Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"	+/–
Сообщение от opennews (??), 10-Мрт-26, 20:52
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare  и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64957
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+6 +/–
Сообщение от Диды (ok), 10-Мрт-26, 20:53
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
Ответить | Правка | Наверх | Cообщить модератору

	19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (19), 10-Мрт-26, 21:39
	> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. Если так, почему её использовали?
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:21
	> На brainfuck весьма сложно отслеживать логику приложения. А на каком легко? На Go?
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
Сообщение от Аноним (3), 10-Мрт-26, 20:53
РЕШЕТO!!1 А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.
Ответить | Правка | Наверх | Cообщить модератору

	16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:23
	https://www.opennet.me/opennews/art.shtml?num=64574
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (34), 10-Мрт-26, 22:52
	никакой спеки там нет, костыль на костыле
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
Сообщение от Аноним (16), 10-Мрт-26, 21:08
>Уязвимости устранены в выпуске Pingora 0.8.0 Реагируют, уже хорошо. Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:10
	>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. А это прям хорошо.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним (12), 10-Мрт-26, 21:17
	> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.
	Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

	15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:22
	И без переписывания за всем не уследишь: 1) https://opennet.ru/62635-kernel 2) https://opennet.ru/64574-bug
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (33), 10-Мрт-26, 22:41
	> Диды не зря завещали: "Keep it simple, stupid". А делали Keep it simple-stupid. В первом же новом юниксе выcpaли дырень в 50 строках. Как говорится "не мешки ворочать".
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
Сообщение от Аноним (24), 10-Мрт-26, 22:02
"haha, classic" (ц) Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Ответить | Правка | Наверх | Cообщить модератору

	27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:20
	> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить. Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости. Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.
	Ответить | Правка | Наверх | Cообщить модератору

	29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (29), 10-Мрт-26, 22:25
	Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов: A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы) B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема