Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление sudo-rs 0.2.10 с исправлением двух уязвимостей"	+/–
Сообщение от opennews (?), 12-Ноя-25, 10:41
Опубликован выпуск проекта sudo-rs 0.2.10, развивающего написанные на языке Rust варианты утилит sudo и su.  Новая версия примечательна исправлением двух уязвимостей, которые проявляются среди прочего в дистрибутиве Ubuntu 25.10, в котором sudo-rs задействован вместо утилиты sudo. Примечательно, что до этого кодовая база sudo-rs успешно прошла два независимых аудита безопасности - в августе 2023 года и в августе 2025 года... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64226
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

7. Сообщение от Аноним (7), 12-Ноя-25, 10:52    Скрыто ботом-модератором	+14 +/–
Опять дыры в безопасности в коде на языке, который должен был избавить программиста от лишних размышлений. Почему так? И почему ИИ (обязательный инструмент при программировании на Rust на минуточку) не может помочь?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #67, #101, #113

8. Сообщение от Аноним (8), 12-Ноя-25, 10:55	+7 +/–
Ладно такие уязвимости могли допускать на заре появления юникса когда только учились кодидь а сейчас да такие бестолковый уязвимости надо бы таких кодеров выгонять из мира программирования а то так и будут косячить без конца то одни уязвимости то другие
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #30, #176

9. Сообщение от Аноним (9), 12-Ноя-25, 10:55	+1 +/–
> добавлена в июльском выпуске > опубликованной в апреле ... > независимых аудита безопасности .. в августе 2025 года (NGICore) ???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15, #112

13. Сообщение от freecoder (ok), 12-Ноя-25, 11:01	–4 +/–
Покажи свой код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #99

15. Сообщение от freecoder (ok), 12-Ноя-25, 11:02	+4 +/–
Аудиторы безопасности пропустили эти ошибки, или что вам не понятно?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #26

17. Сообщение от freecoder (ok), 12-Ноя-25, 11:03	+6 +/–
Чтобы генерить подобные комментарии даже ИИ не нужен, лишь один простой шаблон, который вы везде повторяете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #22

22. Сообщение от Аноним (7), 12-Ноя-25, 11:06	+17 +/–
Забавно слышать про шаблон, когда каждая новость про Rust начинается с одного и того же шаблона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #28

25. Сообщение от Rust (??), 12-Ноя-25, 11:12	+1 +/–
Сложные ошибки переполенения и указателя все освоили, даже все поняли в чём их суть. Это стало скучно и не инстересно. Теперь все изучают бизнес ошибки при кодировании) Очевидно же было что так будет. Или нет?)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #31

26. Сообщение от Смузихлеб забывший пароль (?), 12-Ноя-25, 11:14	+3 +/–
а чего тут понимать ? Вместо кода такой синтаксический спагетти-мусор, что даже профильные аудиторы толком не могут это разгрести
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #48

28. Сообщение от freecoder (ok), 12-Ноя-25, 11:14	+3 +/–
Какого шаблона? Он в этой новости есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #34, #62

30. Сообщение от АнонимАндрей (?), 12-Ноя-25, 11:15	–10 +/–
sudo-rs, намного лучше чем просто sudo.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #71, #156

31. Сообщение от Аноним (9), 12-Ноя-25, 11:18	+3 +/–
а есть ли эти ошибки в оригинальном sudo?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #41, #42

34. Сообщение от Аноним (34), 12-Ноя-25, 11:28	+1 +/–
Я отредактировал новость, добавив портянку про безопасную работу с памятью, боровов и тд. Скоро появится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #45

36. Сообщение от Аноним (36), 12-Ноя-25, 11:41	+2 +/–
Бесполезная трата времени и сил, все эти переписывания. Хотя… Думаю это неспроста, такое рвение - попытка отжать у сишников всё, что они создали за многие годы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37, #40, #53, #86, #124, #127, #179, #180

37. Сообщение от Кошкажена (?), 12-Ноя-25, 11:42	+5 +/–
Еще не нужно забывать про сменую лицензии обычно. Тоже неспроста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

39. Сообщение от Аноним (39), 12-Ноя-25, 11:51	+4 +/–
Ну и объясните в чём был смысл. Были одни уязвимости стали другие а учитывая что поделие новое там еще вагон невыявленых уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

40. Сообщение от Вася (??), 12-Ноя-25, 11:51	+1 +/–
В чем попытка отжать? Что значит "отжать у сишников"? Сишникам запрещено писать на расте что ли? Сишникам запрещено продолжать развитие своего судо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

41. Сообщение от Аноним (41), 12-Ноя-25, 11:52	+/–
у тебя спека на оригинальный sudo есть?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

42. Сообщение от Аноним (42), 12-Ноя-25, 11:53	+/–
Ну была недавно одна, но такая себе, не очень критичная. Всего лишь получение прав рута любым юзером в системе https://www.opennet.me/opennews/art.shtml?num=63505
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #81

43. Сообщение от Аноним (43), 12-Ноя-25, 11:54	+6 +/–
Это другое
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #75

44. Сообщение от Аноним (44), 12-Ноя-25, 11:55    Скрыто ботом-модератором	+3 +/–
Ну уязвимость и уязвимость, с кем не бывает! Большинство раздражает Rust пропаганда, так же как и ЛГБТ (деятельность в РФ запрещена) пропаганда. К языку программирования Rust и к программистам Rust претензий нет, так же как и нет претензий к геям и другим представителям.
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от freecoder (ok), 12-Ноя-25, 11:56	+4 +/–
То есть, вы заявляете о шаблонности каждой новости про Rust, а когда вам указали, что это не так, вы решаете пойти и отредактировать новость, чтобы она стала шаблонной? Ну да, это же для растохейтеров стандарт: придумать себе чучело, а потом героически подгонять под него реальность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

47. Сообщение от Аноним (47), 12-Ноя-25, 12:00	+2 +/–
Были критические уязвимости, а стали несущественные, которые и за уязвимости трудно принять, так как по сути атакуешь сам себя. Из недавних дыр в sudo: https://www.opennet.me/63505 - получение прав root https://www.opennet.me/58507 - изменение любого файла в системе https://www.opennet.me/54474 - получение прав root https://www.opennet.me/54394 - смена владельца произвольного файла https://www.opennet.me/52284 - получение прав root https://www.opennet.me/51675 - повышение привилегий https://www.opennet.me/46633 - перезапись файла в обход SELinux https://www.opennet.me/32942 - получение прав root
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #49

48. Сообщение от freecoder (ok), 12-Ноя-25, 12:03	–2 +/–
Я правильно понял вашу мысль: вы считаете, что на Rust в принципе нельзя писать нормальный код (синтаксис не позволяет)? В таком случае приведите пожалуйста пример хорошего по-вашему кода на языке с хорошим синтаксисом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #69, #73, #76, #185

49. Сообщение от Аноним (39), 12-Ноя-25, 12:05	+3 +/–
ну так всё еще впереди. срок эксплуатации этого несравнимо мал по отношению в оригиналу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #66

52. Сообщение от Аноним (52), 12-Ноя-25, 12:15	+4 +/–
И зачем надо было переходить на раст? Чтобы получить тоже самое что было?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #72

53. Сообщение от анондр (?), 12-Ноя-25, 12:15	+/–
и постоянно недоделки и ошметки какие-то на Rust, но зато "безопасно" а то что свалится из-за несовместимости переписываний "не наши проблемы"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #63

55. Сообщение от анондр (?), 12-Ноя-25, 12:17	+3 +/–
Как же так??? Обещали безопасно будет :D
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #70

57. Сообщение от анондр (?), 12-Ноя-25, 12:22	+2 +/–
sudo apt-get remove coreutils-from-uutils --allow-remove-essential sudo apt-get install coreutils-from-gnu /etc/apt/preferences.d/uutils: Package: coreutils-from-uutils Pin: release a=* Pin-Priority: -10 как-то так
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59

58. Сообщение от анондр (?), 12-Ноя-25, 12:25	+/–
взято из Migration to rust-coreutils in 25.10 и Ubuntu 25.10: How to Revert to GNU Coreutils
Ответить | Правка | Наверх | Cообщить модератору

59. Сообщение от Аноним (39), 12-Ноя-25, 12:27	+1 +/–
спасибо
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #74

62. Сообщение от Аноним (62), 12-Ноя-25, 12:30	+1 +/–
В каждой новости про выход компилятора.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #128

63. Сообщение от Аноним (62), 12-Ноя-25, 12:33	+2 +/–
Безопастно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

66. Сообщение от Мемоним (?), 12-Ноя-25, 12:36	+2 +/–
В оригинале тоже будут находить новые дыры, так что их всегда будет больше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #80

67. Сообщение от Аноним (67), 12-Ноя-25, 12:39	–1 +/–
> Опять дыры в безопасности в коде на языке, который должен был избавить программиста от лишних размышлений. Раст избавляет лишь от лишних размышлений при работе с памятью. Ни от чего другого спасение не заявлялось. Опять воины против Раста ыыдумывают себе ветряные мельницы, и сами же с ними воюют. 🤦 Не надоело еще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #91, #147

69. Сообщение от Смузихлеб забывший пароль (?), 12-Ноя-25, 12:41	+/–
кудах-кудах ) Я просто читаю текст статьи и вижу почти прямым текстом вывод, что даже независимые аудиторы( именно во множественном числе и из разных структур ) не смогли даже разгрести логику в коде на расте, из-за чего пропустили дыры. да, без двойного освобождения памяти. Но дыры, тем не менее, остались и нехилые. Причём, утилиты весьма простые и небольшие. Что же будет в больших системах ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #77, #78, #106, #167

70. Сообщение от freecoder (ok), 12-Ноя-25, 12:41	+/–
Безопасную работу с памятью обещали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

71. Сообщение от Аноним (71), 12-Ноя-25, 12:41	+3 +/–
> sudo-rs, намного лучше ... намного лучше создаёт поле для уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #92

72. Сообщение от freecoder (ok), 12-Ноя-25, 12:42	+/–
Получили другое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52

73. Сообщение от Аноним (67), 12-Ноя-25, 12:42	+/–
> В таком случае приведите пожалуйста пример хорошего по-вашему кода на языке с хорошим синтаксисом. Ты не видел сишечных портянок с goto?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #178

74. Сообщение от анондр (?), 12-Ноя-25, 12:43	+/–
я потестирую еще это решение прежде чем применять к основной системе apt install coreutils-from-gnu coreutils-from-uutils- --allow-remove-essential что любопытно Larger image size: A Docker image currently is 75 MB large. Rust-coreutils come in at 25 MB vs 7 MB for the classic coreutils, increasing the image size by 18MB to 93MB (+24%). из-за rust coreutils распух Docker образ O_o судя по этой записи Migration to rust-coreutils in 25.10 на сайте обсуждений Ubuntu
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #125, #161

75. Сообщение от freecoder (ok), 12-Ноя-25, 12:43	+/–
По отношению к чему? К ошибкам работы с памятью? Да, другое. По отношению к логическим ошибкам? Нет, оно самое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

76. Сообщение от Аноним (71), 12-Ноя-25, 12:43	+2 +/–
> на Rust в принципе нельзя писать нормальный код Да, Вы правы в этом высказывании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #82

77. Сообщение от Аноним (71), 12-Ноя-25, 12:47	+1 +/–
> не смогли даже разгрести логику в коде на расте, из-за чего пропустили дыры. Это уже не дыры, а тоннели. > Что же будет в больших системах ? Для этого раст и создавался. Обфускаторы отдыхают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

78. Сообщение от freecoder (ok), 12-Ноя-25, 12:49	+3 +/–
> кудах-кудах ) Не хочу думать о вас плохого, но почему вы кудахтаете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

80. Сообщение от Аноним (39), 12-Ноя-25, 12:49	+/–
но тогда зачем эта суета с переписыванием
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #84, #200

81. Сообщение от Аноним (71), 12-Ноя-25, 12:50	+/–
Причём заметьте, не имеет отношения к "сишным дыреням" (нет проблем с памятью).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #85

82. Сообщение от freecoder (ok), 12-Ноя-25, 12:51	+/–
Но это не моё высказывание. Это нормальный вопрос, на который вы не способны дать нормальный ответ. Почему? Потому что ваша реакция и аргументы эмоциональные, а не рациональные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

84. Сообщение от Аноним (-), 12-Ноя-25, 12:56	+/–
> но тогда зачем эта суета с переписыванием Чтобы избавиться от дыр с памятью и сконцентрироваться только на логических. И как можешь заметить, score у этих уязвимостей очень маленький.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #88

85. Сообщение от Аноним (-), 12-Ноя-25, 12:59	+/–
> Причём заметьте, не имеет отношения к "сишным дыреням" (нет проблем с памятью). Да, но вот есть аналогичная, но как раз сишная дырень с переполнением буфера opennet.ru/opennews/art.shtml?num=54474 Причем прожила незамеченная целых десять лет, что уже тянет на закладку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #81

86. Сообщение от Аноним (41), 12-Ноя-25, 13:01	–1 +/–
> попытка отжать у сишников всё Отжали ровно 0 у.е. Удачи отжимать и дальше :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #160

88. Сообщение от Аноним (41), 12-Ноя-25, 13:03	+/–
получение прав рута это маленький score? ну-ну
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #117

91. Сообщение от Аноним (7), 12-Ноя-25, 13:06	+1 +/–
Где противоречие? Всякий раз говорили, что именно отсутствие необходимости заботиться об ошибках с памятью высвободит силы на продумывание более качественной логики. Но да, отсутствие ошибок с памятью принесло ряд совершенно новых неожиданных ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67 Ответы: #93, #94, #155, #166

92. Сообщение от Аноним (92), 12-Ноя-25, 13:07	+3 +/–
Ты правда хочешь увидеть список CVE стандартного sudo? Кто будет унизительно для ненавистников раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #71 Ответы: #184

93. Сообщение от Аноним (67), 12-Ноя-25, 13:19	–3 +/–
> Всякий раз говорили, что именно отсутствие необходимости заботиться об ошибках с памятью высвободит силы на продумывание более качественной логики Нет, не говорили. Где вы видели такой бред?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #98

94. Сообщение от Аноним (94), 12-Ноя-25, 13:21	+/–
> отсутствие ошибок с памятью принесло ряд совершенно новых неожиданных ошибок. Понятно. Очевидно, нужно возвращать ошибки с памятью.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

96. Сообщение от Аноним (96), 12-Ноя-25, 13:33	–1 +/–
Интересно какой у них процесс был. Так то надо брать все написанные тесты для sudo и прогонять их на sudo-rs. И вот если это было сделано, то это вопрос к авторам sudo на тему отсутствия таких тестов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #120

97. Сообщение от Аноним (-), 12-Ноя-25, 13:40	+1 +/–
>CVE-2025-64170 - ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли, Бизапасненько так.
Ответить | Правка | Наверх | Cообщить модератору

98. Сообщение от Аноним (7), 12-Ноя-25, 13:41	+2 +/–
Согласен, что это бред, но именно это говорили фанаты Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #105

99. Сообщение от Аноним (-), 12-Ноя-25, 13:43    Скрыто ботом-модератором	+/–
Не покажу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

101. Сообщение от Аноним (101), 12-Ноя-25, 13:47	–1 +/–
> Опять дыры в безопасности в коде на языке, который должен был избавить программиста от лишних размышлений. Сишники выдумали эту глупость и продолжают повторять. Зачем - спроси сишников. Я начинаю думать, что сишники просто глупые люди, раз они такие серьёзные ошибки на ровном месте совершают. Safe Rust убирает ошибки работы с памятью, а не вообще все ошибки на свете. Почему вам это так трудно понять? Вроде простая мысль. > Почему так? Так нипочему, потому что написанное не имеет отношения к реальному миру. Почему у тебя такие фантазии знаешь только ты сам. > И почему ИИ (обязательный инструмент при программировании на Rust на минуточку) Сегодня день открытых дверех в спец учреждениях? Зачем вы выдаёте эти дикие фантазии за реальность? > не может помочь? Это кстати тоже неправда. ИИ помогает очень сильно, другое дело что куча людей не хотят пользоваться ИИ т.к. зерги по разуму их осудят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

102. Сообщение от Аноним (101), 12-Ноя-25, 13:50	–2 +/–
И снова логические ошибки, а не ошибки работы с памятью. В отличие от поделок на Си. Что и требовалось доказать. Раст конечно позволяет уменьшить количество логических ошибок тоже, но для этого программист должен уметь кодировать инварианты в типы, а это увы умеют не все, тут уж компилятор не заставит сделать правильно, в отличие от работы с памятью.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #104, #108

104. Сообщение от xsignal (ok), 12-Ноя-25, 13:55	+/–
На этих, как ты выразился, "поделках на Си", весь Земной Шар IT стоит и ничего, крутится и не падает!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #109, #111

105. Сообщение от Аноним (67), 12-Ноя-25, 13:55	+/–
> Согласен, что это бред, но именно это говорили фанаты Rust. Пока что я это слышу от воина против Раста, воюющего против ветряных мельниц, которые он сам себе придумал.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #118

106. Сообщение от Аноним (67), 12-Ноя-25, 14:01	–2 +/–
> почти прямым текстом вывод, что даже независимые аудиторы( именно во множественном числе и из разных структур ) не смогли даже разгрести логику в коде на расте, из-за чего пропустили дыры В тексте новости нет и намека на то, что аудит пропусьил уязвтмость именно из-за синтаксиса Раста. Какзалось бы, по твоей же логике, языки с простым синтаксисом типа Питона вообще не должны содержать ошибок - но логика, очевидно, отключается, когда речь идет о Расте. > Я просто читаю текст статьи и вижу ...фигу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

108. Сообщение от Аноним (41), 12-Ноя-25, 14:19	+1 +/–
> И снова логические ошибки, а не ошибки работы с памятью. Так эксплуатировать твою логическую ошибку может каждый васян, а поди проэксплуатируй ошибку с памятью со всякими роп-геджетами и обходами рандомизации адресного пространство.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #110

109. Сообщение от Аноним (109), 12-Ноя-25, 14:21	–1 +/–
Ты адепт секты "не сломалось - не чини"? Потому что во-первых сломалось, а во-вторых весь технический прогресс построен на том, что люди чинили то, что "не сломалось".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

110. Сообщение от Аноним (109), 12-Ноя-25, 14:23	–4 +/–
То есть ты как бы намекаешь на то, что логические ошибки - это плохо. Отлично, на расте проще писать программы без ошибок логики, чем на сях, так что это ещё один аргумент за раст. Спасибо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #138

111. Сообщение от Аноним (67), 12-Ноя-25, 14:23	+/–
> поделках на Си > не падает Сишные проги не падают? 😂 Вот это новости!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #114

112. Сообщение от Аноним (112), 12-Ноя-25, 14:26	+/–
## If I do `grep unsafe` why do I find hundreds of occurrences? Because they are necessary. The `unsafe` keyword is part of Rust's memory safety design. The most important thing it allows is dereferencing "raw pointers", and calling other functions marked as "unsafe", such as those found in the C library. Because sudo-rs is a system utility, it needs to interface with the operating system and system libraries, which are written in C. Most of the `unsafe` code in sudo-rs lives at those seams. A prime example of this is the `setuid()` function itself---without which it would be really hard to write sudo. Also note that about half of our `unsafe` blocks happens in unit test code---to test our "unsafe parts". For the other half, every usage of `unsafe` is accompanied by a `SAFETY` specification, every one of which has been vetted by at least two sudo-rs team members. Finally, wherever it was possible, we use [Miri](https://github.com/rust-lang/miri) to test our `unsafe` blocks to be sure we didn't create any so-called "undefined behaviour". We have seen some attempts at 'myth busting' Rust code by counting the number of times `unsafe` occurs. But that is mistaking the forest for the trees. Of course we understand the criticism: sudo-rs is a new program and needs to prove itself. But we are not spreading myths about sudo-rs having "memory safety-by-design" at its core. At the very least, a few hundred lines of well-documented `unsafe` code is still less than hundreds of thousands of them.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

113. Сообщение от kravich (ok), 12-Ноя-25, 14:26	+/–
>ИИ (обязательный инструмент при программировании на Rust на минуточку) 4.2
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

114. Сообщение от xsignal (ok), 12-Ноя-25, 14:28	+/–
Любые проги при определённых условиях падают... Главный вопрос - приводит это к катастрофам или нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

117. Сообщение от Аноним (117), 12-Ноя-25, 14:38	+/–
Зачем его получать, если он уже есть? Ты читал описание уязвимости то? > привилегированный пользователь, имеющий полномочия выполнения через sudo
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #131

118. Сообщение от Аноним (7), 12-Ноя-25, 14:43	+1 +/–
Ну как же, вот Аноним ниже пишет, что Rust позволяет сократить количество логических ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

120. Сообщение от Имя (?), 12-Ноя-25, 14:46	+2 +/–
> это вопрос к авторам sudo на тему отсутствия таких тестов Точняк, это всё Си-шники виноваты! :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

124. Сообщение от freehck (ok), 12-Ноя-25, 14:55	+/–
> Бесполезная трата времени и сил, все эти переписывания. Хотя… Думаю это неспроста, > такое рвение - попытка отжать у сишников всё, что они создали за многие годы. Не, там другое. Корпорациям не очень удобно жить с GPL в юзерспейсе. Вся суть переписывания -- в смене лицензии на пермиссив. А то, что оно на другом языке, гарантирует отсутствие лицензионных претензий: никто не сможет даже в шутку сказать, что это производный продукт. По той же причине Canonical спешит отестировать Rust-овые утилиты в дефолтной поставке.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #165

125. Сообщение от morphe (?), 12-Ноя-25, 15:18	+/–
Под ubuntu его непойми как собрали, бинарь uutils собранный вручную занимает 9 мбайт у меня (на 2 мбайта больше чем gnu coreutils) Это же кто-то подтвердил и под оригинальной новостью https://discourse.ubuntu.com/t/migration-to-rust-coreutils-i...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #146

126. Сообщение от Аноним (126), 12-Ноя-25, 15:29	–1 +/–
"поддерживаются начиная с версии sudo-rs 0.2.5... Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя." Просто не надо было это делать. Зачем это вообще?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #142

127. Сообщение от Соль земли2 (?), 12-Ноя-25, 15:36	+/–
Соглы. Одно только "но": почти бесполезная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

128. Сообщение от Вася Пупкин (?), 12-Ноя-25, 15:37	+/–
Вам завидно что ваш конпелятор редко обновляется?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

131. Сообщение от Аноним (41), 12-Ноя-25, 16:06	+/–
> Ты читал описание уязвимости то? """ Уязвимость имеет смысл только при включении в настройках sudoers флагов rootpw и targetpw, которые по умолчанию отключены и поддерживаются начиная с версии sudo-rs 0.2.5, опубликованной в апреле. """ """ Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя. """ """ Уязвимость в том, что поведение не меняется и привилегированный пользователь по-прежнему МОЖЕТ использовать свой пароль для выполнения команд под root, хотя при активных флагах targetpw и rootpw ДОЛЖЕН ввести пароль root. """ Коротко, у вас есть возможность исполнить от рута при знании пароля рута. Уязвимость в том, что вам достаточно ввести свой пароль, а не рутовый. Реальный юзер может знать рутовый пароль, но злоумышленник пароль рута не знает. Но конечно же это выглядит абсурдным, вопрос, зачем мне sudo если я знаю рутовый пароль? В чем смысл sudo? Разрешать исполнять команды от другого пользователя, но для этого необходимо мне ввести пароль того пользователя? Это что за логика такая?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #117 Ответы: #182

138. Сообщение от Аноним (41), 12-Ноя-25, 16:32	+/–
> То есть ты как бы намекаешь на то, что логические ошибки - это плохо. """ Уязвимость в том, что поведение не меняется и привилегированный пользователь по-прежнему может использовать свой пароль для выполнения команд под root, хотя при активных флагах targetpw и rootpw должен ввести пароль root. """ Вот вам логическая ошибка, которую может проэксплуатировать любой васян. Помните новость про то как ребенок рандомно поклацал по клаве и разблокировал отцовский гномовский воркстейшен. Вот к чему я, логическая ошибка (архитектурный изъян) куда опаснее всяких ошибок памяти. Вот вам книжка К. Касперский - Техника сетевых атак, которую многие из нынешнего поколения в глаза не видели. > на расте проще писать программы без ошибок логики Раст разве такое гарантирует? Логикой оперирует человек, а не ЯП. > так что это ещё один аргумент за раст. Спасибо. Сделав зубья граблей такими, что они не прокалывают вам ноги, вы не избавились от проблемы, что при наступание они не расшибут вам лоб!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110 Ответы: #144

142. Сообщение от Медведь (ok), 12-Ноя-25, 17:40	+/–
> "поддерживаются начиная с версии sudo-rs 0.2.5... Подразумевается, что изменение данных настроек должно менять поведение утилиты sudo, которая с этими настройками должна требовать пароль целевого пользователя, а не пароль текущего пользователя." Просто не надо было это делать. Зачем это вообще? И снова ржавуны ищут альтернативный "правильный" мир для раста... Ребята, вы пишете прозрачную замену для утилит GNU? Вы обязаны повторить их поведение точь-в-точь. Нравится вам это, не нравится -- вы на это подписались. Точка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #126 Ответы: #159

144. Сообщение от Аноним (144), 12-Ноя-25, 17:50	+/–
> > на расте проще писать программы без ошибок логики > Раст разве такое гарантирует? Логикой оперирует человек, а не ЯП. Каким образом у вас "проще" превратилось в "гарантирует"? Дайте растохейтера который умеет читать и в логику, пожалуйста. А то пока только попадаются фантазёры, спорящие с голосами у себя в голове, а не с написанным. Если же вдруг в вопросе имелось ввиду "чем проще?", то: typestate pattern, tagged unions (enum), must_use, Result, type parameters, traits, и так далее. Больше удобнвх инструментов, позволяющих закодировать инварианты в системе типов, которые потом проверит компилятор. Другими словами: проще сделать API, которым невозможно неправильно воспользоваться. Про это ещё часто говорят "еслм собралось - значит работает", хотя конечно это преувеличение в абсолютном смысле.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #138 Ответы: #149, #151

146. Сообщение от Big Robert TheTables (?), 12-Ноя-25, 18:06	+/–
И не проверить, что именно добавлено, ведь то, как ложится логика кода на ассемблер - только той самой версии компилятора и ведомо, безопасно, не так ли?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125 Ответы: #157

147. Сообщение от Медведь (ok), 12-Ноя-25, 18:15	+/–
> > Опять дыры в безопасности в коде на языке, который должен был избавить программиста от лишних размышлений. > Раст избавляет лишь от лишних размышлений при работе с памятью. Ни от чего другого спасение не заявлялось. Опять воины против Раста ыыдумывают себе ветряные мельницы, и сами же с ними воюют. 🤦 Не надоело еще? Несколькими постами дальше в треде (из растофильского): > Отлично, на расте проще писать программы без ошибок логики, чем на сях, так что это ещё один аргумент за раст. Спасибо. Вы там между собой определитесь, что ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

149. Сообщение от Медведь (ok), 12-Ноя-25, 18:21	+/–
> Про это ещё часто говорят "еслм собралось - значит работает", хотя конечно это преувеличение в абсолютном смысле. Это не преувеличение, это прямая причина ошибок, подобным сабжевым. Хайповые маркетинговые нахваливания раста вбивают в головы ржавонеофитов эту мантру, ну и итог закономерен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

150. Сообщение от Фамилия (?), 12-Ноя-25, 18:22	+/–
> ошибка, из-за которой не до конца введённый пароль выводился в стандартный входной поток и показывался в консоли Там что, реально вот так прям написано? if (strlen(entered_password) < strlen(real_password)) {   printf("%s\n", real_password); } А зачем такой код вообще написали? И у аудиторов не возникло вопросов? PS. Это не то что смешно, это страшно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #154, #168

151. Сообщение от Аноним (41), 12-Ноя-25, 19:11	+/–
> Каким образом у вас "проще" превратилось в "гарантирует"? а что есть "проще"? разве логика программы зависит от используемого ЯП? Вы утверждаете, что "проще писать программы без ошибок логики" - ну вот где доказательства (считай гарантии), что при переписывании (написании) программы на ЯП раст вы не допускаете логических ошибок? Повторяю, разве логическая ошибка зависит от используемого ЯП? > Дайте растохейтера который умеет читать и в логику, пожалуйста. А то пока > только попадаются фантазёры, спорящие с голосами у себя в голове, а > не с написанным. в смысле "который умеет читать и в логику"? я не понял вашей мысли, перефразируйте. > Другими словами: проще сделать API, которым невозможно неправильно воспользоваться. а кто это делает? ЯП или человек? ЯП - инструмент в руках человека. Если человек криворук и не дружит с логикой - ни какой ЯП ему не поможет. Вернемся к сабжу, указанная в новости логическая ошибка имеет место быть в сишной версии sudo - да или нет? Чем вам замена грабель на грабли без зубов поможет уберечь ваш лоб? > Про это ещё часто говорят "еслм собралось - значит работает", хотя конечно это преувеличение в абсолютном смысле. Говорить можно все что угодно, истина ведь одна (с соответствующим доказательством).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144 Ответы: #181

154. Сообщение от Аноним (71), 12-Ноя-25, 20:02	+/–
Эта закладка делалась, чтобы пароль иногда случайно оседал во всяких логах, откуда его уже можно добыть разными методами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

155. Сообщение от кек (?), 12-Ноя-25, 20:02	+/–
Вы не понимаете. Они же не пишут с нуля, они вынуждены читать код на си, где им приходится НАПРЯГАТЬСЯ чтобы понять решение с памятью и переписать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

156. Сообщение от кек (?), 12-Ноя-25, 20:04	+/–
Skoda Octavia RS, намного лучше чем sudo-rs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #158

157. Сообщение от morphe (?), 12-Ноя-25, 20:20	–2 +/–
> И не проверить, что именно добавлено, ведь то, как ложится логика кода > на ассемблер - только той самой версии компилятора и ведомо, безопасно, > не так ли? Ох уж этот миф про то как код на ассемблер ложится, C/C++ тем же самым оптимизатором обрабатывается, там всё так же запутано. Скорее всего в системе сборки дебиана не смогли strip/LTO настроить, впервые что ли.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

158. Сообщение от Frestein (ok), 12-Ноя-25, 20:25	+2 +/–
Sydney Sweeney намного лучше чем sudo-rs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #156 Ответы: #162

159. Сообщение от Аноним (159), 12-Ноя-25, 21:58	–1 +/–
Да мне без разницы, на чем это написано. Утилиты с suid bit должны быть максимально простыми. А такая логика, которая по определению не покрывается никакими инвариантами типов, и на которую даже вменяемый тест не напишешь, должна быть под запретом. OpenBSD-шный doas - пример того, как надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

160. Сообщение от Аноним (160), 12-Ноя-25, 22:13	+/–
отжали 826 тысяч евро у Sovereign Tech Fund https://www.opennet.me/opennews/art.shtml?num=64105
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86 Ответы: #163

161. Сообщение от Аноним (161), 12-Ноя-25, 22:54	+/–
> из-за rust coreutils распух Docker образ O_o судя по этой записи Migration > to rust-coreutils in 25.10 на сайте обсуждений Ubuntu https://packages.debian.org/bullseye/coreutils > 17,478.0 kB У них там какой-то свой, особый корутилс? Ну и да: pkg rquery %n-%sh coreutils rust-coreutils coreutils-18.6MiB rust-coreutils-10.9MiB
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

162. Сообщение от _ (??), 12-Ноя-25, 22:57	+1 +/–
Oh, ya-YA! ;-)~~~ Sidney Sweeney has good jeans!(C)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

163. Сообщение от Аноним (41), 12-Ноя-25, 23:23	+/–
> отжали 826 тысяч евро эт не они отжали, а на них помочились те же Sovereign Tech Fund, ибо для них это отмыв (откат). Они также завтра будут мочится на другой ЯП, который придет заменять ваш раст :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

164. Сообщение от Медведь (ok), 12-Ноя-25, 23:41	+/–
Эта музыка будет вечной! -- Ржавуны, ну как же так, вы опять хрень написали?! -- А у нас memory safety, а больше мы вам ничего не обещали! У нас зато все ошибки -- это безопасные, святые, правильные ржавоошибки! И вообще, отцепитесь, у нас тут чекер боровов опять не дает проект собрать...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #169

165. Сообщение от Кошкажена (?), 13-Ноя-25, 00:29	+/–
>> Бесполезная трата времени и сил, все эти переписывания. Хотя… Думаю это неспроста, >> такое рвение - попытка отжать у сишников всё, что они создали за многие годы. > Не, там другое. Корпорациям не очень удобно жить с GPL в юзерспейсе. > Вся суть переписывания -- в смене лицензии на пермиссив. > А то, что оно на другом языке, гарантирует отсутствие лицензионных претензий: никто > не сможет даже в шутку сказать, что это производный продукт. > По той же причине Canonical спешит отестировать Rust-овые утилиты в дефолтной поставке. Какое им дело до sudo или coreutils?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

166. Сообщение от Аноним (166), 13-Ноя-25, 01:27	+/–
> Всякий раз говорили, что именно отсутствие необходимости заботиться об ошибках с памятью высвободит силы на продумывание более качественной логики. Давай условно согласимся, что говорили. Но ты сам написал "более качественной логики", а не "абсолютно качественной, абсолютно безошибочной". Т.е. какое-то кол-во "логических" ошибок остаётся даже с твоей придуманной формулировкой. Ну вот они и есть - две ошибки. А было бы (на другом, небезопасном языке), условно, пять. Но это не важно. Позже наверняка и в этом поделии ещё найдут, но их будет меньше, чем если бы "переписывали" на си. А теперь представь, что у этих же программистов к необходимости заботиться о бизнес(и обычной)-логике, добавилась бы когнитивная нагрузка заботиться и об ошибках работы с памятью. Как ты думаешь, общее количество ошибок от этого конечно же сразу упадет? > Но да, отсутствие ошибок с памятью принесло ряд совершенно новых неожиданных ошибок. ага, таких же новых и неожиданных, как и возникающие при программировании на си. К которым _в придачу_ накодят более чем в два раза бОльше ошибок работы с памятью, которые, судя по новостям, генерируют больше 90% опасных CVE. А тут оценки опасности даже до 5 из 10 не дотягивают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91

167. Сообщение от Аноним (166), 13-Ноя-25, 01:41	+/–
>  Но дыры, тем не менее, остались и нехилые Это при оценке меньше 5 из 10? Ну да, ну да... Оценщик же не ты, а то ты бы им 11 поставил. > Что же будет в больших системах ? Спроси у клаудфлари или гугла. А-а-а-а-а, ну да... У них же студенческие поделки уровня хеловрота, которые второкурсник за вечер воскресенья пишет. и, для повторения: > Что же будет в больших системах ? гугл вам уже рассказывал, что получилось, еще в 22-м (и с тех пор от раста не отказался, а только наращивает использование, потому что разработка на расте продуктивнее в два раза разработки на плюсах): "To date, there have been zero memory safety vulnerabilities discovered in Android’s Rust code." (и это после двух лет разработки и полутора млн строк кода)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #177

168. Сообщение от Аноним (166), 13-Ноя-25, 02:25	+/–
Нет конечно же. Вы невнимательно читали плюс там кривая формулировка ("...не до конца введённый пароль..."). Думаю, там не про сравнение длины "реального" и "введенного" паролей, а формулировку "не до конца введённый пароль" правильнее было бы заменить на "ввод, не завершенный/подтвержденный Enter'ом".  Там наверняка про ввод произвольной длины произвольного текста (а не "меньшей длины реального пароля"), который не был завершен Enter'ом. Скорее всего тупо при истечении таймаута при ожидании Enter'а они зачем-то дампили буфер ввода в out. А в буфер с клавиатуры могла быть введена любая галиматья, а не обязательно "половина настоящего пароля". И эта галиматья тоже бы задампилась, если бы подождали таймаут.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #183

169. Сообщение от Аноним (166), 13-Ноя-25, 02:36	+/–
Еще не в спячке, шатун? Жирка не поднакопил, покушать пришел? > Эта музыка будет вечной! Пока код пишут кожаные мешки - да, "логические" ошибки будут создаваться вечно, на любых языках. Это только сишники утверждают, что (произвольный) "безопасТный язык" взаместо программистов должен написать без ошибок и систему расчета зарплаты на предприятии и программу просмотра картиночек из инторнетов и всё-всё-всё остальное. Самое омерзительное, что свои глупые выдумки сишники приписывают разработчикам на других языках, а потом с остервенением бросаются их опровергать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164 Ответы: #170, #171

170. Сообщение от Аноним (41), 13-Ноя-25, 02:58	+1 +/–
> "логические" ошибки будут создаваться вечно любая некорректная работа с памятью в Си приводящая к ошибке есть логическая ошибка!!! Это как 2+2=5, вычислил без калькулятора, ну получи выход за границы массива. И тут приходит растовик и предлагает всегда пользоваться калькулятором, в итоге что? Итог один - деградация, 2+2 сложить не способны. > Это только сишники утверждают, что (произвольный) "безопасТный язык" взаместо программистов должен написать без ошибок Выше я привел аналогию с граблями, с переходом на раст вы не избавились от ситуации когда граблями получаете по лбу.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #173

171. Сообщение от Медведь (ok), 13-Ноя-25, 03:05	+/–
> Еще не в спячке, шатун? Жирка не поднакопил, покушать пришел? Как это по-анонимски -- цепляться к никам. Что-то умное можешь сказать? >> Эта музыка будет вечной! > Пока код пишут кожаные мешки - да, "логические" ошибки будут создаваться вечно, > на любых языках. Это только сишники утверждают, что (произвольный) "безопасТный язык" > взаместо программистов должен написать без ошибок и систему расчета зарплаты на > предприятии и программу просмотра картиночек из инторнетов и всё-всё-всё остальное. Самое > омерзительное, что свои глупые выдумки сишники приписывают разработчикам на других языках, > а потом с остервенением бросаются их опровергать. Ох уж эти сишники, вечно обижают бедных растунов... А ничего, что и в этом, и в предыдущих тредах всплывает любимая повторялка растозависимых "у нас программа если компилируется -- то работает! уууух!" Причем они ж буквально это понимают, судя по результатам, и придумали ее явно не злобные сишники. Я уж не говорю о том, что растики не скупятся на личные оскорбления всех, кто с ними не согласен, ты тому живой пример.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #169 Ответы: #174

172. Сообщение от Аноним (172), 13-Ноя-25, 03:53    Скрыто ботом-модератором	+4 +/–
Дело не в том, что раст плохой язык. Просто раст, по факту, принадлежит Google, а C - общественности. Дело в смене лицензии и медленном отжиме у общество её собственности через внедрения раст в свободные продукты.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #175

173. Сообщение от Аноним (166), 13-Ноя-25, 03:54	–1 +/–
> есть логическая ошибка Потому и написано "логическая" (в кавычках), а не логическая. Я думаю Вам, как и всем тут, всё понятно, а Вы просто цепляетесь. Имеется в виду то самое гугловско-мелкомягкое разделение всех ошибок на две группы - на 70% ошибок работы с памятью и 30% оставшихся (как их любят называть на этом сайте, чтобы определить одним словом - "логические").
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170 Ответы: #189

174. Сообщение от Аноним (166), 13-Ноя-25, 04:00	–2 +/–
> Что-то умное можешь сказать? Вам? Бесполезно. Вам постоянно говорят. А вы по кругу повторяете лозунги, ложность которых вам доказали. До вас не доходит. Не в коня корм. Потому и складывается мнение, что или вы простые тролли, покушать зашли (наверное таких вас большинство), или необучаемы и профнепригодны. Так что я Вам даже польстил, всего лишь назвал троллем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #171

175. Сообщение от Аноним (-), 13-Ноя-25, 05:27	+1 +/–
>Дело в смене лицензии и медленном отжиме у общество её собственности через внедрения раст в свободные продукты. Фуф дошло. Не зря жизнь прожил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

176. Сообщение от Sm0ke85 (ok), 13-Ноя-25, 08:13	+1 +/–
>Ладно такие уязвимости могли допускать на заре появления юникса когда только учились кодидь а сейчас да такие бестолковый уязвимости надо бы таких кодеров выгонять из мира программирования а то так и будут косячить без конца то одни уязвимости то другие Просто раст очень "безопасный", и в это обстоятельство все уверовали и решили, что и студент сможет нынче программировать = куча багов и уязвимостей, а также постоянные оговорки, что "раст не там-то безопасен, а вот в другом месте..." Напрягает одно, они переписывают то, что и так работает отлично и используют линукс и его сообщество как полигон, по рукам таким бить надо и чапалахи отвешивать, чтоб "место" свое знали...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

177. Сообщение от Sm0ke85 (ok), 13-Ноя-25, 08:26	+/–
>разработка на расте продуктивнее в два раза разработки на плюсах В новости так-то видна цена этой "продуктивности", даже переписать по готовому не могут ржавые товарищи... Так "продуктивно" переписывать можно абсолютно на любом языке, если что...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #167

178. Сообщение от Sm0ke85 (ok), 13-Ноя-25, 08:28	+/–
>Ты не видел сишечных портянок с goto? Это наезд или пример красоты языка?)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

179. Сообщение от Sm0ke85 (ok), 13-Ноя-25, 08:32	+/–
> Бесполезная трата времени и сил, все эти переписывания. Хотя… Думаю это неспроста, > такое рвение - попытка отжать у сишников всё, что они создали > за многие годы. Вот я склоняюсь к тому же: сообщество создало и оттестировало годную ОС и теперь КОПРОраты отжимают...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

180. Сообщение от Аноним (180), 13-Ноя-25, 09:48	+/–
Смысл переписывания в том, что вполне возможно Rust компилятор добавляет нужную закладку в конечный продукт. В исходном коде компилятора конечно это не найдёшь, так как он компилируется предыдущей версией компилятора, в бинарнике которого присутствует код добавления закладки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #190

181. Сообщение от Диды (ok), 13-Ноя-25, 10:06	+/–
>а что есть "проще"? разве логика программы зависит от используемого ЯП? Ещё как. Пример - реализуйте двусвязаный список на расте
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #151 Ответы: #187, #192

182. Сообщение от Диды (ok), 13-Ноя-25, 10:13	+/–
>Но конечно же это выглядит абсурдным, вопрос, зачем мне sudo если я знаю рутовый пароль? В чем смысл sudo? Разрешать исполнять команды от другого пользователя, но для этого необходимо мне ввести пароль того пользователя? Это что за логика такая? Чтобы не делать полноценный логин например, подхватить свой env и ещё куча возможных применений
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131 Ответы: #186

183. Сообщение от Фамилия (?), 13-Ноя-25, 11:34	+/–
> Скорее всего тупо при истечении таймаута при ожидании Enter'а они зачем-то дампили буфер ввода в out. Ну то есть у них там тогда вот так что ли написано? timeout = read_password_into(password_buffer); if (timeout) {   printf("%s\n", password_buffer); } Страшно, очень страшно, если бы мы знали что это такое, мы не знаем что это такое. И опять же - у аудиторов не возникло вопросов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #168 Ответы: #188

184. Сообщение от Капчевод (?), 13-Ноя-25, 12:55	+/–
Сравни количество CVE за первый год sudo и sudo-rs В даркнете уже сотни инструкций есть, как обойти то или иное ограничение, имея возможность запустить sudo-rs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

185. Сообщение от Капчевод (?), 13-Ноя-25, 13:00	+/–
В расте нельзя написать безопасный код. Там в самом компиляторе сделана возможность подсовывать программе переменные окружения, которые она не будет проверять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

186. Сообщение от Аноним (41), 13-Ноя-25, 14:34	+/–
> подхватить свой env и ещё куча возможных применений мы же фактически команду другого пользователя исполняем, которая работает с его же env, никто же не будет проектировать программу, требующую доступа к файлу (окружению), к которому нет доступа. Разве команда исполняющаяся от пользователя A, которая должна записать файл в путь HOME (переменная окружения, к примеру) сможет записать если в HOME=/home/B ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #182 Ответы: #194

187. Сообщение от Аноним (41), 13-Ноя-25, 14:37	+/–
> Ещё как. Пример - реализуйте двусвязаный список на расте ну ка, дайте определение двусвязного списка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181 Ответы: #195

188. Сообщение от Аноним (41), 13-Ноя-25, 14:42	+/–
> И опять же - у аудиторов не возникло вопросов? нет спеки - нет аудита, о чем речь вообще?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183 Ответы: #191

189. Сообщение от Аноним (41), 13-Ноя-25, 14:58	+/–
> Потому и написано "логическая" (в кавычках), а не логическая. Ну дайте определение "логическая" (в кавычках) - я чет не понял. Повторяю, некорректная работа с памятью в Си есть логическая (без кавычек, в прямом смысле слова) ошибка. Просто других ошибок и не бывает, ибо всякий алгоритм это логическая пошаговая запись. Любые ошибки связанные с информационной безопасностью - такие же логические ошибки, ибо нарушают логику следования определенным правилам описанным в модели безопасности. > Я думаю Вам, как и всем тут, всё понятно, а Вы просто цепляетесь. К словам? Так и надо, а как иначе если вы пренебрегаете строгостью определений. > Имеется в виду то самое гугловско-мелкомягкое разделение всех ошибок на две группы А здравый смысл мы уже потеряли? Кто такой гугл-мелкомягкие, чтобы давать такие определения? Вот поэтому отравлены мозги нынешней молодежи непонимающие, что ошибки работы с памятью, как ошибка, ничем не отличается от "логических" (в кавычках) ошибок, которые они имеют ввиду.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173

190. Сообщение от Аноним (41), 13-Ноя-25, 15:04	+/–
> компилятор добавляет нужную закладку в конечный продукт так это всякий компилятор всякого ЯП по определению может делать. Молчу уже про то, что эта хня в любой момент времени по необходимости может происходить с новым "релизом".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180

191. Сообщение от Фамилия (?), 13-Ноя-25, 15:12	+/–
> Примечательно, что до этого кодовая база sudo-rs успешно прошла два независимых аудита безопасности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #188 Ответы: #193

192. Сообщение от Аноним (41), 13-Ноя-25, 15:21	+/–
Банально, но в стандартной библиотеке есть Use a LinkedList when: You are absolutely certain you really, truly, want a doubly linked list. //doc.rust-lang.org/std/collections/index.html Но вы, я думаю, имели ввиду реализацию средствами самого языка, модель языка может вам и не позволит это реализовать ввиду ограничений. Тоже самое я могу сказать про всякие longjump-ы в Си, попробуйте их реализовать без asm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181 Ответы: #196

193. Сообщение от Аноним (41), 13-Ноя-25, 15:26	+1 +/–
где спека (модель) безопасности данного проекта?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #191 Ответы: #201

194. Сообщение от Диды (ok), 13-Ноя-25, 15:44	+/–
>Разве команда исполняющаяся от пользователя A, которая должна записать файл в путь HOME (переменная окружения, к примеру) сможет записать если в HOME=/home/B ? Сможет. man sudo Там много чего интересного
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #186 Ответы: #197

195. Сообщение от Диды (ok), 13-Ноя-25, 15:47	+/–
Определение найдёте в любом учебнике
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #187

196. Сообщение от Диды (ok), 13-Ноя-25, 15:50	+/–
>Но вы, я думаю, имели ввиду реализацию средствами самого языка, модель языка может вам и не позволит это реализовать ввиду ограничений. Именно об этом и речь
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #192 Ответы: #198, #199

197. Сообщение от Аноним (41), 13-Ноя-25, 16:11	+/–
> Сможет. sudo -u A touch /home/B/test_file.txt Точно сможет? У А ведь нет прав на запись в B.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194

198. Сообщение от Аноним (41), 13-Ноя-25, 16:28	+/–
> Именно об этом и речь я не вижу в этом проблемы, язык говорит о своих ограничениях и зачем они необходимы, в том же Си свои ограничения. А если мы хотим избавить себя от всех этих ограничений, то мы должны использовать асм.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196

199. Сообщение от Аноним (41), 13-Ноя-25, 16:57	+/–
тут реализация, как видим одни unsafe и сырые указатели. //github.com/rust-lang/rust/blob/main/library/alloc/src/collections/linked_list.rs
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #196

200. Сообщение от Кошкажена (?), 13-Ноя-25, 23:18	+/–
> но тогда зачем эта суета с переписыванием * сломать работающий опенсорс, создав зоопарк * изменить лицензию * внедрить технологию, которую сложно/долго собирать с нуля, а значит поощрать использование бинарей
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

201. Сообщение от Аноним (201), 14-Ноя-25, 01:59	+/–
Его спека это код оригинала на Си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #193

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема