Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Критическая уязвимость в Drupal, opennews (?), 28-Мрт-18, (0) [смотреть все] Это не дыра, это фича , Аноним (-), 23:59 , 28-Мрт-18, (2) +18 // господи друпал это жи грех какой то , Аноним (-), 21:17 , 29-Мрт-18, (34) +1 А патчи в стили PHP, годы идут, ничего не меняется Мы тут ввод подчистим, вмест, Аноним (-), 00:02 , 29-Мрт-18, (3)   // принципиальная дыра - это вообще работать с каким-либо user input В противном с, пох (?), 00:32 , 29-Мрт-18, (4) –1   // Принципиальная дыра - это ожидать, что в user input будет только то, что там дол, YetAnotherOnanym (ok), 18:56 , 29-Мрт-18, (33)   // они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, пох (?), 16:16 , 31-Мрт-18, (48) –1   Принципиально дыра в головах Прикрыть будет ооооочень сложно , anomymous (?), 11:55 , 31-Мрт-18, (43)   Что, опять , th3m3 (ok), 01:15 , 29-Мрт-18, (5) +3 https www drupal org files issues 2018-03-28 SA-CORE-2018-002 patchдля Drupal6, Sylvia (ok), 07:03 , 29-Мрт-18, (6) +1 // Drupal6 упоминается почему-то только в одной ссылке В двух других только 7 и 8 , dq0s4y71 (ok), 23:16 , 28-Апр-18, (51) Одним словом - пехапе, Аноним (-), 08:05 , 29-Мрт-18, (7) –3 // Одним словом - не пехапе, а ошибки пейсателей парсеров пользовательских запросов, IRASoldier (?), 08:21 , 29-Мрт-18, (8) +4 // ну, на самом-то деле, изначальное отсутствие в языке с низким порогом вхождения, Аноним (-), 10:29 , 29-Мрт-18, (11) –1 // В современном PHP все уже есть А в старом коде времен php4, да, я видел парсеры, KonstantinB (ok), 11:18 , 29-Мрт-18, (15) так это одной А полмиллиона других компаний сэкономили на этом по доллару - и в, Аноним (-), 12:30 , 29-Мрт-18, (17) +1 Сразу вспоминается модификация анекдота про ковбоев, которые увеличили ВВП , KonstantinB (ok), 13:04 , 29-Мрт-18, (23) +1 htmlspecialchars, filter_var, Аноне (?), 10:34 , 30-Мрт-18, (40) это слишком низкоуровневые конструкции, и к тому же они by design неверны если , пох (?), 13:45 , 31-Мрт-18, (46) –1 Дырень касается всех или только тех у кого есть какие-то пользователи и они чего, Fy (?), 08:53 , 29-Мрт-18, (9) –1 // если у твоего локалхоста нет пользователей - нет, тебя не касается Особенно есл, ваш К.О. (?), 10:17 , 29-Мрт-18, (10) +2 // Тонко, Солнышко (??), 14:08 , 29-Мрт-18, (26) // Да куда уж тоньше Словно сайты без аунтификации и прочих форм ввода бывают толь, Аноним (-), 16:22 , 30-Мрт-18, (41) Касается всех, даже включение режима обслуживания не спасет Ошибка прямо с бутс, 123 (??), 10:39 , 29-Мрт-18, (12) Drupal весьма хорош для крупных порталов, для тех, кто не хочет изучать программ, Солнышко (??), 11:12 , 29-Мрт-18, (13) –2 // И безопасность, как видим, тоже Но шкурку натянуть можно, это да , Аноним (-), 12:29 , 29-Мрт-18, (16) +1 // Для бизнеса чаще всего важнее шкурка, а не содержание В таком мире мы живем , Солнышко (??), 12:38 , 29-Мрт-18, (19) –1 // Для бизнеса важны бабки, а как следствие - важно все Просто некоторые осознают , KonstantinB (ok), 13:01 , 29-Мрт-18, (22) +2 или не понесут а при удачном раскладе еще и страховку нехилую получат раскру, ыы (?), 14:05 , 29-Мрт-18, (25) –3 Или продадут успешный стартап, а отдуваться будет подрядчик фирмы, кто его куп, Солнышко (??), 14:08 , 29-Мрт-18, (27) –1 Да вот прямо сейчас последствия работы таких мастеров разгребаю До человека, к , KonstantinB (ok), 15:28 , 29-Мрт-18, (30) +2 Неприятности происходят вне зависимости от того делаете вы что-то или нет с , ыы (?), 16:33 , 29-Мрт-18, (32) –2 Простите, вы какие-то вещества употребляете, или это ваш естественный ход мыслей, KonstantinB (ok), 23:28 , 29-Мрт-18, (35) +2 Ну чел вообще-то в чём-то прав Вы с ним не согласны , Аноним (-), 00:08 , 30-Мрт-18, (36) –1 Два еврея пришли к раввину, чтобы он разрешил их спор - Ребе, вот я говорю, что , KonstantinB (ok), 05:22 , 31-Мрт-18, (42) Оу шыт Вы посмотрите на этот патч Он выкидывает все параметры GET POST-запросо, KonstantinB (ok), 11:16 , 29-Мрт-18, (14) +2 // Система render array https www drupal org docs 8 api render-api render-arrays, 123 (??), 12:46 , 29-Мрт-18, (20) // Скорее https api drupal org api drupal developer 21topics 21forms_api_referenc, KonstantinB (ok), 12:58 , 29-Мрт-18, (21) Будь мужиком, покажи класс Напиши свой патч, а мы посмотрим, ок , Солнышко (??), 14:09 , 29-Мрт-18, (28) –3 // Там изначальная архитектурная ошибка со смешением данных и колбэков в одном масс, KonstantinB (ok), 15:26 , 29-Мрт-18, (29) +3 // В тот момент эта идея мне показалась привлекательной с анек, ыы (?), 16:27 , 29-Мрт-18, (31) –2 А можно весь анекдот Сходу не нагуглил , Аноним (-), 00:11 , 30-Мрт-18, (37) –1 Так это он весь и есть ыы , Led (ok), 01:21 , 30-Мрт-18, (38) Смешение user input и callbacks в одном массиве OH SHI Закoпать и не откапыват, anomymous (?), 11:58 , 31-Мрт-18, (44) +1 когда мы это писали - классов в php 4 еще не было а им надо было донести до , пох (?), 13:49 , 31-Мрт-18, (47) –1 Да были классы В конце концов, можно было бы просто два разных массива сделать , KonstantinB (ok), 20:27 , 31-Мрт-18, (49) Проверьте кому не лень залатали ли эту уязвимость на сайте Белого дома , Аноним (-), 07:43 , 30-Мрт-18, (39) –1 // Он уже миллион лет не на Друпале Это всё реклама , redwolf (ok), 12:45 , 31-Мрт-18, (45) +3 Неудовлетворенные влечения, как сознательные, так и бессознательные, заставляют , Robin (?), 11:07 , 28-Мрт-23, (52) 2,3,5,6,7,9,13,14,39,52

Сообщения

[Сортировка по времени | RSS]

3. "Критическая уязвимость в Drupal"	+/–
Сообщение от Аноним (-), 29-Мрт-18, 00:02
А патчи в стили PHP, годы идут, ничего не меняется. Мы тут ввод подчистим, вместо, того чтоб принципиально дыру прикрыть.
Ответить | Правка | Наверх | Cообщить модератору

	4. "Критическая уязвимость в Drupal"	–1 +/–
	Сообщение от пох (?), 29-Мрт-18, 00:32
	принципиальная дыра - это вообще работать с каким-либо user input? В противном случае, у меня для вас плохие новости... по крайней мере, для машин с фон-неймановской архитектурой и тьюринг-полных языков. а на "parser3" вы современный сайт делать не захотите (он не тьюринг-полный, untrusted данные изолированы. Щастья своим разработчикам не принес.)
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Критическая уязвимость в Drupal"	+/–
	Сообщение от YetAnotherOnanym (ok), 29-Мрт-18, 18:56
	Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по представлениям разработчика.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Критическая уязвимость в Drupal"	–1 +/–
	Сообщение от пох (?), 31-Мрт-18, 16:16
	>  Принципиальная дыра - это ожидать, что в user input будет только то, что там должно быть по > представлениям разработчика. они ничего такого не ожидали, просто ошиблись, упустив еще одно из миллиона мест, где нужно фильтровать еще один из сотни символов, имеющих специльное значение. это не лечится, это будет всегда.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Критическая уязвимость в Drupal"	+/–
	Сообщение от anomymous (?), 31-Мрт-18, 11:55
	Принципиально дыра в головах. Прикрыть будет ооооочень сложно.
	Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема