We expect that re-doing a similar verification for a new kernel, using
> the same overall methodology, would reduce this figure to 6 py,
> for a total (kernel plus proof) of 8 py."
> Если ты хоть что-то в нем поменяешь, то придется переделывать, как минимум
> частично.
> Это не твой ####код быстренько на проде править.
Загляни в репозиторий фучсии и увидь код ядра zircon и части userspace на С++, который отношение к тому, что ты говоришь не имеет. Есть что сказать?

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 21-Дек-23, 21:39

Не-не-не, ты уже не сдашь назад.
Ты сам отвечал "Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос." на утверждение про Open Se Cura. А сейчас внезапно про фучсии писать начал.
Давай следи за диалогом и не сливайся.

Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 23:40

> Не-не-не, ты уже не сдашь назад.
С самого начала об этом говорил. Перечитай тред.
> Ты сам отвечал "Может ты просто не понимаешь, что даже гугл с
> их возможностями не смог на расте написать ос." на утверждение про
> Open Se Cura. А сейчас внезапно про фучсии писать начал.
> Давай следи за диалогом и не сливайся.
Мне лень форкать репу  https://opensecura.googlesource.com/  и смотреть статистику, но там куча с++, как например https://opensecura.googlesource.com/3p/google/pigweed/ https://opensecura.googlesource.com/sw/vec/
Пояснишь за этот код?

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 21-Дек-23, 21:52

Конечно есть. Фуксию - ее делать начали еще в 2016м.
Точнее еще раньше, в 2016 появилась репа, а сколько ее делали до этого одному гуглу известно. А 1.0 раста появилась только в середине 2015го. Поэтому ядро там на с++.
При этом расткода там сравнимо с с++ (меньше или больше в зависимости от того считать с third_party или нет)
https://www.reddit.com/r/rust/comments/k9r3s4/fuchsia_lines_.../
Данные за 2020, уверен что с того момента еще больше дыряшки выкинули на мороз.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

77. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от fuggy (ok), 22-Дек-23, 11:15

А что на Carbon они уже забили?

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

85. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Анонимусс (?), 22-Дек-23, 14:37

С карбоном ситуация интереснее)
Смотрим их README.md на github com/carbon-language/carbon-lang
Existing modern languages already provide an excellent developer experience: Go, Swift, Kotlin, Rust, and many more. Developers that can use one of these existing languages should.
Т.е создатели карбона сами советуют использовать другие языки где можно, а вот где совсем "не можна" - то там использовать его.
Думаю у них экспертизы больше и их словам я поверю)
И второй аргумент против - carbon-lang#project-status
Carbon Language is currently an experimental project. There is no working compiler or toolchain.
Это конечно исправимо (время + деньги), но в данный момент ситуация такова.

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 22-Дек-23, 20:26

> А что на Carbon они уже забили?
Carbon пилится отдельно. На последних конфах по плюсам о нем есть выступления. Ищи на ютупе.

Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору

9. "Уязвимость в oFono, эксплуатируемая через SMS" –4 +/–

Сообщение от Аноним (9), 21-Дек-23, 12:12

Между «выявлены» и «не допущены» есть существенная разница.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

10. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (11), 21-Дек-23, 12:15

Подробно про неё расскажу гуру наш.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (4), 21-Дек-23, 12:16

Добавь в makefile -fsanitize=address и эта "существенная" разница сводится к нулю.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

66. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 21-Дек-23, 23:11

> Добавь в makefile -fsanitize=address и эта "существенная" разница сводится к нулю.
К сожалению это добавит основательно кода и аппетитов к RAM и получится нечто среднее между явой и дотнетом. Так то работает - но не бесплатно по ресурсам, мягко говоря.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Анонимусс (?), 21-Дек-23, 12:41

Мой опыт показывает "если что-то делать не обязательно - то это делаться не будет"
Это можно решить только 'насилием' со стороны например лида, корорый делает CI так, что без прохождения тестов вмерджить ПР будет невозможно.
Это отлично работает в проприетаре, где есть четкая иерархия 'кто главный' и мотивация денежкой.
Можно придумывать правила и заставлять всех им следовать.
А вот в опенсорсе с этим сложнее, если будешь вводить какие-то жесткие правила, то разработчики могут просто свалить.
Или просто будут массово забивать.
В общем инструмент отличный, а вот применение как получится.
Почти как с ремнями безопасности в автомобиле))

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

24. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Andrey (??), 21-Дек-23, 13:45

В OpenSource и Free Software проектах ничто не мешает добавить санитайзеры в CI и сделать прохождение тестов необходимым условием принятия PR.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (26), 21-Дек-23, 13:53

>Это можно решить только 'насилием'
>где есть четкая иерархия 'кто главный'
>Можно придумывать правила и заставлять всех им следовать.
А латексный костюмчик, ошейничек и плёточку покажете?

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

30. "Уязвимость в oFono, эксплуатируемая через SMS" +2 +/–

Сообщение от Анонимусс (?), 21-Дек-23, 14:18

Хм... те понятие иерархия у тебя ассоциируется только латексом, ошейником и плетками?
Не буду осуждать твои девиации, это твое личное дело.
Для меня еще есть "военная иерархия", "полиномиальная иерархия" и тд.
Если тебе не нравится это слово, давай заменим его на "субординация".
И да, даже в опенсорсе термин «Великодушный пожизненный диктатор» BDFL, появился не просто так.
Должен быть кто-то, кто возьмет на себя ответственность в принятии решений.
И кого потом будут ругать если "все пошло не так".

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Tron is Whistling (?), 21-Дек-23, 14:04

Хуже фанатиков какой-либо фигни могут быть только коммерчески заинтересованные фанатики какой-либо фигни.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (11), 21-Дек-23, 12:07

Телефонный стек настолько сложный что никто кроме большой компании не может его развивать в том числе и из-за патентов.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в oFono, эксплуатируемая через SMS" –2 +/–

Сообщение от Анонимусс (?), 21-Дек-23, 12:11

Первая
extract_bcd_number(pdu + *offset, byte_len, out->address);                      // overflow within extract_bcd_number(), addr_len is from SMS PDU
Вторая
memcpy(out->submit_err_report.ud, pdu + offset, expected); // overflow here
А впрочем я совершенно не удивлен (с)
В этой истории радует то, что кто-то начал использовать санитайзеры.
Осталось только сделать их применение обязательным, например на СІ.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в oFono, эксплуатируемая через SMS" +1 +/–

Сообщение от Аноним (-), 21-Дек-23, 12:17

Жалко только не написали сколько эта "незакладка" спокойненько жила в коде.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в oFono, эксплуатируемая через SMS" +4 +/–

Сообщение от фнон (?), 21-Дек-23, 14:45

Список коммитов отлично показывает качество разработки
ЧИтать снизу вверх
2023-08-24    handsfree-audio: Quiet warning
2023-08-24    sms: Silence warning
2023-08-24    voicecall: Silence warning
2023-08-24    atmodem: Silence warnings
2023-08-24    isimodem: Silence warning
2023-08-24    mbimmodem: Quiet bogus warning
2023-08-24    build: Enable building with sanitizers

Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором –4 +/–

Сообщение от Аноним (33), 21-Дек-23, 15:03

>отсутствием должной проверки размера внешних данных в коде декодирования SMS-сообщений в формате PDU
Надо было на Rust писать. Или хотя-бы Kaitai Struct использовать.

Ответить | Правка | Наверх | Cообщить модератору

35. Скрыто модератором +3 +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 15:25

Иди пиши на своем расте. Кто тебе мешает? Достали уже тупыми комментариями.

Ответить | Правка | Наверх | Cообщить модератору

38. Скрыто модератором –1 +/–

Сообщение от Аноним (-), 21-Дек-23, 15:47

А дыряшки, что в си, что с плюсах, вас не достали?
Лучше бы не писал тупые комменты, а предложил бы как заставить ылитку погроммирования проверять входные данные и не выходить за пределы массивов.

Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором +/–

Сообщение от nox. (?), 21-Дек-23, 17:34

> А дыряшки, что в си, что с плюсах, вас не достали?
Нет. Еще вопросы есть к профессионалам?

Ответить | Правка | Наверх | Cообщить модератору

45. Скрыто модератором +/–

Сообщение от фнон (?), 21-Дек-23, 17:52

> Нет
> профессионалам
Хм.. меня терзают смутные сомнения (с)
Значит непрофессионалы решат за вас и сделают Раст обязательным, в ядре например.
И все будут довольны!

Ответить | Правка | Наверх | Cообщить модератору

49. Скрыто модератором +/–

Сообщение от Аноним (49), 21-Дек-23, 18:02

Да, есть. Ты к разработке ПО какое-нибудь отношение имеешь или так, советы профессионально раздаешь?

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

51. Скрыто модератором +/–

Сообщение от Аноним (-), 21-Дек-23, 18:13

Ходили слухи про старое советское НИИ (возможно НИИ ЧАВО)
А может это все грязные инсинуации

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в oFono, эксплуатируемая через SMS" +2 +/–

Сообщение от nox. (?), 21-Дек-23, 17:37

Если нет способностей освободить столько же памяти, сколько выделено, проконтролировать ввод и указатели на элементы массивов, может, вы выбрали не ту профессию?

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

50. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (49), 21-Дек-23, 18:03

Срочно выписывай из программистов всех, вплоть до Ричи, не ошибешься.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 19:46

> А дыряшки, что в си, что с плюсах, вас не достали?
> Лучше бы не писал тупые комменты, а предложил бы как заставить ылитку
> погроммирования проверять входные данные и не выходить за пределы массивов.
Лол. Ты сейчас пишешь из под бразуера на с++, в котором каждый релиз закрывается N уязвимостей. Сначала откажись от всего этого софта, напиши аналоги, а потому уже открывай рот.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

60. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (-), 21-Дек-23, 20:08

Ахаха, как же быстро ты опустился до "сперва добейся"))
Я пишу из браузера где уже 14.7% кода на расте (и 17.9% на плюсах).
И чем больше его будет, тем меньше будет дыр.
> напиши аналоги
Вот аналоги как раз пишутся прямо сейчас - можно в соседнюю тему заглянуть.
Только почему-то у фанатиков дыряшек от этого неиллюзорно подгорает.
> а потому уже открывай рот.
Прям не удивительно, что такое б#дло мне лезет рот закрывать))

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в oFono, эксплуатируемая через SMS" +3 +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 21:04

> Ахаха, как же быстро ты опустился до "сперва добейся"))
> Я пишу из браузера где уже 14.7% кода на расте (и 17.9%
> на плюсах).
Из огнелиса чтоль? Дык там большинство кода на безопаснейшем js.
> И чем больше его будет, тем меньше будет дыр.
Мечтать не вредно.
>> напиши аналоги
> Вот аналоги как раз пишутся прямо сейчас - можно в соседнюю тему
> заглянуть.
> Только почему-то у фанатиков дыряшек от этого неиллюзорно подгорает.
Ты ссылку дай про что речь, фанатик растишки, ты наш. Про очередной переписанный и так работающий дравйвер в 100 строк или код на спутнике рядом с ядром на С от студентов?
>> а потому уже открывай рот.
> Прям не удивительно, что такое б#дло мне лезет рот закрывать))
Снежника обиделась? Можешь пожаловаться на нарушение СoC.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в oFono, эксплуатируемая через SMS" –1 +/–

Сообщение от Аноним (-), 21-Дек-23, 21:31

> Про очередной переписанный и так работающий дравйвер в 100 строк или код на спутнике рядом с ядром на С от студентов?
Да про что угодно. И про драйвер, и про спутник.
И про Arti (замена либы Tor) num=58231 и предыдущие
И про Rusticl (замена Clover) num=58114
И про замену компонент в андроиде.
И про бэкенд компилятор Mesa.
И про WebRende и другие компоненты лисы.
Ну и конечно все темы про принятие раста в ядро - тут уже ссылки давать не буду, их была куча начиная с ядра 6.1
Везде горение, нытье, иногда нытье с горением.
> Снежника обиделась? Можешь пожаловаться на нарушение СoC.
Обиделся? Да разве на убогих обижаются.

Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 23:58

>[оверквотинг удален]
> Да про что угодно. И про драйвер, и про спутник.
> И про Arti (замена либы Tor) num=58231 и предыдущие
> И про Rusticl (замена Clover) num=58114
> И про замену компонент в андроиде.
> И про бэкенд компилятор Mesa.
> И про WebRende и другие компоненты лисы.
> Ну и конечно все темы про принятие раста в ядро - тут
> уже ссылки давать не буду, их была куча начиная с ядра
> 6.1
> Везде горение, нытье, иногда нытье с горением.
Это называется слашу звон, да не знаю где он. Ты можешь посмотреть по статистике, что ff написан на безопаснейшем js. А сам js на с++. А вот как там поживает бразуер чисто на расте (которым я надеюсь ты пользуешься как истинный фанат)? Как не работал нормально, так и не работает.
Про ядро я молчу. Ты видимо кроме новости дальше не читаешь и в код заглянуть не можешь.
>> Снежника обиделась? Можешь пожаловаться на нарушение СoC.
> Обиделся? Да разве на убогих обижаются.
Не плач снежинка. Попытка переложить ответственность на других не пройдет. Ты слабое звено.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от avsprv (ok), 21-Дек-23, 15:47

Корпоративная. Защищённая. Своя.

Ответить | Правка | Наверх | Cообщить модератору

67. Скрыто модератором +/–

Сообщение от Аноним (-), 21-Дек-23, 23:13

> Корпоративная. Защищённая. Своя.
...choose any two... :P

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (68), 21-Дек-23, 23:15

> Корпоративная. Защищённая. Своя.
...choose any two!

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

52. "Уязвимость в oFono, эксплуатируемая через SMS" +4 +/–

Сообщение от Аноним (52), 21-Дек-23, 18:32

Кстати, ОМП поправило. молодцы
https://lore.kernel.org/ofono/20231221141638.19774-1-d.grigo...

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от 123 (??), 21-Дек-23, 18:35

хоть кто-то готов мешки ворочать

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (74), 22-Дек-23, 06:05

Круто. Молодцы.

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

73. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (73), 22-Дек-23, 05:50

Вместо того чтобы писать на c++ и не обмазываться указателями на каждый чих они выбрали Си и обмазывание указателями. Их выбор. Интересно кто-нибудь ради опыта не проверял код в PVS-Studio? Я так полагаю разработчики Aurora этого не делали, но они и понятно им же нужна коммерческая лицензия.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (74), 22-Дек-23, 06:05

А почему не Rus...

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (78), 22-Дек-23, 12:42

Потому что Eng

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Пряник (?), 22-Дек-23, 09:43

Принимать недоверенные данные через С/С++ не в песочнице или переписать на расте? Муки выбора...

Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Аноним (78), 22-Дек-23, 12:37

Проверять данные.

Ответить | Правка | Наверх | Cообщить модератору

83. Скрыто модератором +1 +/–

Сообщение от Аноним (-), 22-Дек-23, 14:06

А ты попробуй заставит нас их проверять. Вот не хотим и не будем.
И что ты нас сделаешь?

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в oFono, эксплуатируемая через SMS" +2 +/–

Сообщение от Анонимусс (?), 22-Дек-23, 14:22

Есть еще вариант писать на С/С++, сипрользоваться всяие смартпойнтеры или их суррогаты (
libcsptr), обмазываться стат и динамическими анализаторами, прикруить их к CI и прогонять тесты после каждого коммита, отключить варнинги и кидать ошибки, запретить неиспользуемые переменные, включить линтер ...
Но кто будет этим всем заморачиваться?
Сишка взлетела тк была проста по сравнению с ассемблером и другими своими конкурнетами/предками, на ней можно научить программить даже бибизяну, "х-к, х-к и в продакшен" так коде еще и переносимый между платформами. Что-то типа пыхи или JS, но 50 летней давности.
А то что там будут баги?.. зато посмотри как быстро! а лет через 30 потомки найдут и исправят.
Так что мое мнение - проще использовать язык-который-нельзя-упоминать-вслух (а то набегут фанатики дыряшек)

Ответить | Правка | К родителю #76 | Наверх | Cообщить модератору

92. "Уязвимость в oFono, эксплуатируемая через SMS" +/–

Сообщение от Пряник (?), 25-Дек-23, 12:04

Многим погроммистам достаточно, что их код хотя бы запускается и что-то делает. Это показатель выполненной работы, значит можно идти за зряплатой.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в oFono, эксплуатируемая через SMS"	+4 +/–
Сообщение от Анонимно (ok), 21-Дек-23, 11:18
>> Уязвимость в oFono, эксплуатируемая через SMS >> Aurora Удобненько
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в oFono, эксплуатируемая через SMS"	+2 +/–
	Сообщение от Аноним (11), 21-Дек-23, 12:16
	А аврорку то обновлять никто не будут она как вышла сертифицированная так и стоит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (17), 21-Дек-23, 13:17
	Аврорка под пристальным оком товарища майора. Враги туда не пройдут!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в oFono, эксплуатируемая через SMS"	+5 +/–
	Сообщение от Аноним (11), 21-Дек-23, 13:39
	Смска стой раз, два. Уязвимость исправься на счёт три.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от ИмяХ (ok), 21-Дек-23, 14:08
	Так это и не уязвимость вовсе, а намерено оставленный бэкдор как раз для товарищ мaйopa
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость в oFono, эксплуатируемая через SMS"	+3 +/–
	Сообщение от Аноним (32), 21-Дек-23, 14:56
	А как ты это определил? Работаешь майором?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	78. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (78), 22-Дек-23, 12:23
	Он шпион НАТО.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	58. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (-), 21-Дек-23, 19:50
	> Аврорка под пристальным оком товарища майора. Ну это смотря какого майора. Теперь то майоры туда зачастят. Кому разведчик, а кому и шпион, от точки зрения зависит.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	69. "Уязвимость в oFono, эксплуатируемая через SMS"	+1 +/–
	Сообщение от vitalif (ok), 21-Дек-23, 23:16
	На авроре рут есть? Если нет то это не взлом, а освобождение
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

4. "Уязвимость в oFono, эксплуатируемая через SMS"	+1 +/–
Сообщение от Аноним (4), 21-Дек-23, 11:49
Что интересно, обе уязвимости выявлены с помощью AddressSanitizer, а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Анонимус3000 (?), 21-Дек-23, 11:59
	> а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык Тот факт, что уязвимости этими инструментами могут быть выявлены никто не оспаривал, мне кажется, иначе зачем их используют? Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (15), 21-Дек-23, 12:56
	> Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось? сколько говорят что надо на раст переписывать - и удобно и быстро и безопасно - вжух-вжух и готово! Но когда доходит до дела магия лапши растворяется.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Анонимусс (?), 21-Дек-23, 13:07
	Хм... какое интересно и, главное, безосновательное утверждение. У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца, а у тебя магия растворяется... Предположу, что ты просто неосилятор.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (15), 21-Дек-23, 13:17
	> У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца так у них магия денег - плати мне и я тоже начну переписывать на раст
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Анонимусс (?), 21-Дек-23, 13:39
	Т.е дело не в том, что язык плохой, а только в деньгах? А примерно так и подумал)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	82. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (15), 22-Дек-23, 14:00
	> Т.е дело не в том, что язык плохой, а только в деньгах? дело всегда только в деньгах - мне баги безопасности не мешают абсолютно, платить должны те кому мешают, собственно так и происходит
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (-), 22-Дек-23, 17:08
	> мне баги безопасности не мешают абсолютно Отличная фраза! Я добавлю ее в свою табличку "самые глупые отмазки по поводу багов, которые я слышал". > платить должны те кому мешают, собственно так и происходит Странно, добавление Хруста в ядро оплачивают корпы, а аноны воют так, как будто у них из кармана кошелек украли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (15), 22-Дек-23, 18:05
	> Я добавлю ее в свою табличку "самые глупые отмазки по поводу багов, которые я слышал". сколько драйверов ты переписал на раст ? сколько же тут дурачков бегает с табличками..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (-), 22-Дек-23, 18:14
	> сколько драйверов ты переписал на раст ? сколько же тут дурачков бегает с табличками.. Целый один и две утилиты! Это немного, но это честный труд. (с) Но смотря как ты оправдываешь бракоделов - я понимаю почему ИТ в такой заднице.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (15), 22-Дек-23, 18:19
	> Целый один покажешь ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Уязвимость в oFono, эксплуатируемая через SMS"	+1 +/–
	Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 13:39
	Кого куда он перевёл? Пруфы будут?даже в ядре фучсии без плюсов не обошлось.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	29. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Анонимусс (?), 21-Дек-23, 14:10
	> Пруфы будут? Без проблем, вот их блог opensource googleblog com/2023/06/rust-fact-vs-fiction-5-insights-from-googles-rust-journey-2022.html Смотрим раздел "Rumor 1: Rust takes more than 6 months to learn – Debunked !" Они взяли программистов с опытом C/C++, Python, Java, Go, or Dart и дали им писать на новом языке. Причем с Растом раньше имели дело только 13%. И посмотрели сколько из них освоились без потери продуктивноси. more than 2/3 of respondents are confident in contributing to a Rust codebase within two months or less when learning Rust. Т.е 27% увернно писали за 2-3 недели, и еще почти 40% - за два месяца. Потерь продуктивности при этом замечено не было. we’ve seen no data to indicate that there is any productivity penalty for Rust relative to any other language these developers previously used at Google > даже в ядре фучсии без плюсов не обошлось. Может у них сидит менеджер растохейтер, как анноны тут. Почему-то для последнего проекта Open Se Cura (который программно-аппаратный) она взяла ядро seL4 (думаю из-за верификации), а поверх все системное окружение пишется на Раст.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 15:22
	>[оверквотинг удален] > Причем с Растом раньше имели дело только 13%. > И посмотрели сколько из них освоились без потери продуктивноси. > more than 2/3 of respondents are confident in contributing to a Rust > codebase within two months or less when learning Rust. > Т.е 27% увернно писали за 2-3 недели, и еще почти 40% - > за два месяца. > Потерь продуктивности при этом замечено не было. > we’ve seen no data to indicate that there is any productivity penalty > for Rust relative to any other language these developers previously used > at Google Я тебе подобную пасту могу накатать. Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал. Для примера возьми qt. >> даже в ядре фучсии без плюсов не обошлось. > Может у них сидит менеджер растохейтер, как анноны тут. > Почему-то для последнего проекта Open Se Cura (который программно-аппаратный) она взяла > ядро seL4 (думаю из-за верификации), а поверх все системное окружение > пишется на Раст. Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Уязвимость в oFono, эксплуатируемая через SMS"	–3 +/–
	Сообщение от Аноним (-), 21-Дек-23, 15:43
	> даже гугл с их возможностями не смог на расте написать ос Может ты просто не понимаешь, сколько стоит денег и занимает времени верификация ядра типа seL4. Поэтому гугл просто взял готовенькое. А учитывая, что это микроядро на целых "8,700 lines of C and 600 lines of assembler", то по факту всю ось они пишут на расте.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимость в oFono, эксплуатируемая через SMS"	+2 +/–
	Сообщение от Аноним (55), 21-Дек-23, 19:38
	Ты бред написал и подменил понятия.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Уязвимость в oFono, эксплуатируемая через SMS"	+1 +/–
	Сообщение от анонимусс (?), 21-Дек-23, 15:47
	> Я тебе подобную пасту могу накатать. Ну накатай, кто ж тебе запретит. Напиши как ты взял людей с питончика или го, и за 2 месяца они начали выдавать С/С++ достойного качества. Но что-то мне таких историй успеха читать не доводилось, бгг. > Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал. Хм... как будто это что-то плохое) Хотя про готовые либы ничего написано не было, это ты сам додумал. > Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос. Не смогла или не захотела? Думаю у сони хватило бы денег на свою операционку, но они 3ю плойку делали на БСД. И у эпл денег тоже не мало, но она тоже позаимстовала часть кода. А что если можно взять готовое, проверненное (если говорить о seL4, то еще и формально верифицированное) и еще и забесплатно? Та тут любой корп просто заплачет от радости.
	Ответить \| Правка \| К родителю #34 \| Наверх \| Cообщить модератору


	56. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 19:44
	>> Я тебе подобную пасту могу накатать. > Ну накатай, кто ж тебе запретит. > Напиши как ты взял людей с питончика или го, и за 2 > месяца они начали выдавать С/С++ достойного качества. > Но что-то мне таких историй успеха читать не доводилось, бгг. Может проблему стоит в себе поискать раз не доводилось? >> Имея нормальные готовые либы и ревьюверов ты можешь очень быстро писать рабочий код хорошего качества без разницы на чем ты раньше писал. > Хм... как будто это что-то плохое) > Хотя про готовые либы ничего написано не было, это ты сам додумал. Давай покажи мне код на расте гугла, который не использует стандартную либу или карго. Жду. >> Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос. > Не смогла или не захотела? > Думаю у сони хватило бы денег на свою операционку, но они 3ю > плойку делали на БСД. > И у эпл денег тоже не мало, но она тоже позаимстовала часть > кода. > А что если можно взять готовое, проверненное (если говорить о seL4, то > еще и формально верифицированное) и еще и забесплатно? > Та тут любой корп просто заплачет от радости. Ну то есть какие-то левые отмазы, а по факту сказать не можешь? Ну я так и думал. Ну переписали бы на расте "безопасном" за вечер, там на С 9000 строк кода. Все равно код будет эволюционировать. Возможно дело в чем-то другом, подумай об этом.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (-), 21-Дек-23, 19:59
	> Ну переписали бы на расте "безопасном" за вечер, там на С 9000 строк кода. > Все равно код будет эволюционировать. Ты совсем не понимаешь о чем речь? Это ядро верифицировали 11 человеко-лет. "The total effort for the seL4-specific proof was 11 py." Плюс еще 9 человеко-лет для разработки методологии, фреймворков и тд. Чтобы это повторить - нужно будет потратить 6-8 человеко-лет. "We expect that re-doing a similar verification for a new kernel, using the same overall methodology, would reduce this figure to 6 py, for a total (kernel plus proof) of 8 py." Если ты хоть что-то в нем поменяешь, то придется переделывать, как минимум частично. Это не твой ####код быстренько на проде править.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	62. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 21-Дек-23, 21:15
	>[оверквотинг удален] > Ты совсем не понимаешь о чем речь? Это ядро верифицировали 11 человеко-лет. > "The total effort for the seL4-specific proof was 11 py." > Плюс еще 9 человеко-лет для разработки методологии, фреймворков и тд. > Чтобы это повторить - нужно будет потратить 6-8 человеко-лет. > "We expect that re-doing a similar verification for a new kernel, using > the same overall methodology, would reduce this figure to 6 py, > for a total (kernel plus proof) of 8 py." > Если ты хоть что-то в нем поменяешь, то придется переделывать, как минимум > частично. > Это не твой ####код быстренько на проде править. Загляни в репозиторий фучсии и увидь код ядра zircon и части userspace на С++, который отношение к тому, что ты говоришь не имеет. Есть что сказать?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	64. "Уязвимость в oFono, эксплуатируемая через SMS"	+/–
	Сообщение от Аноним (-), 21-Дек-23, 21:39
	Не-не-не, ты уже не сдашь назад. Ты сам отвечал "Может ты просто не понимаешь, что даже гугл с их возможностями не смог на расте написать ос." на утверждение про Open Se Cura. А сейчас внезапно про фучсии писать начал. Давай следи за диалогом и не сливайся.
	Ответить \| Правка \| Наверх \| Cообщить модератору