1.40, Джон Макагонов (?), 10:57, 21/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –14 +/– |
Еще один жирнющий намек на раст, рано или поздно сишники перейдут на раст - у них просто на останется выбора, это дело времени.
| |
|
2.66, Аноним (66), 12:33, 21/10/2022 [^] [^^] [^^^] [ответить]
| +5 +/– |
Тут только намек на то что открытый код спасает от проблем. А повышать надо квалификацию и тестирование.
| |
2.79, Брат Анон (ok), 13:57, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
golang и oberon это умеют точно так же.
Только с человеческим синтаксисом и без всякого пеара.
| |
|
3.83, Аноним (-), 14:02, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
У го жирный рантайм(((
А "человеческий синтаксис" это явно не про оберон
| |
|
|
5.122, Аноним (122), 22:11, 21/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
Растоманы надоели все время врать что у них нет рантайма. Все опеннет эксперты знают что borrow checker это тот же сборщик мусора, а llvm значит интерпретатор.
Раст такой же интерпретируемый язычек как и java
| |
|
|
5.110, freecoder (ok), 18:19, 21/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
У Rust хороший синтаксис. Особо не лучше и не хуже, чем в других языках. Новичкам только непривычен.
| |
|
6.111, Аноним (-), 18:44, 21/10/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
> У Rust хороший синтаксис.
Он хороший, правда меняется от версии к версии, нет никаких стандартов но в общем он хороший
| |
|
7.121, Аноним (122), 22:07, 21/10/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Растоманы надоели менять свой синтаксис в каждой версия, пока пишу хелло ворлд, он уже перестает работать
| |
|
|
7.123, Аноним (122), 22:20, 21/10/2022 [^] [^^] [^^^] [ответить]
| –2 +/– |
То что эксперты опеннет не могут освоить си подобный синтаксис раста, говорит не о том что экспертам нужно заняться чем-то далёким от программирования, а о том что Раст это сложно язык.
Любой опеннет эксперт это понимает и до физической работы, да и вообще любой работы не опустится.
| |
|
|
|
|
|
2.96, Аноним (96), 15:48, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Еще один жирнющий намек на раст
Ну и каким образом раст поможет в решении этой проблемы? Его компилятор что, знает значения переменных во время выполнения?
| |
2.129, OpenEcho (?), 06:18, 22/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Есть такая хорошая пословица: "Осел останется Ослом, хоть ты осыпь его звездами."
Так и здесь, раст не панацея, это просто инструмент и если он в руках дебила, то разницы между молотком и микроскопом нет
| |
|
1.48, Аноним (48), 11:26, 21/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Теперь люди будут шарахаться от предложений об обязательной проверке хеша после скачивания...
Мне кажется, что компилятор должен был громко кричать о подобных переполнениях и его либо не слушали, либо заткнули ему рот.
| |
|
2.51, Без аргументов (?), 11:30, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
В современных Сях тоже полно опций предупреждений и ошибок. Но скажу, почему выключают: сразу все импорты начнут высыпать, а не собственный код.
| |
2.72, Аноним (96), 13:27, 21/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но компилятор же не может знать значений переменных в рантайме.
| |
|
|
4.124, Аноним (122), 22:24, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Растоманы не могут понять даже таких очевидных вещей, что компилятор по настоящему безопасного языка должен предполагать самое худшее.
Любой опеннет эксперт это подтвердит, Раст на самом деле опасный язык
| |
|
|
|
|
2.69, Анонн (?), 12:57, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не, это явно не тот случай.
"Тысяча глаз" была бы если бы это нашел рандомный анон с опеннета.
А этот чувак -- исследователь-криптограф с профильным образованием, разработчкик Chaskey, с публикациями (https://mouha.be/publications/), работающий в Computer Security Division NIST.
Это его работа и он сделал ее хорошо)))
Уверен что он знал (ну, или как минимум предполагал) и где искать и что искать.
| |
|
3.77, Michael Shigorin (ok), 13:52, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Вы сами заметите ошибку в логике своего _опубликованного_ комментария или понадобится ещё сколько-то прочитавших и ещё один не поленившийся ответить? :)
| |
3.78, Аноним (-), 13:53, 21/10/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
> рандомный анон с опеннета.
... не умеет в программирование. ;)
| |
|
4.127, 1111 (??), 02:50, 22/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> рандомный анон с опеннета.
даже если найдётся тот кто умеет - его сразу деанонимизируют и опять скажут что но не анонимый и не рандомный. Глядишь до местных мыслителей через тысячу итерация дойдёт что конкретное дело не может сделать кто то рандомный, а только кто то конкретный с именем, даже ели он с опеннета...
| |
|
|
|
1.59, Аноним (59), 12:09, 21/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Объясните как безопасный раст защитит от таких переполнений?
Допустим библиотека написана на безопасном расте. В параметры передаются указатели на буфер с исходными данными и на буфер для сохранения результата и соответственно их размеры. Если в алгоритме ошибка то любой раст спокойно выйдет за пределы буфера и ни кто про это не узнает.
| |
|
2.61, Без аргументов (?), 12:15, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не знаю как в Расте, но даже в Го меня бесит, что стандартные всякие циклы, len и возвращаемые количество знаковых типов, т.е. если у себя использовать беззнак, то только приведет к такой же проблеме
| |
|
3.80, Брат Анон (ok), 13:59, 21/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не приведёт. Го требует явное приведение типов, иначе откажется такой код собирать.
И использовать счётчики циклов в Го -- это ни разу не го-вей.
| |
|
4.108, Без аргументов (?), 18:12, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
это как в Го без счетчиков? даже в range он есть, но когда мне надо перелопатить 200к строк БД на стороне Го, наполняя слайс структур, я предпочитаю работать по ссылке, а не копии.
| |
4.109, Без аргументов (?), 18:14, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
я имею в виду нет никакой пользы, если я напишу
a := uint64_t(123)
if a < uint64(len(slice))
или
if int(a) < len(slice)
| |
|
|
2.62, Анонн (?), 12:17, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
В дебаге переполнение вызвало бы панику и намекнуло бы программисту что что-то пошло не так (причем жирно так намекнуло, со стектрейсом аж до проблемы).
Допустим этого не случилось и оно пошло в прод. В проде переполнение бы произошло, но при попытке "записи хвоста за пределы выделенного буфера" произошла бы другая паника. А дальше зависит от написаного кода. Если кастомной обработки паники нет - приложение бы упало, но не было бы RCE. Если кастомная обработка есть - то зависит от ее логики.
| |
|
3.67, Анонн (?), 12:35, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Фигли? Вот в скрытой ветке выше есть две ссылки на сорцы и там никакого unsafe там нет.
Просто потому что он там не нужен.
| |
|
4.75, Аноним (87), 13:34, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ну дополнительные проверки не могут существовать без дополнительных накладных расходов.
| |
|
5.82, Брат Анон (ok), 14:01, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Ну дополнительные проверки не могут существовать без дополнительных накладных расходов.
Дополнительные проверки -- это результат кривого железа. И это не дополнительные проверки. Это нормальные проверки.
| |
|
|
7.97, fhsdfku (?), 16:03, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
это походу новая повесточка от хозяев растоманов: покупайте наше сааамое безопасное железо!
| |
|
|
9.102, Анонн (?), 16:49, 21/10/2022 [^] [^^] [^^^] [ответить] | +1 +/– | А с чего бы RISC-V стал безопасным У него другие плюсы - можно делать процы и н... текст свёрнут, показать | |
|
|
|
|
5.93, Аноним (58), 15:35, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Любые проверки это дополнительные расходы, давайте без них. Ну кому нужен этот SHA?
| |
|
|
|
|
|
2.104, Аноним (104), 17:14, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
SHA-3 - семейство функций, которое включает, в том числе, функцию SHA3-256.
| |
|
1.84, Аноним (10), 14:07, 21/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Насколько уязвимость затрагивает существующие приложения на практике пока не ясно
Т.е. в реальном мире "уязвимость" опять невозможно проэксплуатировать?
| |
|
2.85, Анонн (?), 14:12, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Автор пишет что да https://mouha.be/sha-3-buffer-overflow/
"Moreover, I’ve also shown how a specially constructed file can result in arbitrary code execution, and the vulnerability can also impact signature verification algorithms such as Ed448 that require the use of SHA-3"
Только публиковать будет позже.
А еще из забавного, чего нет в новости, уязвимый код был релизнут "in January 2011".
Тыщщи глаз просто засмотрелись куда-то)))
| |
|
3.98, fhsdfku (?), 16:08, 21/10/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Тыщщи глаз просто засмотрелись куда-то)))
хоть через столько лет, но пример преимущества открытого кода: ошибку-таки нашли.
а сколько там во всяких вендах да ораклах с эпплами - можно только гадать..
учитывая, что пишут те же девелоперс с такими же ошибками, а вот иллюзия защищённости из-за огороженности есть.
плюс, всякие соглашения о неразглашении и прочие лицензии - и серьёзная ошибка может эксплуатироваться вечность.
| |
|
4.100, Аноним (99), 16:10, 21/10/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Я тебе больше скажу можно туда специально добавлять «ошибки», а потом их за деньги продавать тому кто больше заплатит.
| |
4.101, Аноним (101), 16:35, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вот ты так раз - и считаешь что там хуже. Это ж так удобно.
А то, что оракл мог просто нанять этого (или любого другого) чела для поиска уязвимостей в своих продуктах... это же нереально, да)) И ему дадут доступ к закрытым сорцам, и он подпишет НДА. А мы ничего не узнаем. Плюс и ябло, и майки платят за уязвимости, хотя код закрыт.
Почему иллюзия? Что легче исследовать - бинарник или сорцы?
Посидеть-почитать код вечерком или пыхтеть в IDAPro? Первое может делать любой первокурсник, а для второго нужны хоть какие-то компетенции.
| |
|
5.116, Вы забыли заполнить поле Name (?), 20:03, 21/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
> И ему дадут доступ к закрытым сорцам, и он подпишет НДА. А мы ничего не узнаем.
Это ж так удобно (с).
"Корпорации заботятся о тебе" - не забывай это повторять перед сном.
| |
|
6.118, Аноним (101), 21:43, 21/10/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Корпорации заботятся о себе и только о себе.
Именно поэтому гугел выплачивает по 40к за обход песочницы в хромом. Просто не хочет терять аудиторию.
Или эпл за джейлбрейк. Тоже чтобы не терять деньги.
И за это они готовы платить. А не ждать 10 лет пока кто-то решит покопаться в их коде.
| |
|
7.138, Вы забыли заполнить поле Name (?), 23:52, 25/10/2022 [^] [^^] [^^^] [ответить]
| +/– |
Код хромиума открыт, алё. Кто и как будет копаться в закрытом коде?
Кстати, все крупные компании используют наработки опенсурс проектов и платят за найденные уязвимости в них.
| |
|
|
|
|
|
|
1.107, Аноним (107), 17:24, 21/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Дашь сишнику массив, так он и за границу выйдет, и произвольный код выполнит. Надо полагать, эталонную реализацию SHA3 тоже ненастоящие сишники прогали. Настоящие-то существуют хоть где-то за пределами фантазий опеннетчиков?
| |
|
2.125, Аноним (125), 22:45, 21/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Надо полагать, эталонную реализацию SHA3 тоже ненастоящие сишники прогали.
А вы полагаете настоящие? Не в обиду математикам, но математики редко бывают хорошими программистами.
| |
|
3.131, Аноним (10), 07:43, 22/10/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> математики редко бывают хорошими программистами
зато чаще других организуют "институты математики и информационных технологий".
| |
|
|
1.132, CVE (?), 10:37, 22/10/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Молотком по пальцу себе стукнул. Плохой молоток, нужен безопасный молоток, который будет сидеть рядом со мной и рассказывать как правильно гвозди забивать, потом проверит правильно ли я его держу, а при слабом или неровном замахе будет стукать меня током, чтобы я не ударил мимо гвоздя или по пальцу. Вон шурин мой дом построил, руки все в шрамах, а я вот подготовлю свой молоток, принесу его сообществу строителей, покажу как можно все дома перестроить с нуля, используя безопасный молоток.
| |
|