| 1.1, Аноним (1), 22:15, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– | |
> переполнению буфера
Хм... что-то не характерно для программ, написанных на си. Тут что-то не так. Обычно таких уязвимостей в си-программах не бывает.
| | |
| |
| |
| |
| 4.4, Аноним (4), 23:22, 05/04/2019 [^] [^^] [^^^] [ответить]
| +4 +/– |
Вот взял и лишил нас попкорнового зрелища. Айтишники без ч/ю это так забавно.
| | |
| 4.13, IRASoldier (?), 03:50, 06/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да какой сарказм - очередное _тонко_ завуалированное намекание, что "С/С++ остой, устарели, всем срочно писать на модных и безопасных вот вчера прямо придуманных языках!". Ну, есть еще вероятность, что предложит писать не на модноязыках, а наоборот - на каком-нибудь Обероне, потому что "великiй ВиртЪ всё это предвидел!", но - маленькая.
| | |
| |
| |
| 6.37, IRASoldier (?), 16:39, 08/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Не надо скудоумых фантазий, просто возьми C#!
Насколько я понимаю, на никсах с шарпами не сложилось. Хотя давно уже .NET в опенсорсе.
| | |
| |
| 7.41, нах (?), 12:35, 18/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Насколько я понимаю, на никсах с шарпами не сложилось.
все с ними сложилось, с нынешней дистанции не видно разницы в возрасте между mono и ms'овской реализацией.
Просто никсы оказались ненужны разработчикам *на* C# - у них-то под виндой все и так неплохо получается. Вряд ли и .core что изменит, это для пользователей wsl придумано, не для людей.
| | |
|
|
|
|
|
|
| 1.5, Анонимс (?), 23:29, 05/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
>> переполнению буфера
> Хм... что-то не характерно для программ, написанных на си.
И что Вы предлагаете для решения этой проблемы? Переписать на rust, js или другой безопасный язык? А существуют ли в природе вообще эти безопасные языки? Очень сложный вопрос, на который я не знаю ответа. Может эксперты знают ответ на этот вопрос?
| | |
| |
| 2.6, Аноним (6), 23:40, 05/04/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
Для Си есть набор техник препятствующих переполнениям. Другое дело, что стоимость этих подходов мешает производительности. А так то можно использовать и вообще какую-то виртуальную машину.
| | |
| |
| 3.12, IRASoldier (?), 03:47, 06/04/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>Для Си есть набор техник препятствующих переполнениям
Ага, просто супертехника - просто писать код _правильно_.
| | |
| |
| 4.21, PnDx (ok), 10:22, 06/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
 Так не бывает, и где-то в районе хабра даже попадались статьи, почему.
На пальцах, при написании кода работает "спекулятивное" мышление. Программист пропускает некоторые "нюансы" просто потому что не видит. Не видит "неправильного", увлёкшись как раз созданием "правильного".
Отсюда как раз вытекает необходимость покрывать код тестами: с точки зрения инженера они описывают, как *должно* работать. (И как ломаться.) Т.е. "модель".
В силу первого параграфа, написать сразу "правильные" тесты также проблематично. Поэтому, процесс — итеративный. "Архитектор" (в других сферах деятельности обычно называется "инженер") изначально должен озаботиться, чтобы процесс ("допилил код — дописал тест") таки сходился. (* Выбор языка/языков под задачу — тоже часть проектирования.)
* И в этом кстати формальное обоснование, почему "глючные комбайны" не работают примерно всегда. Потому что тупо не "свести".
| | |
| |
| 5.23, IRASoldier (?), 10:51, 06/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Вот старая добрая модель водопада такое глюкло системно фиксила чаще, чем новомодные скрамы и прочие агиле, когда "баги будем фиксить потом, сейчас главное добавить ещё одну ну очень как нужную фичу".
| | |
| |
| 6.33, Аноним (31), 16:21, 08/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ни одна "модель" не обезопасит тупости низкоквалифицированного персонала.
| | |
| |
| 7.38, IRASoldier (?), 16:45, 08/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Ни одна "модель" не обезопасит тупости низкоквалифицированного персонала.
Два чая этому Анонимусу.
| | |
|
|
| 5.32, Аноним (31), 16:20, 08/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Хватит уже фапать на тесты! Только бестолкушки вроде вас, не особо высокой квалификации, наивно думают, что тесты от чего-то там защитят.
Тест - это *ровно такая же программа*, со своими недостатками, утечками, неполнотой и прочим. Написать 100% гарантирующий тест - практически нереально, он стоит 10-кратно по ср. с покрываемым кодом. Поэтому вы либо пишете "недотесты" (очевидно, на***ер не нужные), либо не пишете вообще.
| | |
|
|
|
|
| 1.8, Аноним (8), 00:03, 06/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> Изначально проблема устранена в выпуске 1.20.2, но в исправлении разработчики забыли убрать отладочные вызовы, поэтому следом сразу выпущен релиз 1.20.3.
Как-то непрофессионально звучит. Но есть и "профессионалы", у которых вообще был бы notabug в такой ситуации.
| | |
| |
| 2.25, Michael Shigorin (ok), 11:27, 06/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Как майнтейнер wget в альте (кстати, обновка убежала вскоре после апстримного анонса) могу отметить, что после того, как wget взялись шевелить -- в него посадили несколько неприятных дырок (да, после указания на них сразу бросились фиксить, но не порадовало).
| | |
|
| 1.11, Аноним (11), 00:54, 06/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –6 +/– |
wget давно пора переписать на Go/Rust - и даже runtime с собой таскать не жалко, ибо им качают огромные файлы.
| | |
| |
| |
| |
| |
| |
| 6.19, IRASoldier (?), 08:25, 06/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> лет через 10 будет ясно
На самом деле, если без трололо, как раз на утилитах Rust и имеет смысл оттачивать - естественно, не меняя майнстрим, а форкая для желающих в перманентный тестинг. С теми же coreutils поиграть. Опять же, проекты типа Oxidation уместны. И т.п. А вот тогда можно будет постепенно смотреть, насколько этот самый Rust из перспективных (всяко интереснее Go, разумеется) годится в продакшен чего-то сурьезного.
| | |
| |
| 7.20, Аноним (16), 09:49, 06/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
я про 10 лет сказал реально без трололо. Считаю что до некоего условно юзабельного состояния эту RedoxOs раньше не осилят, если только туда кто-то не вольет бабла.
А насчет утилит, то в GNOME уже пишут.
| | |
|
|
|
|
|
| 2.28, Ivan_83 (ok), 19:37, 06/04/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Только вот всем пофик на такие уязвимости.
wget/curl/fetch используются редко, и в основном с вполне определёнными серверами (а не какими попало), таскать жуткий раст ради мифической безопасности - бесполезная трата времени.
| | |
| 2.34, Аноним (31), 16:23, 08/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
ваши "горасты" только и нужны тем, кто пишет эти языки. Есть нормальный, промышленный Ди - бери, да пиши.
| | |
|
| |
| 2.30, Аноним (26), 22:26, 07/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> wget устарел к сожалению, всё чаще требуется curl.
Совершенно разные инструменты, изначально рассчитанные на разные области применения. Перекрываются разве что в самом востребованном хомячками кейсе — выкачать из веба один файл.
| | |
|
|
