forum.opennet.ru

"Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..."	+/–
Сообщение от Аноним (-), 18-Дек-18, 01:53
> SQLite - для десктопов и эмбеддеда. Это не помешало наворотить фич и в нем. И Bobby Tables таки и на него распостраняется, хоть там что. Если БД key-value внешнему миру еще можно аккуратно вывесить, при условии что он жрет любой key и value, чикеря интенсивность запросов и размер базы, то вот SQL вывесить голым задом - идея очень спорная с самого начала. И вообще, чем меньше у атакующего способов тыкать систему палочкой, тем устойчивее система. А в сиквеле очень много способов тыкания палочкой. Настолько хитрозадых, что порой лажают даже фреймворки, старательно фильтрующие ввод и декларирующие безопасность своей целью. А они в этом параноидальнее тебя на два порядка, если что. > В ванильной SQLite этого нет, и даже плагина официального для этого нет. И тем не менее, там есть много чего еще и когда вот столько для атакующего вывешено - это гарантирует много сюрпризов. Неприятных, если вы - не атакующий. > Ванильная SQLite содержит встроенную песочницу Угу, угу, у мозиллы тоже был безопасный просмотрщик пдф на яваскрипте. Атакующие решили что кроссплатформенный сканер содержимого винчей - это и правда круто. И запилили эпичнейший 0day на основе "безопасного" просмотрщика pdf. Еще и цук кроссплатформенный, так что винде, макоси и линю досталось поровну. И даже юзеж какой-нибудь бзды от этого эксплойта не спасет - ему похрен, он на яваскрипте.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Удалённо эксплуатируемая уязвимость в SQLite, затрагивающая ..., opennews, 15-Дек-18, 10:19 [смотреть все]

Если вдруг не все в курсе, данные ваших гуглопрофилей локально хранятся в сабже , КГБ СССР, 15-Дек-18, 10:19 (1) //
- Firefox тоже хранит кое-что в сабже, только проблема не в этом И в новости это , Аноним, 15-Дек-18, 14:11 (22) //
  - Ага В моих уже удалённых бдунами комментариях было про это вскользь про 2-й и , КГБ СССР, 15-Дек-18, 14:15 (25) //
    - Небось как обычно, ругался хуже почтового грузчика , Аноним, 16-Дек-18, 18:34 (70)
      - Ну как тебе сказать Всего лишь честно и справедливо обнародовал о своих наблюде, КГБ СССР, 16-Дек-18, 21:09 (73)
        
        Насчет 3 вынужден согласиться - этот таки лоханулся по полной программе, не поня, Аноним, 18-Дек-18, 01:44 (94)
- И что с того Ты будешь сам себя атаковать , Аноним, 18-Дек-18, 14:46 (107) //
  - А, сам въехал в чём косяк Ну Гуглу всё пофиг, к нему не липнет , Аноним, 18-Дек-18, 14:50 (108)
Всё-таки в Гугле уникальный заповедник альтернативно одарённых , КГБ СССР, 15-Дек-18, 10:19 (2) //
- ошибка в sqlite, а винован гугл по-моему кто-то сегодня забыл принять свои таб, Нанобот, 15-Дек-18, 10:31 (3) //
  - Гугл открыл почти прямой доступ из любых веб-страниц к чужому коду, который сам , dep346, 15-Дек-18, 10:45 (6) //
    - Так приходится делать всем Все браузерные и небраузерные движки рендеринга испо, Аноним, 15-Дек-18, 10:57 (9)
      - Это просто праздник какой-то , Аноним, 15-Дек-18, 11:14 (11)
      - Одно дело декодер какого-то формата, другое - язык с широкими возможностями для , dep346, 15-Дек-18, 11:18 (13)
        
        И в чём же принципиальная разница , Аноним, 15-Дек-18, 12:26 (15)
        
        да никакой и то и то может ломануть твои данные и систему , аноним3, 15-Дек-18, 17:02 (37)
        В количестве вариантов действий у атакующего и возможности все это предсмотреть , Аноним, 16-Дек-18, 15:17 (60)
        
        SQLite - для десктопов и эмбеддеда В ванильной SQLite этого нет, и даже плагина , Аноним, 16-Дек-18, 21:01 (72)
        
        Это не помешало наворотить фич и в нем И Bobby Tables таки и на него распостран , Аноним, 18-Дек-18, 01:53 (95)
        
        Ты думаешь, что Гугель глюпий и не знает, что делает Уверяю тебя, анон, они , КГБ СССР, 16-Дек-18, 21:28 (77)
        
        Да запросто Посмотри сколько проектов они сливают Они могут позволить себе пиж, Аноним, 18-Дек-18, 01:54 (96)
      - См тут же в статье про FF, который ТАК делать не стал Прекрасно понимая, куда , тоже Аноним, 15-Дек-18, 13:46 (20)
        
        Нет, они просто любят Javascript Всё равно придётся делать API, которое позволи, irinat, 15-Дек-18, 17:02 (36)
        
        Вообще-то это просто понимание азов грамотной архитектуры на таком высоком уров, тоже Аноним, 15-Дек-18, 18:04 (44)
        
        Гораздо выше вероятность, что FF едва шевелится, чтобы внедрять экспериментальны, kai3341, 16-Дек-18, 21:01 (71)
        
        А потом на мобильном Хроме ваш сайт просто валится вместе с браузером от нехватк, тоже Аноним, 17-Дек-18, 09:52 (79)
        
        Вы правы, однако, как говорил Чапаев, есть один нюанс Приложение ворочается в и, kai3341, 17-Дек-18, 14:13 (80)
        
        Этот нюанс говорит о том, что ваш клиент вообще совершенно необязательно было , тоже Аноним, 17-Дек-18, 14:58 (83)
        
        Спасибо, поржал Потом бегай по пользователям да обновляй А ещё делай клиента п, kai3341, 17-Дек-18, 16:51 (86)
        
        п-ц Вы только что видели ренгеновский снимок содержимого головы типового разраб, нах, 17-Дек-18, 17:49 (87)
        
        Веб-морда как раз и позволяет держать весь функционал внутри сервера , Аноним, 17-Дек-18, 19:11 (88)
        Вот только товарищу при этом неудержимо требуется держать мегабайты состояния на, тоже Аноним, 17-Дек-18, 23:24 (92)
        171 Память и працэсары нынче дишовае А ты чо, бедный, денех нету Или работат, КГБ СССР, 18-Дек-18, 08:52 (103)
        Пока они пишут 171 клиенты под все платформы 187 , ещё не страшно Когда они , КГБ СССР, 17-Дек-18, 19:20 (89)
        Для россиян разработали инструкцию по поведению рядом с беспилотными автомобиля, topin89, 17-Дек-18, 23:19 (91)
        думаешь, в благословенной Америке инструкция какая-то другая ну хотя, да - сидя, нах, 18-Дек-18, 12:37 (106)
        
        Софт для интранет-сервера В локалке с серверами Бегай Oook , тоже Аноним, 17-Дек-18, 23:17 (90)
        
        Хорошая попытка, но прав админа у меня не было, чтобы обновить приложение домено, kai3341, 18-Дек-18, 01:09 (93)
        Ну так апдейтить наверное должны админы А так звучит как отчет очередного энике, Аноним, 18-Дек-18, 02:13 (100)
        Где админские права выдаются только прибежавшему Боже упаси , тоже Аноним, 18-Дек-18, 08:22 (102)
        
        Вообще-то оптимальность выбора того и другого зависит от задачи И там дело дале, Аноним, 18-Дек-18, 02:00 (98)
        
        gt оверквотинг удален Два чаю вам за конструктивный комментарий Вы полностью , kai3341, 18-Дек-18, 18:24 (111)
        
        Что-то они плохо поняли с своим 0day в смотрелке пдфок Казалось бы что им стоил, Аноним, 18-Дек-18, 01:56 (97)
      - вернее не в сишке, а в плюсах, Аноним, 15-Дек-18, 14:30 (26)
        
        ты прав си как то позабыли все на ушли , аноним3, 15-Дек-18, 17:03 (38)
        
        Отучаемся говорить за всех Особенно нагло смотрится в ветке про _сишную_ либу , Аноним, 16-Дек-18, 01:17 (58)
        
        не помню такой либы и вообще переходи на богомерзкий джаваскрипт и не мучай , аноним3, 16-Дек-18, 03:46 (59)
        
        Я бы сказал что он скорее багомерзкий - из-за своего дизайна Чудно устроен - си, Аноним, 16-Дек-18, 15:24 (62)
      - ну так по этой причине нормальные люди и проклинали изобретателей webненужно и п, пох, 15-Дек-18, 15:38 (31)
        
        ИЧСХ, это пропихнули в типа-стандарты https www w3 org TR webdatabase С пометк, КГБ СССР, 15-Дек-18, 22:58 (55)
        
        Ян Сын Деревенщины, простигоспади hickIf you refer to someone as a I hick I , , Аноним, 16-Дек-18, 16:25 (69)
        
        Этот Ян, на минуточку, автор тестов ACID Так что о некомпетентности речь вести , КГБ СССР, 16-Дек-18, 21:16 (74)
        
        ну подумаешь, неполучилось в этот раз Зато сколько мусора пропихнули И застави, Ян собачий сын, 17-Дек-18, 16:22 (84)
        Потому что гугль не смог запилить еще один SQLite, чтобы было несколько альтерна, Аноним, 08-Окт-19, 15:41 (114)
      - И поэтому единственный правильный ответ изобретателям новых веб-API и кодеков - , Аноним, 15-Дек-18, 19:49 (51)
        
        Будь мужиком, смотри видео в MPEG-2 с пиратской DVDшки , Аноним, 18-Дек-18, 02:08 (99)
    - там еще и fts, который в sqlite требуется отдельно включать, и у которого куча с, пох, 15-Дек-18, 15:33 (30)
      - Экий ты хитрый А как тебе рекламеры неочевидные стелс-куки на манер флешкук тог, Аноним, 16-Дек-18, 15:28 (63)
  - ошибка в sqlite, а виноват поцтеринк, гугл, сатья наделла, npm leftpad и так дал, Аноним, 15-Дек-18, 10:49 (7) //
    - it s true , А, 15-Дек-18, 11:34 (14)
    - Я тоже иногда новости по диагонале читаю, бывает Для пропустивших Where is , OldFart, 15-Дек-18, 16:58 (35)
      - нормальному браузеру не нужна sql-база это вообще извращение только дыр больше, аноним3, 15-Дек-18, 17:39 (39)
        
        Кто сказал, что решение одной задачи должно быть оформлено именно в виде одного , Аноним, 15-Дек-18, 17:56 (42)
        
        ну передачу данных их одного приложения никто не отменял учитывая тот же принц, аноним3, 15-Дек-18, 18:58 (48)
      - Написано Но не написано , Аноним, 15-Дек-18, 17:58 (43)
  - https sqlite org src info 940f2adc8541a838 Вообще-то, раньше использование не, Аноним84701, 15-Дек-18, 13:52 (21) //
    - Вы вообще хоть что нибудь смыслите в этом Инъёкция - это нарушение привилегий , kxmdk, 15-Дек-18, 14:12 (23)
      - Да, давайте не путать термины Это не инъекция, это бэкдор , тоже Аноним, 15-Дек-18, 14:49 (27)
      - С каких пор это стало обязательным на опеннете при комментировании o_OНе знаю, , Аноним84701, 15-Дек-18, 14:54 (28)
        
        Ещё раз sql-инъекция - это то, что даёт возможность выполнять к базе произвольн, Аноним, 15-Дек-18, 18:42 (47)
        
        Всё верно В данном случае недоверенный код получает доступ к браузеру правлмерн, Аноним, 15-Дек-18, 19:54 (52)
        
        Опровергнуть, что это - бекдор, не могу, как и опровергнуть чайник Рассела Но за, jddjdj, 15-Дек-18, 22:21 (54)
  - только нарк wгуглоиды могли такое придумать, Аноним, 15-Дек-18, 16:11 (32)
  - А гугл виноват тем что додумался вывесить вебу SQLное двигло Далеко не лучшая и, Аноним, 16-Дек-18, 01:05 (57)
- А то, с особой извращенской любовью к впиливанию pre0 000alfa вещей в релизные в, Аноним, 15-Дек-18, 12:47 (18)
Скулите и удаленно Хм А как называется сервер у скулите , anonymous, 15-Дек-18, 12:42 (17) //
- Google Chrome , Аноним, 15-Дек-18, 12:50 (19) //
  - А причем тут скулите , anonymous, 15-Дек-18, 16:35 (33) //
    - При том что он бэкэндом там прикручен, которому это скармливается, хыхы , Аноним, 16-Дек-18, 15:33 (66)
Спасибо, я передумал делать удаленно подгружаемые sqlite файлы , Аноним, 15-Дек-18, 14:13 (24) //
- а гугль - не передумал, поэтому они у тебя будут подгружаться, хочешь ты этого и, пох, 15-Дек-18, 15:26 (29)
Integer overflow в sqlite - это конечно не айс, но давать юзверям это ИМХО это -, OldFart, 15-Дек-18, 16:35 (34) //
- Следующий шаг - по базе на каждую вкладку домен По процессу на вкладку уже ес, Аноним, 16-Дек-18, 15:22 (61)
- Лажа 8212 это если 171 как-то само так получилось 187 А когда так и было, КГБ СССР, 16-Дек-18, 21:31 (78)
А зачем вообще SQL на клиентской стороне websql Итак же есть webstorage , Аноним, 15-Дек-18, 17:44 (40) //
- так твои пароли проще паковать в гуглобазу отсюда и websql , аноним3, 15-Дек-18, 17:52 (41) //
  - Гугля рискует что некоторое количество booby tables ов станет использовать очень, Аноним, 16-Дек-18, 15:35 (67) //
    - у нас нормально obfuscated код на вашей стороне - хрен вы разберетесь, чего имен, Ян собачий сын, 17-Дек-18, 16:25 (85)
      - А мы fuzzer а запустим Вот будет клево когда у гугля что-то где-то будет рандом, Аноним, 18-Дек-18, 02:15 (101)
        
        да у нас и так регулярно - то ваша почта, то настройки, а админам в общем-то и п, гугель, 18-Дек-18, 11:49 (105)
- Затем, зачем SQL вообще нужен -- для упрощения работы с данными , Аноним, 18-Дек-18, 15:07 (109)
Вопрос собcтвенно в том, почему Гугл после того как им с друзьями не удалось про, Kuromi, 15-Дек-18, 19:19 (50) //
- и продавить таки, поскольку возражать им никто уже не будет, никого не осталось , пох, 15-Дек-18, 20:33 (53)
- Они к этому и стремились лол , Гит рулит, 17-Дек-18, 14:22 (82)
Что-то я не вижу, что она была исправлена Как вкладки в браузере Google-Chromiu, Аноним, 16-Дек-18, 15:47 (68) //
- Спроси у Германа Львовича Стерлигова, он знает ответ - , КГБ СССР, 16-Дек-18, 21:25 (76)
Ну и где любители фоселя от производителя сабжа Глядите каким рeшетом вы пользу, Гит рулит, 17-Дек-18, 14:20 (81)
Лайт давно перестал быть Лайтом А зря , Аноним, 18-Дек-18, 15:08 (110)
закатайте старый добрый браузер без этих скулящихлайт и тому подобного желатель, Анонимчжан, 19-Дек-18, 02:23 (112)
удаленно и sqlite3 кто писал заголовок новости - расстрелять , Alex, 21-Дек-18, 10:59 (113)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру