forum.opennet.ru - "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " (79)

"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
Сообщение от opennews (ok), 06-Янв-24, 10:23
В библиотеке Qt выявлена уязвимость (CVE-2023-51714) в реализации протокола HTTP/2, позволяющая добиться записи своих данных за пределы выделенного буфера. Уязвимость вызвана целочисленным переполнением в коде разбора упакованных заголовков (HPack) и проявляется при получении более 4 ГБ суммарных данных HTTP-заголовков или 2 ГБ для одного заголовка. Проблема устранена в обновлениях Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60395
Ответить \| Правка \| Cообщить модератору

Оглавление

Скрыто модератором, Аноним (6), 10:46 , 06-Янв-24, (6) +5

Скрыто модератором, ПомидорИзДолины (?), 10:53 , 06-Янв-24, (8) –5

Скрыто модератором, 12yoexpert (ok), 10:56 , 06-Янв-24, (9)
Скрыто модератором, Аноним (6), 10:57 , 06-Янв-24, (10) +7
Скрыто модератором, Аноним (6), 11:02 , 06-Янв-24, (11) +1
Скрыто модератором, Аноним (-), 11:14 , 06-Янв-24, (14) +6

Скрыто модератором, ПомидорИзДолины (?), 14:17 , 15-Янв-24, (127)

- const unsigned sum unsigned name size value size size_t sum if q, Аноним (19), 12:20 , 06-Янв-24, (19) +2

Безопасность в коде определяется не отсутствием дыр, а возможностью программист, Агл (?), 13:13 , 06-Янв-24, (22) –1

Если попало в новости, значит, вовремя не прикрыли , Аноним (23), 13:34 , 06-Янв-24, (23)

Как раз вовремя, потому что не пришлось втихую патчить , Аноним (26), 14:34 , 06-Янв-24, (26) +1

Обезвреживать, глеб егорыч, Аноним (50), 04:53 , 07-Янв-24, (50)

По версии местных ыкспертов, программисты, которые допускают такие ошибки, должн, Аноним (32), 15:20 , 06-Янв-24, (32)

Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть ин, Аноним (37), 18:19 , 06-Янв-24, (37) +1

гугловцы утверждают, что мало помогает, прям совсем Но да, поверю тебе, что они, Аноним (44), 23:39 , 06-Янв-24, (44)

Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они, Аноним (55), 09:22 , 07-Янв-24, (55)

Судя по тому что практически в любом мало мальски крупном проекте был юи такие о, Аноним (86), 21:27 , 07-Янв-24, (86)

зачем вообще писать на С генерируя такие конструкции, Аноним (6), 15:45 , 06-Янв-24, (35) +2

А что и на что вы предлагаете заменить , Аноним (38), 19:11 , 06-Янв-24, (38) +1

Тут гогнодизайн в самом API вместо того, чтобы size ф-ии как, и везде в мире,, Аноним (67), 16:38 , 07-Янв-24, (67)
Ну и qAddOverflow зачем-то берёт последний аргумент по указателю, хотя в да, Аноним (67), 16:44 , 07-Янв-24, (68)

А ты вообще в курсе _ЧТО_ такое Qt не думаю - , _ (??), 20:32 , 06-Янв-24, (40) +1

Qt Что-то из области маркетинга, видимо , Аноним (101), 13:14 , 08-Янв-24, (101)

Кути пришли из 90х Ты помнишь плюсы тех лет , Аноним (43), 22:14 , 06-Янв-24, (43) –1

а из каких годов пришел HTTP 2 , Советский инженер (ok), 10:32 , 07-Янв-24, (61)

А если всё проверять то будет не производительно и код дольше писать Окажется, Аноньимъ (ok), 04:19 , 07-Янв-24, (49)

В данном случае это особенность формата HPACK, он хитрый и нужно много проверять, Аноним (67), 16:48 , 07-Янв-24, (69)

Автоматически увеличивает строк кода в сишечной программы в 3-5 раз Соответстве, Аноньимъ (ok), 17:12 , 07-Янв-24, (76)

Чушь пишеь, это c и здесь всё можно посахарить до уровня питона, Аноним (67), 17:35 , 07-Янв-24, (79)

Сишка и сипипишка конечно отличаются Сишка просто несколько хромосом лишних име, Аноньимъ (ok), 18:29 , 07-Янв-24, (81)

Какая ты всё-таки бестолочь C тормоз и не гибкий ЯП, Аноним (67), 19:25 , 07-Янв-24, (82) –1

Если С - не гибкий, пишите на F , Аноньимъ (ok), 12:39 , 08-Янв-24, (100) +2

Ага, каждая программа гвоздями прибита к конкретной Net Core, дофига зависимост, Аноним (90), 21:48 , 07-Янв-24, (90) –2

Net поддерживает компиляцию в нативный код как и Java к слову, но с ограничени, анон (?), 23:24 , 07-Янв-24, (91)
У С дела с этим гораздо ХУЖЕ И вообще, дотнетовские программы то обычно жаст в, Аноньимъ (ok), 12:18 , 08-Янв-24, (99)

жаст котегов себе заведи жаст пяток Ну чтобы выяснить, что кроме жаст ещё нуж, Котофалк (?), 09:27 , 09-Янв-24, (117)

Просто кому-то захотелось выпендриться и написать феерическое const unsigned ч, cheburnator9000 (ok), 13:11 , 07-Янв-24, (63)
Размер то они проверили, но не осилили сложить два unsigned без переполнения, Аноним (67), 17:15 , 07-Янв-24, (77)

При каких условиях можно достичь 2 ГиБ данных на один HTTP-заголовок 0_o, Аноним (20), 12:35 , 06-Янв-24, (20) +3

Куки OAuth2, например Если они оказались всего 4 Кб, то вам просто повезло, выд, Аноним (23), 13:37 , 06-Янв-24, (25) +1
Многие уязвимости как раз происходят, котому что кому в голову придет посылать , Аноним (54), 08:03 , 07-Янв-24, (54) +2

Не, это не так работает Присылается 1 байт, а в заголовке указывается что на са, Аноним (67), 16:53 , 07-Янв-24, (72)

Это защита от намеренных атак на протокол, клиент сервер могут прислать что угод, Аноним (67), 16:52 , 07-Янв-24, (71)

БезопасТный в этом случае не помог бы , Аноним (26), 14:36 , 06-Янв-24, (27) +3

Помог бы Если программа не существует, в ней 0 ошибок , Аноним (55), 10:00 , 07-Янв-24, (58) –1

А откуда такие высокие номера версий, сразу 4 и 5 В 6 2 x например последняя 6, nora puchreiner (?), 14:36 , 06-Янв-24, (28) –2

Так коммерческие версии же Их открывают только через год , Аноним (29), 14:43 , 06-Янв-24, (29) +1

Они вроде собирались переходить на открытие исходников коммерческой версии через, Аноним (30), 15:09 , 06-Янв-24, (30)

Пора на slint переходить , Аноним (34), 15:42 , 06-Янв-24, (34) –1

Переходи, разрешаю , Аноним (55), 09:26 , 07-Янв-24, (56) +1

Перешел Прикольно , Аноним (103), 14:58 , 08-Янв-24, (103)

В расте в релизе по дефолту отключены проверки на переполнение чисел Там были б, Аноним (95), 10:22 , 08-Янв-24, (95)

Замечу, что это в том числе следствие подхода 171 Qt 8212 это экосистема 1, Аноним (36), 16:21 , 06-Янв-24, (36) +2

Так всё порезано на модули Используйте себе на здоровье только QtGui, если надо, Аноним (26), 02:15 , 07-Янв-24, (46) +3

Что в самом Qt GUI багов и недоделанных фич мало, что ресурсы разбазаривают на , Аноним (65), 13:36 , 07-Янв-24, (65)

Ну как бы всё это можно использовать и в приложении гуишном, например, впн-клиен, Аноним (20), 15:03 , 07-Янв-24, (66)
Опять же, если нужно кроссплатформ, то практически безальтернативно А так пороб, Аноним (26), 21:06 , 07-Янв-24, (83)

libcurl кроссплатформенна , Аноним (90), 21:40 , 07-Янв-24, (88)

Вколько раз говорили тулкиты зло Закопать свою реализцию и заменить на libcurl, Аноним (39), 20:10 , 06-Янв-24, (39) +1

до тех пок пока в libcurl не найдут прекрасное PS опенет заполонили какие, _ (??), 20:36 , 06-Янв-24, (42) +1

Автор libcurl занимается написанием http-библиотеки профессионально Авторы Qt -, Аноним (45), 01:17 , 07-Янв-24, (45) +1

Да он дырявый по самые помидоры , Ананимус (?), 02:19 , 07-Янв-24, (47)

Да вроде нетhttps github com curl curl issues, Аноним (55), 10:04 , 07-Янв-24, (59)

Да точно, посмотри список их CVE , Ананимус (?), 11:06 , 08-Янв-24, (96)

Но не умеет писать нормальную документацию В частности, нет обзорной справки о , Аноним (67), 17:08 , 07-Янв-24, (74)

У меня документация никаких проблем не вызвала , Аноним (90), 21:38 , 07-Янв-24, (87)
Очень спорное утверждение libcurl используется в git, cmake, rsyslog, libreoffi, Ананимус (?), 11:11 , 08-Янв-24, (97)

Она же на С, а не на С , anonymous (??), 03:58 , 08-Янв-24, (94) +1

Зачем работодатель платит тебе зарплату если проще заменить тебя на более толков, cheburnator9000 (ok), 13:07 , 07-Янв-24, (62) +1

Более толковый человек уже наверняка где-то работает, Аноним (67), 17:38 , 07-Янв-24, (80) +1

Скрыто модератором, ОШИБКА Отсутствуют данные в поле Name (?), 20:33 , 06-Янв-24, (41)
Учитывая огромный объем проекта Qt всего одна уязвимость такого рода это не прос, Аноним (55), 09:59 , 07-Янв-24, (57) +3

Просто на Qt мало чего сделано, где могут искать уязвимости Только неадекват бу, Аноним (67), 17:11 , 07-Янв-24, (75)

Интересно, проект KDE согласен с твоим мнением , Аноним (26), 21:09 , 07-Янв-24, (84)

KDE - это абсолютно неважный код Судя по тому, что плазма по-прежнему падает , Аноним (90), 21:43 , 07-Янв-24, (89)

И самое странное, что она падает только у тех, кто ей не пользуется , Аноним (92), 23:30 , 07-Янв-24, (92) +3

Проект KDE может иметь какое угодно мнение, но оно никого не волнует с их менее , Аноним (67), 18:17 , 08-Янв-24, (111)

32 из 7 23 Linux-десктопы всех десктопов , Аноним (123), 15:29 , 09-Янв-24, (123)

хм у QT есть свой http2 удивлен, Аноним (124), 00:34 , 10-Янв-24, (124)

Сообщения [Сортировка по времени | RSS]

6. Скрыто модератором +5 +/–

Сообщение от Аноним (6), 06-Янв-24, 10:46

Не понимаю почему бы всем не приложить усилия к одной реализации которая потом может быть портирована куда угодно... например к nghttp2 или 3
Зачем плодить кучи г-на выделяя тонны CO2

Ответить | Правка | Наверх | Cообщить модератору

8. Скрыто модератором –5 +/–

Сообщение от ПомидорИзДолины (?), 06-Янв-24, 10:53

Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера?

Ответить | Правка | Наверх | Cообщить модератору

9. Скрыто модератором +/–

Сообщение от 12yoexpert (ok), 06-Янв-24, 10:56

можно npm взять

Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором +7 +/–

Сообщение от Аноним (6), 06-Янв-24, 10:57

похоже это уже становится достоинством

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. Скрыто модератором +1 +/–

Сообщение от Аноним (6), 06-Янв-24, 11:02

ну так оно будет включено во все пакетные менеджеры для всех языков которые поддерживают вызов c-функций ... а это все современные языки (почти)

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. Скрыто модератором +6 +/–

Сообщение от Аноним (-), 06-Янв-24, 11:14

> Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера?
Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела, и не скачает весь интернет, попутно сделав все пакеты репы нуулови^W неудалимыми.
А нормальный пакетный менеджер - это тот который в ОС, для руления ее компонентами. Зачем надо десять способов делать одно и то же? Получается потом - как вон там в соседних новостях.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

127. Скрыто модератором +/–

Сообщение от ПомидорИзДолины (?), 15-Янв-24, 14:17

> Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела,
> и не скачает весь интернет, попутно сделав все пакеты репы нуулови^W
> неудалимыми.
Ну дак надо проектировать нормально. С множеством мастеров и приватными зеркалами by-design.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +2 +/–

Сообщение от Аноним (19), 06-Янв-24, 12:20

- const unsigned sum = unsigned(name.size() + value.size());
+ size_t sum;
+ if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum))
+     return HeaderSize();
Ну забыли проверить размер, ну бывает!

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –1 +/–

Сообщение от Агл (?), 06-Янв-24, 13:13

"Безопасность в коде определяется не отсутствием дыр, а возможностью программистов их вовремя прикрывать!"

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (23), 06-Янв-24, 13:34

Если попало в новости, значит, вовремя не прикрыли.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (26), 06-Янв-24, 14:34

Как раз вовремя, потому что не пришлось втихую патчить.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (50), 07-Янв-24, 04:53

Обезвреживать, глеб егорыч

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

32. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (32), 06-Янв-24, 15:20

По версии местных ыкспертов, программисты, которые допускают такие ошибки, должны быть разжалованы из программистов, а проект быть нареченным говнокодом. Правда, за десятки лет так и не научились писать на языках с ручным управлением памяти без ошибок, так что по такой логике нет настоящих программистов.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

37. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (37), 06-Янв-24, 18:19

Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть инструментами тестирования если ты такой тупой.
Чтобы писать на языках с управлением памятью надо почитать как это делается и иметь обычай перепроверять вручную все обращения к памяти.
А если эти упыри с с искуственным интеллектом заведут работать суперкомпьютер высчитывая вероятность написать код правильно ударами модотка по корпусу, то скорее всего он еще и выдаст что шанс ненулевой даже, хотя всем понятно что именно нулевой на практике.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (44), 06-Янв-24, 23:39

>  и хотя бы владеть инструментами тестирования если ты такой тупой.
гугловцы утверждают, что мало помогает, прям совсем. Но да, поверю тебе, что они там просто все тупые, поголовно.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (55), 07-Янв-24, 09:22

Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они помогают им еще как! Хром почти не крашится, уязвимостей немного и оперативно исправляются.

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (86), 07-Янв-24, 21:27

Судя по тому что практически в любом мало мальски крупном проекте был юи такие ошибки, то стоит признать что ручное управление памятью оно не для кожанных мешков с костями. Раз за несколько десятков лет этот класс ошибок не только не остался в прошлом, но и остаётся в топе популярных.

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

35. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +2 +/–

Сообщение от Аноним (6), 06-Янв-24, 15:45

>> if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum))
зачем вообще писать на С++ генерируя такие конструкции

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

38. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (38), 06-Янв-24, 19:11

А что и на что вы предлагаете заменить?

Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 16:38

Тут гогнодизайн в самом API: вместо того, чтобы size() ф-ии как, и везде в мире, возвращали size_t, они возвращают ssize_t (знаковый тип). Нужно, очевидно, наконец таки убрать маразм из своей кодовой базы, ну или сделать костыль в виде некой свободной ф-ии типа питоновского len(...)

Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 16:44

Ну и qAddOverflow(...) зачем-то берёт последний аргумент по указателю, хотя в данном случае нужно по ссылке. Так обычно делают когда аргумент опиционален, но здесь он обязателен и если положить nullptr, то код сложится. В общем, весь Qt устарел на не один десяток лет. Ссылки в с++ появились где-то в 1985, первый Qt появился в 1991.

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

40. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от _ (??), 06-Янв-24, 20:32

> зачем вообще писать на С++ генерируя такие конструкции
А ты вообще в курсе _ЧТО_ такое  Qt ?!
... не думаю! ;-)

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

101. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (101), 08-Янв-24, 13:14

Qt... Что-то из области маркетинга, видимо.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –1 +/–

Сообщение от Аноним (43), 06-Янв-24, 22:14

Кути пришли из 90х. Ты помнишь плюсы тех лет?

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

61. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Советский инженер (ok), 07-Янв-24, 10:32

>Кути пришли из 90х. Ты помнишь плюсы тех лет?
а из каких годов пришел HTTP/2 ?

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноньимъ (ok), 07-Янв-24, 04:19

А если всё проверять то будет не производительно (( и код дольше писать.
Окажется что сишечка не быстрее гошечки да джавы. А так нельзя.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

69. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 16:48

В данном случае это особенность формата HPACK, он хитрый и нужно много проверять. Тут проверки на итоговые задержки практически не повлияют. Во всяком случае сначала нужно написать корректный код с проверками, а потом аккуратно оптимизировать. Тут же сразу на от...сь сложили два unsigned и результат проверили на переполнение сравнением с max<unsigned>(). Даже не пытались не нагогнокодить

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноньимъ (ok), 07-Янв-24, 17:12

> Во всяком случае сначала нужно написать корректный код с проверками
Автоматически увеличивает строк кода в сишечной программы в 3-5 раз. Соответственно и трупрограммисто рабочих часов. На самом деле часов будет больше, так как растёт не линейно.
> Тут же сразу на от...сь сложили два unsigned
Обычная сишечная практика.
> и результат проверили на переполнение сравнением с max<unsigned>()
И вот реально, наняли же на работу, платят человеку ЗП.
> Даже не пытались не нагогнокодить
По другому почти никогда и не бывает. Особенно с сишкой. Потому как читать первую часть комментария, иной подход требует очень дорогих специалистов и кучу человеко-часов.

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 17:35

Чушь пишеь, это c++ и здесь всё можно посахарить до уровня питона

Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноньимъ (ok), 07-Янв-24, 18:29

Сишка и сипипишка конечно отличаются. Сишка просто несколько хромосом лишних имеет. Но сипипишка страдает острой маниакальной шизофренией.
Да, можно включить в сипипишке рантайм чек, добавить управление памятью, и завернуть бездумные адские "шаблоны" и прочую сатанинскую жуть в что-то более няшное.
Только С# изобрели много много лет назад, и ненужно вот таким вот в нём заниматься вообще, оно уже всё там есть.

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –1 +/–

Сообщение от Аноним (67), 07-Янв-24, 19:25

Какая ты всё-таки бестолочь. C# тормоз и не гибкий ЯП

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +2 +/–

Сообщение от Аноньимъ (ok), 08-Янв-24, 12:39

> Какая ты всё-таки бестолочь. C# тормоз и не гибкий ЯП
Если С# - не гибкий, пишите на F#.

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –2 +/–

Сообщение от Аноним (90), 07-Янв-24, 21:48

>С# изобрели много много лет назад
Ага, каждая программа гвоздями прибита к конкретной .Net Core, дофига зависимостей и пакетам нюгета. Ффзвезду ЯП с таким рантаймом.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

91. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от анон (?), 07-Янв-24, 23:24

.Net поддерживает компиляцию в нативный код (как и Java к слову, но с ограничениями)

Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноньимъ (ok), 08-Янв-24, 12:18

> Ага, каждая программа гвоздями прибита к конкретной .Net Core, дофига зависимостей и
> пакетам нюгета. Ффзвезду ЯП с таким рантаймом.
У С++ дела с этим гораздо ХУЖЕ.
И вообще, дотнетовские программы то обычно жаст воркс, и им для этого ненужен пАкЕтНый меНеджЕр.

Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

117. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Котофалк (?), 09-Янв-24, 09:27

>  жаст воркс
жаст котегов себе заведи жаст пяток. Ну чтобы выяснить, что кроме "жаст" ещё нужно чтоб к лотку были приучены. Да и других тонкостей вагон. Да и дотнетовский "жаст воркс" тоже ожидается что конфиги на месте (там где определил дистр), логи на месте, органы управления на месте. Но у дотнетчиков понятное дело не так. Весь пар в жалобы про пакетный менеджер в пабликах.
И да, "жаст ворк" это про static линковку? Это вы  так удивить пытались?

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от cheburnator9000 (ok), 07-Янв-24, 13:11

Просто кому-то захотелось выпендриться и написать феерическое "const unsigned" чтобы что не ясно, вместо условного unsigned long long или Qt-шного quint64.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

77. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 17:15

Размер то они проверили, но не осилили сложить два unsigned без переполнения

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

20. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +3 +/–

Сообщение от Аноним (20), 06-Янв-24, 12:35

При каких условиях можно достичь 2 ГиБ данных на один HTTP-заголовок... 0_o

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (23), 06-Янв-24, 13:37

Куки OAuth2, например. Если они оказались всего 4 Кб, то вам просто повезло, выдали минимальный набор атрибутов. А в расширенном может быть всё, что угодно, включая home video в качестве параметров биометрии.

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +2 +/–

Сообщение от Аноним (54), 07-Янв-24, 08:03

Многие уязвимости как раз происходят, котому что "кому в голову придет посылать 2Гб хидер?"

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

72. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 16:53

Не, это не так работает. Присылается 1 байт, а в заголовке указывается что на самом деле много больше. Гогнокодеры, которые не валидируют данные, в итоге получают выход за границы буфера

Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 16:52

Это защита от намеренных атак на протокол, клиент/сервер могут прислать что угодно

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

27. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +3 +/–

Сообщение от Аноним (26), 06-Янв-24, 14:36

БезопасТный в этом случае не помог бы.

Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –1 +/–

Сообщение от Аноним (55), 07-Янв-24, 10:00

Помог бы. Если программа не существует, в ней 0 ошибок.

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –2 +/–

Сообщение от nora puchreiner (?), 06-Янв-24, 14:36

> Qt 5.15.17, 6.2.11, 6.5.4 и 6.6.2.
А откуда такие высокие номера версий, сразу +4 и +5?
В 6.2.x например последняя 6.2.7 (https://github.com/qt/qt5/tags), в 5.15.x - 5.15.12

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (29), 06-Янв-24, 14:43

Так коммерческие версии же. Их открывают только через год.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (30), 06-Янв-24, 15:09

Они вроде собирались переходить на открытие исходников коммерческой версии через 5 лет только.

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " –1 +/–

Сообщение от Аноним (34), 06-Янв-24, 15:42

Пора на slint переходить.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (55), 07-Янв-24, 09:26

Переходи, разрешаю.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (103), 08-Янв-24, 14:58

Перешел. Прикольно.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (95), 08-Янв-24, 10:22

В расте в релизе по дефолту отключены проверки на переполнение чисел. Там были бы ровно такие же проблемы.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

36. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +2 +/–

Сообщение от Аноним (36), 06-Янв-24, 16:21

Замечу, что это в том числе следствие подхода «Qt — это экосистема», с дурацким стремлением всё переписать и всё втянуть в себя, вместо того чтобы пилить UI–toolkit.

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +3 +/–

Сообщение от Аноним (26), 07-Янв-24, 02:15

Так всё порезано на модули. Используйте себе на здоровье только QtGui, если надо.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (65), 07-Янв-24, 13:36

Что в самом  Qt GUI багов и недоделанных фич мало, что ресурсы разбазаривают на всякое на коленке сделанное ненужно, которое никто адекватный использовать не будет.

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (20), 07-Янв-24, 15:03

Ну как бы всё это можно использовать и в приложении гуишном, например, впн-клиент

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (26), 07-Янв-24, 21:06

Опять же, если нужно кроссплатформ, то практически безальтернативно. А так поробуйте, чтобы вот это вот всё с миру по нитке, сборная солянка везде, не то чтобы даже заработала, а просто собралась и для разных дистров Linux, и для xBSD, и для оффтопиков разных.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

88. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (90), 07-Янв-24, 21:40

libcurl кроссплатформенна.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (39), 06-Янв-24, 20:10

Вколько раз говорили: тулкиты зло. Закопать свою реализцию и заменить на libcurl - и проблема решена.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от _ (??), 06-Янв-24, 20:36

... до тех пок пока в libcurl не найдут прекрасное :)

PS: опенет заполонили какие то пугливые карапузики! А ... ну дык - каникулы :)

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (45), 07-Янв-24, 01:17

Автор libcurl занимается написанием http-библиотеки профессионально. Авторы Qt - чисто для галочки.

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Ананимус (?), 07-Янв-24, 02:19

Да он дырявый по самые помидоры.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (55), 07-Янв-24, 10:04

Да вроде нет
https://github.com/curl/curl/issues

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Ананимус (?), 08-Янв-24, 11:06

Да точно, посмотри список их CVE.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 17:08

Но не умеет писать нормальную документацию. В частности, нет обзорной справки о устройстве кишок библиотеки, нет нормального пояснения в каких уровнях по API её можно использовать и т.д. Везде начинает ходить вокруг да около частностями, а обо всём выше читатель должен догадываться сам. Хотя для встраивания куда-либо это самые первые и важные вопросы. Либа в curl тоже в основном для галочки, основной его продукт это сама утилита.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

87. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (90), 07-Янв-24, 21:38

У меня документация никаких проблем не вызвала.

Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Ананимус (?), 08-Янв-24, 11:11

> Либа в curl тоже в основном для галочки, основной его продукт это сама утилита.
Очень спорное утверждение. libcurl используется в git, cmake, rsyslog, libreoffice, icecast и куче других проектов.

Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору

94. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от anonymous (??), 08-Янв-24, 03:58

Она же на С, а не на С++.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

62. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от cheburnator9000 (ok), 07-Янв-24, 13:07

Зачем работодатель платит тебе зарплату если проще заменить тебя на более толкового человека??

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

80. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +1 +/–

Сообщение от Аноним (67), 07-Янв-24, 17:38

Более толковый человек уже наверняка где-то работает

Ответить | Правка | Наверх | Cообщить модератору

41. Скрыто модератором +/–

Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 06-Янв-24, 20:33

Очень хороший протокол, зря ругаете. Три уже есть, миллион на подходе.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +3 +/–

Сообщение от Аноним (55), 07-Янв-24, 09:59

Учитывая огромный объем проекта Qt всего одна уязвимость такого рода это не просто хорошо, это отлично. Осознайте масштаб проекта.

Ответить | Правка | Наверх | Cообщить модератору

75. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 17:11

Просто на Qt мало чего сделано, где могут искать уязвимости. Только неадекват будет использовать Qt сверх GUI для важного кода

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (26), 07-Янв-24, 21:09

Интересно, проект KDE согласен с твоим мнением? ;)

Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (90), 07-Янв-24, 21:43

KDE - это абсолютно неважный код. Судя по тому, что плазма по-прежнему падает.

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +3 +/–

Сообщение от Аноним (92), 07-Янв-24, 23:30

И самое странное, что она падает только у тех, кто ей не пользуется.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 08-Янв-24, 18:17

Проект KDE может иметь какое угодно мнение, но оно никого не волнует с их менее 1% использования на десктопах. Массово не интересны ни потенциальным кулхацкерам, ни исследователям проблем с безопасностью.

Ответить | Правка | К родителю #84 | Наверх | Cообщить модератору

123. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (123), 09-Янв-24, 15:29

32% из 7.23% (Linux-десктопы) всех десктопов.

Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (124), 10-Янв-24, 00:34

хм у QT есть свой http2? удивлен

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. Скрыто модератором	+5 +/–
Сообщение от Аноним (6), 06-Янв-24, 10:46
Не понимаю почему бы всем не приложить усилия к одной реализации которая потом может быть портирована куда угодно... например к nghttp2 или 3 Зачем плодить кучи г-на выделяя тонны CO2
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. Скрыто модератором	–5 +/–
	Сообщение от ПомидорИзДолины (?), 06-Янв-24, 10:53
	Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. Скрыто модератором	+/–
	Сообщение от 12yoexpert (ok), 06-Янв-24, 10:56
	можно npm взять
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. Скрыто модератором	+7 +/–
	Сообщение от Аноним (6), 06-Янв-24, 10:57
	похоже это уже становится достоинством
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	11. Скрыто модератором	+1 +/–
	Сообщение от Аноним (6), 06-Янв-24, 11:02
	ну так оно будет включено во все пакетные менеджеры для всех языков которые поддерживают вызов c-функций ... а это все современные языки (почти)
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	14. Скрыто модератором	+6 +/–
	Сообщение от Аноним (-), 06-Янв-24, 11:14
	> Потому что у дырявой сишки до сих пор нет нормального пакетного менеджера? Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела, и не скачает весь интернет, попутно сделав все пакеты репы нуулови^W неудалимыми. А нормальный пакетный менеджер - это тот который в ОС, для руления ее компонентами. Зачем надо десять способов делать одно и то же? Получается потом - как вон там в соседних новостях.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	127. Скрыто модератором	+/–
	Сообщение от ПомидорИзДолины (?), 15-Янв-24, 14:17
	> Это пожалуй к лучшему - никто не включит 2FA под угрозой расстрела, > и не скачает весь интернет, попутно сделав все пакеты репы нуулови^W > неудалимыми. Ну дак надо проектировать нормально. С множеством мастеров и приватными зеркалами by-design.
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+2 +/–
Сообщение от Аноним (19), 06-Янв-24, 12:20
- const unsigned sum = unsigned(name.size() + value.size()); + size_t sum; + if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum)) + return HeaderSize(); Ну забыли проверить размер, ну бывает!
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	–1 +/–
	Сообщение от Агл (?), 06-Янв-24, 13:13
	"Безопасность в коде определяется не отсутствием дыр, а возможностью программистов их вовремя прикрывать!"
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (23), 06-Янв-24, 13:34
	Если попало в новости, значит, вовремя не прикрыли.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от Аноним (26), 06-Янв-24, 14:34
	Как раз вовремя, потому что не пришлось втихую патчить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (50), 07-Янв-24, 04:53
	Обезвреживать, глеб егорыч
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	32. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (32), 06-Янв-24, 15:20
	По версии местных ыкспертов, программисты, которые допускают такие ошибки, должны быть разжалованы из программистов, а проект быть нареченным говнокодом. Правда, за десятки лет так и не научились писать на языках с ручным управлением памяти без ошибок, так что по такой логике нет настоящих программистов.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	37. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от Аноним (37), 06-Янв-24, 18:19
	Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть инструментами тестирования если ты такой тупой. Чтобы писать на языках с управлением памятью надо почитать как это делается и иметь обычай перепроверять вручную все обращения к памяти. А если эти упыри с с искуственным интеллектом заведут работать суперкомпьютер высчитывая вероятность написать код правильно ударами модотка по корпусу, то скорее всего он еще и выдаст что шанс ненулевой даже, хотя всем понятно что именно нулевой на практике.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	44. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (44), 06-Янв-24, 23:39
	> и хотя бы владеть инструментами тестирования если ты такой тупой. гугловцы утверждают, что мало помогает, прям совсем. Но да, поверю тебе, что они там просто все тупые, поголовно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (55), 07-Янв-24, 09:22
	Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они помогают им еще как! Хром почти не крашится, уязвимостей немного и оперативно исправляются.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (86), 07-Янв-24, 21:27
	Судя по тому что практически в любом мало мальски крупном проекте был юи такие ошибки, то стоит признать что ручное управление памятью оно не для кожанных мешков с костями. Раз за несколько десятков лет этот класс ошибок не только не остался в прошлом, но и остаётся в топе популярных.
	Ответить \| Правка \| К родителю #37 \| Наверх \| Cообщить модератору


	35. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+2 +/–
	Сообщение от Аноним (6), 06-Янв-24, 15:45
	>> if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum)) зачем вообще писать на С++ генерируя такие конструкции
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	38. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от Аноним (38), 06-Янв-24, 19:11
	А что и на что вы предлагаете заменить?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	67. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:38
	Тут гогнодизайн в самом API: вместо того, чтобы size() ф-ии как, и везде в мире, возвращали size_t, они возвращают ssize_t (знаковый тип). Нужно, очевидно, наконец таки убрать маразм из своей кодовой базы, ну или сделать костыль в виде некой свободной ф-ии типа питоновского len(...)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	68. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:44
	Ну и qAddOverflow(...) зачем-то берёт последний аргумент по указателю, хотя в данном случае нужно по ссылке. Так обычно делают когда аргумент опиционален, но здесь он обязателен и если положить nullptr, то код сложится. В общем, весь Qt устарел на не один десяток лет. Ссылки в с++ появились где-то в 1985, первый Qt появился в 1991.
	Ответить \| Правка \| К родителю #38 \| Наверх \| Cообщить модератору


	40. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от _ (??), 06-Янв-24, 20:32
	> зачем вообще писать на С++ генерируя такие конструкции А ты вообще в курсе _ЧТО_ такое Qt ?! ... не думаю! ;-)
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	101. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (101), 08-Янв-24, 13:14
	Qt... Что-то из области маркетинга, видимо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	–1 +/–
	Сообщение от Аноним (43), 06-Янв-24, 22:14
	Кути пришли из 90х. Ты помнишь плюсы тех лет?
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	61. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Советский инженер (ok), 07-Янв-24, 10:32
	>Кути пришли из 90х. Ты помнишь плюсы тех лет? а из каких годов пришел HTTP/2 ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 07-Янв-24, 04:19
	А если всё проверять то будет не производительно (( и код дольше писать. Окажется что сишечка не быстрее гошечки да джавы. А так нельзя.
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	69. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:48
	В данном случае это особенность формата HPACK, он хитрый и нужно много проверять. Тут проверки на итоговые задержки практически не повлияют. Во всяком случае сначала нужно написать корректный код с проверками, а потом аккуратно оптимизировать. Тут же сразу на от...сь сложили два unsigned и результат проверили на переполнение сравнением с max<unsigned>(). Даже не пытались не нагогнокодить
	Ответить \| Правка \| Наверх \| Cообщить модератору


	76. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 07-Янв-24, 17:12
	> Во всяком случае сначала нужно написать корректный код с проверками Автоматически увеличивает строк кода в сишечной программы в 3-5 раз. Соответственно и трупрограммисто рабочих часов. На самом деле часов будет больше, так как растёт не линейно. > Тут же сразу на от...сь сложили два unsigned Обычная сишечная практика. > и результат проверили на переполнение сравнением с max<unsigned>() И вот реально, наняли же на работу, платят человеку ЗП. > Даже не пытались не нагогнокодить По другому почти никогда и не бывает. Особенно с сишкой. Потому как читать первую часть комментария, иной подход требует очень дорогих специалистов и кучу человеко-часов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 17:35
	Чушь пишеь, это c++ и здесь всё можно посахарить до уровня питона
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 07-Янв-24, 18:29
	Сишка и сипипишка конечно отличаются. Сишка просто несколько хромосом лишних имеет. Но сипипишка страдает острой маниакальной шизофренией. Да, можно включить в сипипишке рантайм чек, добавить управление памятью, и завернуть бездумные адские "шаблоны" и прочую сатанинскую жуть в что-то более няшное. Только С# изобрели много много лет назад, и ненужно вот таким вот в нём заниматься вообще, оно уже всё там есть.
	Ответить \| Правка \| Наверх \| Cообщить модератору