The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от opennews (?), 15-Дек-18, 10:19 
Во встраиваемой СУБД SQLite выявлена (https://blade.tencent.com/magellan/index_en.html) критическая уязвимость, которую можно использовать для совершения удалённой атаки на приложения для выполнения кода злоумышленника. Уязвимость может быть эксплуатирована в случае если приложение допускает передачу в SQLite SQL-конструкций, поступающих извне, или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite (например, когда файл с базой используется как формат для переноса данных).


Наибольшую опасность уязвимость представляет для пользователей браузера Chrome и приложений, использующих движок Chromium. Атака на Chromium возможна через манипуляцию с API WebSQL, который реализован поверх SQLite и подразумевает использование данной СУБД для обработки SQL-запросов из web-приложений. Для атаки достаточно создать страницу с вредоносным JavaScript-кодом и добиться чтобы пользователь открыл её в браузере на базе движка  Chromium.


Детали уязвимости и метод эксплуатации пока не раскрывается чтобы дать пользователям время на установку обновлений. Наличие уязвимости подтверждено компанией Google. Более того, подготовлен работающий эксплоит для атаки на смартдинамик Google Home (https://en.wikipedia.org/wiki/Google_Home). Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 (https://www.opennet.ru/opennews/art.shtml?num=49724) и SQLite 3.26 (https://sqlite.org/releaselog/3_26_0.html). Особенно важно проконтролировать обновление сторонних браузеров на базе движка Chromium, которые не всегда оперативно доводят исправления до пользователей. Идентификатор CVE пока не назначен, но проблеме уже присвоено кодовое имя Magellan.

URL: https://news.ycombinator.com/item?id=18685296
Новость: https://www.opennet.ru/opennews/art.shtml?num=49784

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +5 +/
Сообщение от КГБ СССР (?), 15-Дек-18, 10:19 
Если вдруг не все в курсе, данные ваших гуглопрофилей локально хранятся в сабже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +5 +/
Сообщение от Аноним (22), 15-Дек-18, 14:11 
Firefox тоже хранит кое-что в сабже, только проблема не в этом. И в новости это написано. :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от КГБ СССР (?), 15-Дек-18, 14:15 
Ага. В моих уже удалённых бдунами комментариях было про это вскользь (про 2-й и 3-й абзацы). И про то, что половина опеннетовских анонимов не понимает смысл прочитанного.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

70. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 16-Дек-18, 18:34 
Небось как обычно, ругался хуже почтового грузчика :)
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

73. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +6 +/
Сообщение от КГБ СССР (?), 16-Дек-18, 21:09 
> Небось как обычно, ругался хуже почтового грузчика :)

Ну как тебе сказать. Всего лишь честно и справедливо обнародовал о своих наблюдениях, что только умственно отсталые (пример в комменте № 3) могут прочитать статью и нифига из неё не понять, и что на небольшой выборке комментариев к этой статье отлично видно, что половина активных опеннетовских анонимных экспертов абсолютно не понимает смысл прочитанного. Но хвостатые здесь в большом фаворе — минусуют всякую здравую мысль, пишут жалобы и доносы, а не слишком отличающиеся от хвостатых местные бдуны трут реально ценные комментарии. Это, конечно, фейспалм. В итоге сайт вместо полезной информации от компетентных комментаторов содержит какие-то пустые анонимные слюнявые замеры линуксами. Парламент не место для дискуссий, ага.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

94. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 01:44 
Насчет 3 вынужден согласиться - этот таки лоханулся по полной программе, не поняв что вывешивать в внешний мир SQLное двигло - не лучшая идея на свете.

//а я таки binary minded, мне нравятся key-value, где и то и другое произвольные массивы, так что со мной такой фокус не прокатит :)

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

107. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (107), 18-Дек-18, 14:46 
И что с того? Ты будешь сам себя атаковать?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

108. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (107), 18-Дек-18, 14:50 
А, сам въехал в чём косяк. Ну Гуглу всё пофиг, к нему не липнет.
Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

2. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –4 +/
Сообщение от КГБ СССР (?), 15-Дек-18, 10:19 
Всё-таки в Гугле уникальный заповедник альтернативно одарённых.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –11 +/
Сообщение от Нанобот (ok), 15-Дек-18, 10:31 
ошибка в sqlite, а винован гугл...по-моему кто-то сегодня забыл принять свои таблетки
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +10 +/
Сообщение от dep346 (ok), 15-Дек-18, 10:45 
Гугл открыл почти прямой доступ из любых веб-страниц к чужому коду, который сам Гугл не контролирует, и который может выполнить в системе много чего, так что все последствия и не просчитаешь. Ну да, Гугл не виноват.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +12 +/
Сообщение от Аноним (9), 15-Дек-18, 10:57 
>Гугл открыл почти прямой доступ из любых веб-страниц к чужому коду, который сам Гугл не контролирует, и который может выполнить в системе много чего, так что все последствия и не просчитаешь.

Так приходится делать всем. Все браузерные и небраузерные движки рендеринга используют libjpg, libpng, lib<что-нибудь для декодирования видео>, напр. stagefright, под виндой все используют ядерный парсер шрифтов, для регулярок весьма вероятно что все используют либо libpcre2, либо встроенные в сишку. Не говоря уже о WebGL, где недоверенный шейдер передаётся драйверу видеокарты, которые никто не обновляет, потому что запланированное устаревание.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (11), 15-Дек-18, 11:14 
> для регулярок весьма вероятно что все используют либо libpcre2, либо встроенные в сишку

Это просто праздник какой-то.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от dep346 (ok), 15-Дек-18, 11:18 
Одно дело декодер какого-то формата, другое - язык с широкими возможностями для массового выполнения операций над постоянно хранимыми данными.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (15), 15-Дек-18, 12:26 
И в чём же принципиальная разница?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

37. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от аноним3 (?), 15-Дек-18, 17:02 
да никакой. и то и то может ломануть твои данные и систему))
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

60. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 16-Дек-18, 15:17 
> И в чём же принципиальная разница?

В количестве вариантов действий у атакующего и возможности все это предсмотреть.

Ну и как бы в случае libpng - мы как бы с самого начала не гарантируем что картинки происходят из дружелюбных источников. Ниоткуда это не следуте. А вот сиквель как таковой изначально сделан под совсем другие допущения, прямой доступ атакующего к фигачингу запросов в типовом движке - это как минимум "bobby tables" в датацентре. А в большинстве сиквелей еще и выполнение кода с правами сервера, потому что запросы разные бывают и фич наворотили огого. В том числе порой и откровенное выполнение внешних команд, например. Которое как бы в теории можно отключить или там контейнерами застопорить - но у 90% растяп оно просто становится i++'м ботом в ботнете.

И вообще-то гугель мог бы и научиться на чужих ошибках пожалуй. Вывешивать сиквельное апи для выполнения в нем произвольного ремотного кода - идея весьма стремная, мягко говоря.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

72. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (9), 16-Дек-18, 21:01 
>движке - это как минимум "bobby tables" в датацентре.

SQLite - для десктопов и эмбеддеда.

>А в большинстве сиквелей еще и выполнение кода с правами сервера, потому что
> запросы разные бывают и фич наворотили огого. В том числе порой
> и откровенное выполнение внешних команд, например.

В ванильной SQLite этого нет, и даже плагина официального для этого нет. Ванильная SQLite содержит встроенную песочницу специально для работы с недоверенными sqlite выражениями https://www.sqlite.org/c3ref/set_authorizer.html и имеет руководство по работе с недоверенными файлами.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

95. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 01:53 
> SQLite - для десктопов и эмбеддеда.

Это не помешало наворотить фич и в нем. И Bobby Tables таки и на него распостраняется, хоть там что.

Если БД key-value внешнему миру еще можно аккуратно вывесить, при условии что он жрет любой key и value, чикеря интенсивность запросов и размер базы, то вот SQL вывесить голым задом - идея очень спорная с самого начала. И вообще, чем меньше у атакующего способов тыкать систему палочкой, тем устойчивее система. А в сиквеле очень много способов тыкания палочкой. Настолько хитрозадых, что порой лажают даже фреймворки, старательно фильтрующие ввод и декларирующие безопасность своей целью. А они в этом параноидальнее тебя на два порядка, если что.

> В ванильной SQLite этого нет, и даже плагина официального для этого нет.

И тем не менее, там есть много чего еще и когда вот столько для атакующего вывешено - это гарантирует много сюрпризов. Неприятных, если вы - не атакующий.

> Ванильная SQLite содержит встроенную песочницу

Угу, угу, у мозиллы тоже был безопасный просмотрщик пдф на яваскрипте. Атакующие решили что кроссплатформенный сканер содержимого винчей - это и правда круто. И запилили эпичнейший 0day на основе "безопасного" просмотрщика pdf. Еще и цук кроссплатформенный, так что винде, макоси и линю досталось поровну. И даже юзеж какой-нибудь бзды от этого эксплойта не спасет - ему похрен, он на яваскрипте.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

77. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от КГБ СССР (?), 16-Дек-18, 21:28 
> И вообще-то гугель мог бы и научиться на чужих ошибках пожалуй. Вывешивать
> сиквельное апи для выполнения в нем произвольного ремотного кода - идея
> весьма стремная, мягко говоря.

Ты думаешь, что Гугель глюпий и не знает, что делает? :) Уверяю тебя, анон, они очень хорошо представляют себе последствия. Именно они это всё придумали, прописали в документации, реализовали в коде и проталкивают в стандарты в своих интересах. Никакой случайности.

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

96. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 01:54 
> Ты думаешь, что Гугель глюпий и не знает, что делает? :)

Да запросто. Посмотри сколько проектов они сливают. Они могут позволить себе пижонство косячить в 90% случаев. Если остальные 10% не косячно получаются.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

20. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от тоже Аноним (ok), 15-Дек-18, 13:46 
> Так приходится делать всем.

См. тут же в статье про FF, который ТАК делать не стал. Прекрасно понимая, куда эта дорога ведет.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

36. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от irinat (ok), 15-Дек-18, 17:02 
Нет, они просто любят Javascript. Всё равно придётся делать API, которое позволит избежать формирования SQL вручную _полностью_. Почему бы тогда не сделать это API основным, выбросив прямой доступ к SQL совсем? Меньше сущностей, меньше шансов на SQL-инъекции.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

44. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от тоже Аноним (ok), 15-Дек-18, 18:04 
Вообще-то это просто понимание азов грамотной архитектуры: на таком высоком уровне, как работа с клиентом, не должно быть никакой информации о таком низком уровне, как работа с БД.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

71. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от kai3341 (ok), 16-Дек-18, 21:01 
> См. тут же в статье про FF, который ТАК делать не стал. Прекрасно понимая, куда эта дорога ведет.

Гораздо выше вероятность, что FF едва шевелится, чтобы внедрять экспериментальные фичи. До релиза Servo Мозилле надо очень-очень постараться выжить. Хотя в отношении приватности в последнее время я уважаю FF всё больше

SQL на клиенте -- это круто. Это позволит держать намного более сложный и обширный state (в несколько десятков МБ. Это дикие объёмы данных для JSON) так же легко, как сегодня держится state в максимум сотни КБ.

В своё время мы отказались от SQLite на клиенте в связи с тем, что поддерживает SQLite только Chrom{e,ium}, а сам Google этот SQLite ещё и задепрекейтил.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

79. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от тоже Анонимemail (ok), 17-Дек-18, 09:52 
А потом на мобильном Хроме ваш сайт просто валится вместе с браузером от нехватки памяти.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

80. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от kai3341 (ok), 17-Дек-18, 14:13 
> А потом на мобильном Хроме ваш сайт просто валится вместе с браузером
> от нехватки памяти.

Вы правы, однако, как говорил Чапаев, есть один нюанс. Приложение ворочается в интранете и не должно быть доступно извне. Соответственно, мобильный клиент -- редчайший дятел в нашем ауле.

Второй момент -- задачей является визуализация данных.

И напоследок -- о памяти. Скажите, что ест меньше памяти и почему: хеш-таблица или btree-индекс?

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

83. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от тоже Анонимemail (ok), 17-Дек-18, 14:58 
Этот "нюанс" говорит о том, что ваш клиент вообще совершенно необязательно было делать в браузере.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

86. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от kai3341 (ok), 17-Дек-18, 16:51 
> Этот "нюанс" говорит о том, что ваш клиент вообще совершенно необязательно было
> делать в браузере.

Спасибо, поржал. Потом бегай по пользователям да обновляй. А ещё делай клиента под все платформы. Или "нужно всего лишь написать апдейтер"? А потом убеждай пользователя обновляться?

Так вот, это было. И когда мы перешли на браузерного клиента, мы вздохнули свободно

Смешно, что меня критикует школота без опыта production

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

87. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от нах (?), 17-Дек-18, 17:49 
п-ц. Вы только что видели ренгеновский снимок содержимого головы типового разработчика.

мысль о том что клиента под все платформы делать не надо, и этот функционал уж в корпоративной-то сети точно должен быть внутри сервера, в их головы вообще не приходит, потому что там все занято костью.

зато оне с опытом "production", ага.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

88. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (88), 17-Дек-18, 19:11 
Веб-морда как раз и позволяет держать весь "функционал" "внутри сервера"
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

92. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от тоже Аноним (ok), 17-Дек-18, 23:24 
> Веб-морда как раз и позволяет держать весь "функционал" "внутри сервера"

Вот только товарищу при этом неудержимо требуется держать мегабайты состояния на клиентских машинах.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

103. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от КГБ СССР (?), 18-Дек-18, 08:52 
>> Веб-морда как раз и позволяет держать весь "функционал" "внутри сервера"
> Вот только товарищу при этом неудержимо требуется держать мегабайты состояния на клиентских
> машинах.

«Память и працэсары нынче дишовае! А ты чо, бедный, денех нету? Или работать!»

Но владельцы клиентских машин не разбираются в этой матчасти, иначе г-нокодеров давно бы загоняли пинками и палками.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

89. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от КГБ СССР (?), 17-Дек-18, 19:20 
Пока они пишут «клиенты под все платформы», ещё не страшно. Когда они начинают писать автопилоты для машин, я начинаю реально бояться выходить на улицу.
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

91. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от topin89email (?), 17-Дек-18, 23:19 
"Для россиян разработали инструкцию по поведению рядом с беспилотными автомобилями"
Цитата:
Во время пересечения проезжей части будьте максимально сконцентрированными, смотрите по сторонам, так как автомобиль с литерой «А» может появиться в любой момент.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

106. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от нах (?), 18-Дек-18, 12:37 
> "Для россиян разработали инструкцию по поведению рядом с беспилотными автомобилями"

думаешь, в благословенной Америке инструкция какая-то другая?

ну хотя, да - "сидя дома, будьте максимально сконцентрированны - не-управляемый искусственным идиотом автомобиль может появиться в любой момент прямо в вашей гостинной - домики-то у вас из картона, так что стены его не особенно задержат"

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

90. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от тоже Аноним (ok), 17-Дек-18, 23:17 
> бегай по пользователям да обновляй

Софт для интранет-сервера. В локалке с серверами. "Бегай".
Oook.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

93. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от kai3341 (ok), 18-Дек-18, 01:09 
>> бегай по пользователям да обновляй
> Софт для интранет-сервера. В локалке с серверами. "Бегай".
> Oook.

Хорошая попытка, но прав админа у меня не было, чтобы обновить приложение доменом. Если бы ты работал хоть где-нибудь, ты бы знал, что админские права девелоперам не выдаются (да и не нужны)

А ведь ещё филиалы были с собственными доменами и своими админами

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

100. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 02:13 
> Хорошая попытка, но прав админа у меня не было, чтобы обновить приложение
> доменом. Если бы ты работал хоть где-нибудь, ты бы знал, что
> админские права девелоперам не выдаются (да и не нужны)

Ну так апдейтить наверное должны админы. А так звучит как отчет очередного эникея в перерывах между ползаниями с витухой.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

102. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от тоже Аноним (ok), 18-Дек-18, 08:22 
> Если бы ты работал хоть где-нибудь

Где админские права выдаются только прибежавшему? Боже упаси.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

98. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 18-Дек-18, 02:00 
> И напоследок -- о памяти. Скажите, что ест меньше памяти и почему:
> хеш-таблица или btree-индекс?

Вообще-то оптимальность выбора того и другого зависит от задачи. И там дело далеко не только в памяти. Это разные структуры с разными свойствами. И например хэш-таблица как бы O(1) по времени, в отличие от дерева которое log(N). Но если у тебя неудачно параметры выбраны и тормоза от коллизий - вечный тормозняк это как бы тоже O(1). Но весьма хреновый.

А оверхед по памяти от той или иной структуры - надо наверное конкретно смотреть на примере конкретных параметров и движка БД. Сферические хэштаблица и btree в вакууме - ни о чем.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

111. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от kai3341 (ok), 18-Дек-18, 18:24 
>[оверквотинг удален]
>> хеш-таблица или btree-индекс?
> Вообще-то оптимальность выбора того и другого зависит от задачи. И там дело
> далеко не только в памяти. Это разные структуры с разными свойствами.
> И например хэш-таблица как бы O(1) по времени, в отличие от
> дерева которое log(N). Но если у тебя неудачно параметры выбраны и
> тормоза от коллизий - вечный тормозняк это как бы тоже O(1).
> Но весьма хреновый.
> А оверхед по памяти от той или иной структуры - надо наверное
> конкретно смотреть на примере конкретных параметров и движка БД. Сферические хэштаблица
> и btree в вакууме - ни о чем.

Два чаю вам за конструктивный комментарий. Вы полностью правы. Но в хеш-таблицу хорошо запихиваются плоские данные и сложно двумерные, а когда нужны операции сравнения (для Range Scan), хеш курит в сторонке. Ноги растут от требований

Нюанс в задаче -- получена простыня данных, теперь её надо транспанировать, как накликал пользователь. Скорее всего, потребуется эти же самые данные показать несколько раз, но с разными фильтрами (и без) и аггрегациями (и без), по-разному транспанировав. Это временной ряд с разными id источников. Пользователь может накликать много и очень много -- задача пользователя -- анализ данных, и мне нужно дать ему эту возможность. Суть -- дашборд, как графана для zabbix.

В данном контексте SQL на клиенте кажется просто идеальным решением. Может, подскажете альтернативы?
Впрочем, данные можно нормализовать и положить их на обычные массивы. Это порнография, но работать будет хорошо

Все не-браузерные решения рассматривать смысла не вижу ввиду дикой сложности поддержки этих решений (объяснил выше. Дополню совсем идиотской причиной -- пользователю нужно будет также устанавливать клиента, чтобы начать пользоваться сервисом).

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

97. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 01:56 
> Прекрасно понимая, куда эта дорога ведет.

Что-то они плохо поняли с своим 0day в смотрелке пдфок. Казалось бы что им стоило вместо этой прорвы потуг пару сисколов отвесить в духе хромиума? Прелесть хромиума в том что даже если атакующий и прорубится - ну, ок, сопрет целые Downloads, укачаные браузером. Остальное ему недоступно. И команд в системе нет. Да и вообще системы как таковой.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (9), 15-Дек-18, 14:30 
вернее не в сишке, а в плюсах
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

38. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от аноним3 (?), 15-Дек-18, 17:03 
ты прав си как то позабыли. все на ++ ушли.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

58. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 16-Дек-18, 01:17 
Отучаемся говорить за всех. Особенно нагло смотрится в ветке про _сишную_ либу.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

59. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от аноним3 (?), 16-Дек-18, 03:46 
не помню такой либы.))) и вообще переходи на богомерзкий джаваскрипт и не мучай народ.ахаха
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

62. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 16-Дек-18, 15:24 
Я бы сказал что он скорее багомерзкий - из-за своего дизайна. Чудно устроен - синтаксис почти невозможно валидировать. За счет чего развелось чуть не полдюжины костылей, типа typescript, dart и кого там еще.

Хардкорные плюсы кстати дебажить тоже удовольствие ниже среднего. Каждый прогер пишет на каком-то своем субдиалекте, и пока просто врубишься в стиль мышления этого кадра и его особенности дружбы с плюсами - пройдет немало времени. Ну да, для пары особо интересных проектов так даже можно. Больше - мозг вспухнет. Си в этом плане прикольнее - более-менее понять что происходит в вон той проге можно более-менее с наскока. Даже если я ее код впервые вижу.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

31. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +7 +/
Сообщение от пох (?), 15-Дек-18, 15:38 
ну так по этой причине нормальные люди и проклинали изобретателей webненужно и продолжают это делать, изобретая все менее и менее надежные способы поотключать то, что макаки надизайнили.

Но тут гугль превзошел самого себя, поскольку этот api - ненужно в квадрате.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

55. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от КГБ СССР (?), 15-Дек-18, 22:58 
> ну так по этой причине нормальные люди и проклинали изобретателей webненужно и
> продолжают это делать, изобретая все менее и менее надежные способы поотключать
> то, что макаки надизайнили.
> Но тут гугль превзошел самого себя, поскольку этот api - ненужно в
> квадрате.

ИЧСХ, это пропихнули в типа-стандарты:

https://www.w3.org/TR/webdatabase/

С пометкой в красной рамочке, впрочем:

This document was on the W3C Recommendation track but specification work has stopped. The specification reached an impasse: all interested implementors have used the same SQL backend (Sqlite), but we need multiple independent implementations to proceed along a standardisation path.

И ещё одно в Чорном Квадрате:

Beware. This specification is no longer in active maintenance and the Web Applications Working Group does not intend to maintain it further.

Обращаю внимание всех читающих на «текст мелким шрифтом» в преамбуле этого прекрасного документа:

Editors: Ian Hickson, Google, Inc.

Но анонимные эксперты опеннета всё равно не понимают, почему виноват Гугль.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

69. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (69), 16-Дек-18, 16:25 
> Ian Hickson, Google, Inc.

Ян Сын Деревенщины, простигоспади.

hick

If you refer to someone as a hick, you are saying in a rude way that you think they are uneducated and stupid because they come from the countryside.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

74. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от КГБ СССР (?), 16-Дек-18, 21:16 
Этот Ян, на минуточку, автор тестов ACID. Так что о некомпетентности речь вести в данном случае не стоит. Речь надо вести о нехорошем умысле. И да, подпись работодателя недвусмысленно намекает, кому это всё надо. Как оно вообще могло оказаться в списке рабочих документов Консорциума W3? Ага. И почему после того, как это всё же было отвергнуто, Гугель продолжил использовать и распространять столь сомнительную конструкцию? И снова эти проклятые вопросы, ха-ха-ха.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

84. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Ян собачий сын (?), 17-Дек-18, 16:22 
ну подумаешь, неполучилось в этот раз. Зато сколько мусора пропихнули! И заставили мурзилу воплощать, чтоб у нее ресурсы побыстрее кончились.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

51. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (51), 15-Дек-18, 19:49 
> Все браузерные... движки рендеринга используют libjpg, libpng

И поэтому единственный правильный ответ изобретателям новых веб-API и кодеков - средний палец

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

99. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 02:08 
Будь мужиком, смотри видео в MPEG-2 с пиратской DVDшки :)
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

30. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от пох (?), 15-Дек-18, 15:33 
там еще и fts, который в sqlite требуется отдельно включать, и у которого куча стремных особенностей (мне приходилось в свое время лазить в этот код, чтобы заставить его работать как мне надо) но который, конечно же, был очень нужен в прекрасном sql api, чтоб не дай б-же не перегрузить работой баз данных сервера гугля. Каждой шибко-умной веб-странице свою базу данных на компьютере пользователя. Девляпсы и кодошлепы аплодируют всеми четырьмя лапами, гугл, конечно же, не виноват в том что развивает только самое модное и ненуж...ой, полезное и приятное для горе-разработчика.

P.S. мурзилин индекседдб я бы отправил нахрен по трубе ровно следом за sql api, если что. Сегодня им повезло, завтра поломают их.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

63. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 16-Дек-18, 15:28 
Экий ты хитрый! А как тебе рекламеры неочевидные стелс-куки на манер флешкук тогда будут ставить?! Флеша то в 2020 - совсем под нож! Его и сейчас уже везде повытряхивали и доля скукоживается, а через год ему совсем крышка же.

Так что уже попадается местами фееричный по своей наглости код, делающий с БД черти-что.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

7. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +3 +/
Сообщение от Аноним (7), 15-Дек-18, 10:49 
ошибка в sqlite, а виноват поцтеринк, гугл, сатья наделла, npm leftpad и так далее.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

14. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от А (??), 15-Дек-18, 11:34 
it's true.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

35. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +2 +/
Сообщение от OldFart (?), 15-Дек-18, 16:58 
Я тоже иногда новости по диагонале читаю, бывает... :)

Для пропустивших:

>__приложение__ допускает передачу в SQLite SQL-конструкций, поступающих извне

Where is: __приложение__ = гугель

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

39. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +2 +/
Сообщение от аноним3 (?), 15-Дек-18, 17:39 
нормальному браузеру не нужна sql-база. это вообще извращение. только дыр больше. вот никто не изучал теории надежности. то что сейчас все взялись клепать дырявые комбайны это жуть. unix-like все позабыли. одна задача-одно приложение. здесь и легковестность и надежность повыше. а потом ноют , что все дырявое и языки плохие. нубы.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (7), 15-Дек-18, 17:56 
> unix-like все позабыли. одна задача-одно приложение

Кто сказал, что решение одной задачи должно быть оформлено именно в виде одного физического обособленного запускаемого ELF-файла? Тогда со своим-то юних-веем иди ко всем редакторам txt-файлов, которые - сволочи! - объединяют в своих редакторах сразу два абсолютно разных функционала: просмотр txt-файлов и редактирование txt-файлов. (PDF редактируются и просматриваются разными программами, как и видео, аудио и т.д.)

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

48. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от аноним3 (?), 15-Дек-18, 18:58 
ну передачу данных их одного приложения никто не отменял. учитывая тот же принцип cat ***.txt | sed -* . почему нельзя сделать пачку маленьких программ, которые по отдельности будут вызываться и делать свое дело. хотя бы проверку принимпемых данных  сделали. а так sqlite потрохами наружу и бери данные как хочешь.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

43. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (7), 15-Дек-18, 17:58 
Написано:

> Во встраиваемой СУБД SQLite выявлена критическая уязвимость

Но не написано:

> Во встраиваемой СУБД SQLite всё хорошо, уязвимостей в SQLite не найдено

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

21. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +4 +/
Сообщение от Аноним84701 (ok), 15-Дек-18, 13:52 
> ошибка в sqlite, а винован гугл...

https://sqlite.org/src/info/940f2adc8541a838
> Add extra defenses against strategically corrupt databases to fts3/4."
>> в случае если приложение допускает передачу в SQLite SQL-конструкций, поступающих извне, или когда
>> приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite

Вообще-то, раньше использование непроверенных данных из недоверенных источников (а прилетающие из тырьнета запросы ничем иным не являются) называли скромно "SQL injection" и считали виноватым разработчика приложения/сайта, но никак не разработчиков DB.
Тем более:
> if you follow the advice of the article[https://www.sqlite.org/security.html ] above and "PRAGMA quick_check" untrusted database files or set "PRAGMA cell_size_check=ON" then none of the recently found and fixed issues are reachable.
>

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

23. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –2 +/
Сообщение от kxmdk (?), 15-Дек-18, 14:12 
Вы вообще хоть что нибудь смыслите в этом? Инъёкция - это нарушение привилегий. У пользователя нет привилегии исполнять запросы в базе, но фактически есть.

Тут же у пользователя изначально есть такие привилегии.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от тоже Аноним (ok), 15-Дек-18, 14:49 
Да, давайте не путать термины. Это не инъекция, это бэкдор.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним84701 (ok), 15-Дек-18, 14:54 
> Вы вообще хоть что нибудь смыслите в этом?

С каких пор это стало обязательным на опеннете при комментировании? o_O

> Инъёкция - это нарушение привилегий. У пользователя нет привилегии исполнять запросы в базе, но фактически есть.Тут же у пользователя изначально есть такие привилегии.

Не знаю, в нашей реальности у пользователя  обычно есть привилегия исполнять запросы в базе по строгим шаблонам (ценник, наим. товара, рейтинг, отзывы).
Иногда правда в проверке подставляемых в шаблоны данных, находят дыры - и шаблоны несколько видоизменяются,  позволяя пользователю выполнять другие варианты запросов. Все вместе: дыра в (или вообще отсутствие) проверке данных для шаблона запроса, позволяющая осуществить свой, "нехороший" вариант запроса -- у нас назвали "SQL injection/уязвимостью".

Но в вашей реальности, если вы выполняете SQL запрос с левым вводом пользователя и этот запрос оказывается злонамеренным и делает совсем не то, что ожидалось, то это не называют инъекцией? Как интересно!


Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

47. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (9), 15-Дек-18, 18:42 
Ещё раз. sql-инъекция - это то, что даёт возможность выполнять к базе произвольные запросы тому, у кого такой привилегии нет. shell-инъекция - это то, что даёт возможность выполнять команды командной строки. Но если такой доступ есть изначально, то это не инъекция, а ССЗБ.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

52. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (51), 15-Дек-18, 19:54 
Всё верно. В данном случае недоверенный код получает доступ к браузеру правлмерным путём; иными словами, — через внедрённый Гуглом бэкдор.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

54. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от jddjdj (?), 15-Дек-18, 22:21 
Опровергнуть, что это - бекдор, не могу, как и опровергнуть чайник Рассела.

Но замечу, что SQLite - это база данных, и сам движок sqlite не позволяет выйти из песочницы. Вернее все думали, что не позволяет, потому что от него ожидалось, что не позволяет. Так чем же провинился Гугл? Тем что не натравил Project Zero на эту базу? Не волнуйтесь, теперь натравят.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

32. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +3 +/
Сообщение от Аноним (32), 15-Дек-18, 16:11 
>для отправки в них произвольных SQL-запросов из Web

только нарк^wгуглоиды могли такое придумать

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

57. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 16-Дек-18, 01:05 
> ошибка в sqlite, а винован гугл...

А гугл виноват тем что додумался вывесить вебу SQLное двигло. Далеко не лучшая идея на свете, мягко говоря.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

18. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от Аноним (18), 15-Дек-18, 12:47 
А то, с особой извращенской любовью к впиливанию pre0.000alfa вещей в релизные ветки для широких масс.
Девопсия межушного нерва 99 лвл вероятно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

17. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –3 +/
Сообщение от anonymous (??), 15-Дек-18, 12:42 
Скулите и удаленно ? Хм. А как называется сервер у скулите ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +3 +/
Сообщение от Аноним (19), 15-Дек-18, 12:50 
Google Chrome.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

33. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от anonymous (??), 15-Дек-18, 16:35 
А причем тут скулите ?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

66. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (-), 16-Дек-18, 15:33 
> А причем тут скулите ?

При том что он бэкэндом там прикручен, которому это скармливается, хыхы.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

24. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Аноним (9), 15-Дек-18, 14:13 
>или когда приложение допускает обработку подготовленных пользователем бинарных файлов с базой SQLite

Спасибо, я передумал делать удаленно подгружаемые sqlite файлы.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +3 +/
Сообщение от пох (?), 15-Дек-18, 15:26 
а гугль - не передумал, поэтому они у тебя будут подгружаться, хочешь ты этого или нет ;-)

Скоро на всех компьютерах, снабженных бразуерами чуть посерьезнее links2.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от OldFart (?), 15-Дек-18, 16:35 
Integer overflow в sqlite - это конечно не айс, но давать юзверям это:

>Уязвимость может быть эксплуатирована в случае если __приложение__ допускает >передачу в SQLite SQL-конструкций, поступающих извне, или когда __приложение__ >допускает обработку подготовленных пользователем бинарных файлов с базой SQLite

ИМХО это - прямая лажа сборища любителей шпионить (ака Гугля)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (61), 16-Дек-18, 15:22 
Следующий шаг - по базе на каждую вкладку / домен. По процессу на вкладку уже есть.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

78. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от КГБ СССР (?), 16-Дек-18, 21:31 
> ИМХО это - прямая лажа сборища любителей шпионить (ака Гугля)

Лажа — это если «как-то само так получилось». А когда так и было задумано, то это не лажа.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Анонимemail (40), 15-Дек-18, 17:44 
А зачем вообще SQL на клиентской стороне(websql)?
Итак же есть webstorage...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от аноним3 (?), 15-Дек-18, 17:52 
так твои пароли проще паковать в гуглобазу)))) отсюда и websql))
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

67. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 16-Дек-18, 15:35 
> так твои пароли проще паковать в гуглобазу)))) отсюда и websql))

Гугля рискует что некоторое количество booby tables'ов станет использовать очень специфичные пароли...

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

85. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Ян собачий сын (?), 17-Дек-18, 16:25 
у нас нормально obfuscated код на вашей стороне - хрен вы разберетесь, чего именно drop и где делать.


Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

101. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (-), 18-Дек-18, 02:15 
> у нас нормально obfuscated код на вашей стороне - хрен вы разберетесь,
> чего именно drop и где делать.

А мы fuzzer'а запустим. Вот будет клево когда у гугля что-то где-то будет рандомно дропаться, а админы даже не поймут что за нах.

Ответить | Правка | ^ к родителю #85 | Наверх | Cообщить модератору

105. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от гугель (?), 18-Дек-18, 11:49 
да у нас и так регулярно - то ваша почта, то настройки, а админам в общем-то и понимать неохота - жалоб же нету (поскольку нет никакого места, куда можно жаловаться), все ок!
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

109. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (107), 18-Дек-18, 15:07 
Затем, зачем SQL вообще нужен -- для упрощения работы с данными.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

50. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от Kuromi (ok), 15-Дек-18, 19:19 
Вопрос собcтвенно в том, почему Гугл после того как им с друзьями не удалось продавить WebSQL решили сохранить его не поддерживаемую никем реализацию в браузере. Возможно найденная дыра заставит их пересмотреть позицию по этому впросу, ведь дыра в G+ заставила сократить сроки его закрытия.
И опять же забавно то, что Мозилла в своем время отказались от реализации этой функциональности именно из-за опасений что все кому не лень будут лезть в БД браузера.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +1 +/
Сообщение от пох (?), 15-Дек-18, 20:33 
> Возможно найденная дыра заставит их пересмотреть позицию по этому впросу

и продавить таки, поскольку возражать им никто уже не будет, никого не осталось.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

82. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Гит рулит (?), 17-Дек-18, 14:22 
Они к этому и стремились лол.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

68. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (68), 16-Дек-18, 15:47 
>>>Проблема уже исправлена в недавно сформированных выпусках Chrome/Chromium 71.0.3578.80 и SQLite 3.26

Что-то я не вижу, что она была исправлена! Как вкладки в браузере Google-Chromium открывались, так и открываются! Что она там наисправляла - одному богу известно! С каждой новой версией Google все хуже и хуже! Что будет дальше?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

76. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от КГБ СССР (?), 16-Дек-18, 21:25 
> Что будет дальше?

Спроси у Германа Львовича Стерлигова, он знает ответ. ;-)

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

81. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  –1 +/
Сообщение от Гит рулит (?), 17-Дек-18, 14:20 
Ну и где любители фоселя от производителя сабжа. Глядите каким рeшетом вы пользуетесь.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

110. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Аноним (107), 18-Дек-18, 15:08 
Лайт давно перестал быть Лайтом. А зря.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

112. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Анонимчжан (?), 19-Дек-18, 02:23 
закатайте старый добрый браузер без этих скулящихлайт и тому подобного. желательно на альтернативном движке. а то и правда монополия так и прет)) где штатовский антимонопольный комитет?))) но бекдор, причем открыто, так еще не продавали)))кроме виндовс))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

113. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."  +/
Сообщение от Alex (??), 21-Дек-18, 10:59 
удаленно и sqlite3?
кто писал заголовок новости - расстрелять!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема



Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру
Hosting by Ihor