| |
| |
| 3.21, Аноним (21), 20:57, 05/12/2020 [^] [^^] [^^^] [ответить] [↑] [п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴┬ п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴╔п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я▐Б√▓я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я├Б∙╔я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б■■п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б√▓]
| +/– | |
Нет, это про любой вредный могущественным организациям софт верно. И на Си софт горазде труднее в понимании, чем на питоне.
Логика такая - если на простом и memory-safe питоне софт не смогли уберечь от явных бэкдоров, более того, бэкдор обнаружили только когда всех отымели, это значит нет не то что "тысячи глаз", а даже четырёх глаз нет. Для кода на Си количество глаз смело делите на 100.
Не используйте любой софт, для которого нет хотя-бы пары внимательных добронамеренных глаз. Софт он есть софт, если пропустили eval в софте на питоне, то пропустят и system и exec в софте на си, даже если нет очень неочевидных бэкдоров в работе с памятью, которые в питоней версии исключены как класс.
| | |
| |
| |
| |
| 6.25, Аноним (25), 19:01, 08/12/2020 [^] [^^] [^^^] [ответить] [п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴┬ п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴╔п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я▐Б√▓я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я├Б∙╔я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б■■п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б√▓]
| +/– | |
> в работе с памятью, которую вы бы вообще хрен нашли.
Ее первый же запуск под asan/ubsan или valgrind спалит, статический анализ тоже не отменяли. А вот в pybitmessage такой код что там даже и не понятно, специально это или автор в своем амплуа был.
> В питоне бэкдор обнаружили постфактум так быстро
Оперативность соответствовала кодеру и юзерам - всего несколько лет втюхивали это скрипткидисам, потом кто-то наконец почитал код и охренел. Я этот крап снес посмотрев 1 раз сорец и офигев.
> тебе придётся либо изначально написать виртуальную машину на питоне,
Зачем такие сложности, когда eval() готовый есть...
> Суммирую - для такого софта питон - один из наилучших выборов.
Оно и видно, выбор скрипткиди с бэкдорами.
| | |
|
|
| |
| |
| 6.30, Аноним (-), 19:04, 10/12/2020 [^] [^^] [^^^] [ответить] [п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴┬ п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴╔п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я▐Б√▓я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я├Б∙╔я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б■■п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б√▓]
| +/– | |
> - это не про си.
Как-то получилось что у сишников тот код мелкий, аккуратный, понятный более менее, в отличие от крупнооптового ужаса в pybitmessage. Самое издевательское что у сишников кода раз в 10 меньше. Один из самых лаконичных p2p.
> Никакого. За качественный аудит качественными глазами вообще принято платить. Нет оплаты - нет аудита.
Платить за аудит наколенных макетов на питоне - это не ко мне.
> Вот тут примерно так же. Использовал eval, через него взломали - не
> хрен из себя целку строить, везде написано во всех руководствах "eval
> не использовать", раз не последовал рекомендации - значит бэкдорщик. Правда похоже
> вставка бэкдоров скоро, если не уже, тоже станет уважаемой профессией.
Может и бэкдорщик. Но там весь код довольно наркоманский.
| | |
|
|
|
|
|
| |
| |
| 3.43, Аноним (-), 15:36, 13/01/2021 [^] [^^] [^^^] [ответить] [п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴┬ п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б┴╔п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б√⌠п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я▐Б√▓я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔я├Б∙╔я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б■■п©б╘п╠Б∙≤п©Б√▓п▒Б■╛Б┴╔п▒Б┬≥Б▄║я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б√═Б■─я▐Б√░п▒Б┬ Б√▒п©Б√▓п▒Б┬ Б∙░п▒Б┬ Б√▓]
| +/– | |
> как макс 14 дней, потом оно удалится.
Это оно у тебя удалится. А у вон тех экземпляров с патченым клиентом и логгером - не удалится. Так что мониторить такую сеть в принципе удобнее. Но есть пара нюансов.
1) Ключей много, их все крякать предлагается? Оно настолько ослабнет, что, типа, крупным оптом вскрякается?
2) Даже так не особо понятно кто отправитель и кто получатель и как они с физическим миром стыкуются, даже если и видно что в тексте. Конечно вы можете запостить ваши банковские реквезиты, но зачем? Для безопасности можно считать что это публичный почтовый ящик. Все могут читать текст, но только настоящий получатель поймет смысл верно.
| | |
|
|
|
