The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код

30.07.2021 14:17

Группа исследователей из Университета Турку (Финляндия) опубликовала результаты анализа пакетов в репозитории PyPI на предмет использования потенциально опасных конструкций, способных привести к появлению уязвимостей. В ходе анализа 197 тысяч пакетов выявлено 749 тысяч потенциальных проблем с безопасностью. В 46% пакетов присутствует как минимум одна подобная проблема. Среди наиболее часто встречающихся проблем выделяются недоработки, связанные с обработкой исключений и использованием возможностей, допускающей подстановку кода.

Из выявленных 749 тысяч проблем 442 тысячи (41%) помечены как незначительные, 227 тысяч (30%) как проблемы умеренной опасности и 80 тысяч (11%) как опасные. Некоторые пакеты выбиваются из общей массы и содержат тысячи проблем: например, в пакете PyGGI выявлено 2589 проблем, в основном связанных с применением конструкции "try-except-pass", в пакете appengine-sdk найдено 2356 проблем. Большое число проблем также присутствует в пакетах genie.libs.ops, pbcore и genie.libs.parser.

Следует отметить, что результаты получены на основе проведения автоматизированного статического анализа, который не учитывает контекст применения тех или иных конструкций. Разработчик инструментария bandit, который использовался для сканирования кода, высказал мнение, что из-за достаточно высокого числа ложных срабатываний результаты проверки нельзя напрямую считать уязвимостями без проведения дополнительного ручного рецензирования каждой проблемы.

Например, анализатор считает проблемой с безопасностью применение ненадёжных генераторов случайных чисел и алгоритмов хэширования, таких как MD5, в то время, как в коде подобные алгоритмы могут использоваться для целей, не влияющих на безопасность. Анализатор также считает проблемой любую обработку внешних данных в небезопасных функциях, таких как pickle, yaml.load, subprocess и eval, но данное использование не обязательно сопряжено с появлением уязвимости и на деле применение указанных функций может быть реализовано без угрозы безопасности.

Среди проверок, использованных в исследовании:

  • Использование потенциально небезопасных функций exec, mktemp, eval, mark_safe и т.п..
  • Небезопасное выставление прав доступа для файлов.
  • Присоединение сетевого сокета ко всем сетевым интерфейсам.
  • Использование жёстко указанных в коде паролей и ключей.
  • Использование предопределённого временного каталога.
  • Использование pass и continue в обработчиках исключений catch-all-style;
  • Запуск web-приложений на базе веб-фреймворка Flask с включённым отладочным режимом.
  • Использование небезопасных методов десериализации данных.
  • Использование хэш-функций MD2, MD4, MD5 и SHA1.
  • Использование небезопасных шифров DES и режимов шифрования.
  • Использование небезопасной реализации HTTPSConnection в некоторых версиях Python.
  • Указание схемы file:// в urlopen.
  • Использование генераторов псевдослучайных чисел при выполнении криптографических задач.
  • Использование протокола Telnet.
  • Использование небезопасных парсеров XML.

Дополнительно можно отметить, обнаружение в каталоге PyPI 8 вредоносных пакетов. Перед удалением проблемные пакеты успели загрузить более 30 тысяч раз. Для скрытия вредоносной активности и обхода предупреждений простых статических анализаторов в пакетах применялось кодирование блоков с кодом при помощи формата Base64 и организация их исполнения после декодирования через вызов eval.

В пакетах noblesse, genesisbot, are, suffer, noblesse2 и noblessev2 выявлен код для перехвата номеров кредитных карт и паролей, сохранённых в браузерах Chrome и Edge, а также для передачи токенов учётных записей из приложения Discord и отправки данных о системе, включая скриншоты содержимого экрана. В пакетах pytagora и pytagora2 присутствовала возможность загрузки и выполнения стороннего исполняемого кода.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: В каталоге Python-пакетов PyPI выявлены две вредоносные библиотеки
  3. OpenNews: Проект Python представил новый каталог пакетов PyPI и пакетный менеджер Pip 10
  4. OpenNews: Применение тайпсквоттинга для распространения вредоносных модулей NPM, PyPI и Gems
  5. OpenNews: Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний
  6. OpenNews: Уязвимость в пакетном менеджере Composer, допускающая компрометацию PHP-репозитория Packagist
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55565-pypi
Ключевые слова: pypi
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (179) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Noname (??), 14:39, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Никогда такого не было, и вот опять
     
     
  • 2.132, ХрюХрю (?), 15:24, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну тут просто на расте питон надо переписать и все проблемы сами собой решатся...
     
     
  • 3.142, Аноним (142), 00:19, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/RustPython/RustPython
     
     
  • 4.180, Аноним (-), 08:27, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > https://github.com/RustPython/RustPython

    Они все сделали через... ! Должен же быть пыхтонраст.

     

  • 1.2, Аноним (2), 14:42, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +20 +/
    Очередное британское исследование.
     
     
  • 2.3, Аноним (2), 14:43, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Пускай и финское.
     
     
  • 3.39, Аноним (39), 17:19, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Британским ученым ровно ничего не мешает проводить исследования в Финляндии.
     
     
  • 4.66, Хан (?), 20:35, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Brexit все дела
     
  • 4.76, Аноним (76), 22:02, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Британский ученый - это призвание.
     
     
  • 5.165, Michael Shigorin (ok), 22:33, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Скорее диагноз...

    PS: не, ну некоторые из ботоводов достаточно откровенны и сразу называют "suffer".

     

  • 1.4, Аноним (4), 14:43, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    > Использование хэш-функций MD2, MD4, MD5 и SHA1.

    Какой бред. Сам факт использования этих функций не является чем-то плохим. А вот если их использовать непосредственно для хеширования паролей/итд, да, тогда уязвимость.

     
     
  • 2.42, Аноним (42), 17:33, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Там больше половины пунктов такой же бред. Их послушать - вообще дышать не надо - для безопасности.
     
     
  • 3.49, Амоним (?), 18:09, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дык пишут же что потенциально. Потенциально и бабушка это дедушка. Потенциально - наоборот.
     
  • 2.89, Аноним (89), 04:59, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Любое хеширование предполагает, что вероятность появления двух одинаковых хешей от разных данных крайне маловероятно. Эти алгоритмы не годятся ни для каких задач, требующих уникальности хеша, а не только для паролей. Насколько я помню даже git спотыкался об эту проблему.
     
     
  • 3.93, Аноним (93), 05:20, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ммм crc32 вроде весьма вероятно, популярный алгоритм.
     
     
  • 4.96, Аноним (89), 05:27, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Этот только для проверки целостности годится для случаев случайного повреждения данных. Независимо от его надёжность 4 миллиарда вариантов это слишком мало.
     
     
  • 5.127, Аноним (76), 13:36, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Т.е. CRC32 на что-то все-таки годится. А MD5, для этих же целей - почему-то нет.
     
     
  • 6.129, Аноним (89), 13:51, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для тех целей, для которых пригоден crc32 остальные избыточны. Слишком высокая длина хеша, слишком высокие расходы на хеширование и проверку. Если нужна большая защищённость от ошибок, то используется помехоустойчивое кодирование. Криптографические хеши нужны именно для невозможности подделать данные подписанные каким то ключом и хеш-суммой, а перечисленные алгоритмы с этим справляются плохо.
     
     
  • 7.134, Аноним (93), 15:34, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Rsync md4 выбрал, например. Недавно обновили до md5 и теперь xxhash с xxh3 (sha-256, для которого в процессорах отдельные инструкции, впрочем, почему-то, так и нет)
     
     
  • 8.145, Аноним (-), 05:23, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В случае MD4 5 они с одной стороны пытались быть криптостойкими, что неизбежн... текст свёрнут, показать
     
  • 2.99, Аноним (-), 05:36, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Эти функции протухли и не имеют вменяемого применения. Если криптостойкость не нужна, есть куда более производительные варианты. А если нужна - это стопроцентный, дистиллированый вулн. Первые три выносятся вообще пионером Васькой на видеокарте, четвертый посложнее но коллизию посчитать стоит несколько десятков тысяч долларов уже, так что что-то сильно ценное могут долбануть. А через несколько лет это станет совсем халявой, соответственно.
     
     
  • 3.163, GG (ok), 21:07, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Твои данные про сха1 протухли на шесть лет.
    Сейчас оно хакается фпга асиком за пару тысяч долларов по цене $10 за хэш по европейским тарифам на электричкество.
     
     
  • 4.182, Анон123амм (?), 11:06, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    на AWS инстансе с FPGA оно хакается дешевле $10 за хеш.
     
     
  • 5.183, GG (ok), 11:49, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Oh no, прогресс движется быстрее чем мои знания о нём
     

  • 1.5, Гога (?), 14:45, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Python всегда был и останется рассадником мелких и крупных мерзостей...
     
     
  • 2.10, Аноним (4), 14:57, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +9 +/
    Это да, говнокодеров на питоне хоть отбавляй.
     
     
  • 3.35, Аноним (35), 16:58, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Самое интересное, позже выяснится, что среди каргокультуристов их будет не меньше.
     
     
  • 4.67, нах.. (?), 21:17, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Их уже больше.
     
  • 4.164, GG (ok), 21:09, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много
     
     
  • 5.197, Аноним (-), 06:44, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много

    Чуть менее чем все? :)

     
  • 3.45, Аноним (45), 17:40, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –5 +/
    И ни одного который бы мог писать вменяемый код..
     
     
  • 4.143, Аноним (142), 00:23, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Самое страшное, что понимают это единицы приешдшие из других языков.
    Я в свое время загляную в стандартную библиотеку urllib2 или чего-то
    там сетевого и просто офигел от уровня кода, который был по всем
    канонам pythonic.

    Короче вся надежда на то что все это действительно рано или поздно
    переделают, но для этого нужно идти на встречу сообществу, а пока
    я виду, чтолько синтаксический анонизм.

    Пока asyncio не будет реализовано на ситсемном уровне это все будет
    пердением и сопением в пустоту ИМХО

     
  • 4.166, Michael Shigorin (ok), 22:34, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Неправда.
     
  • 2.33, Аноним (-), 16:50, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Python всегда был и останется рассадником мелких и крупных мерзостей...

    Это да. И то ли дело код на труЪ-ЯП!
    https://www.opennet.ru/opennews/art.shtml?num=55095
    > Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
    > 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

    (39+25)/435*100
    14(%)

     
     
  • 3.34, Аноним (34), 16:55, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так то был саботаж явный с целью оставить бэкдор.
     
     
  • 4.41, Аноним (-), 17:25, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Так то был саботаж явный с целью оставить бэкдор.

    Угу, "можно отметить, обнаружение в каталоге PyPI 8 вредоносных пакетов" загрузили по ошибке.
    Ну и помимо Минесоты больше наверняка же никто не задавался целью вставить бэкдор? (риторический вопрос).

    Тут ведь основной "прикол" в том, что PyPI - не модерируемая репа, в отличие от.

     
  • 4.105, Аноним (-), 08:00, 31/07/2021 Скрыто ботом-модератором     [к модератору]
  • –2 +/
     
     
  • 5.125, Аноним (-), 12:56, 31/07/2021 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 3.189, Урри (ok), 19:13, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там же в новости ссылка на сам инцидент: https://www.opennet.ru/opennews/art.shtml?num=55000 -

    Причиной блокировки стала деятельность исследовательской группы, изучающей возможность продвижения скрытых уязвимостей в код открытых проектов. Указанная группа отправляла патчи, включающие различного рода ошибки, наблюдала за реакцией сообщества и изучала пути обмана процесса рецензирования изменений.

    --
    Интеллект анонимов опеннета не распространяется даже на один клик мышки. Дожили.

     
     
  • 4.192, Аноним (-), 12:33, 03/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А теперь попробуй читать глазами, а не жопой и заодно думать головой, а не... большой текст свёрнут, показать
     
  • 2.43, Аноним (43), 17:38, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По сравнению с js и php? Сомневаюсь.
     

  • 1.6, Annoynymous (ok), 14:48, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А давайте запретим eval!
     
     
  • 2.9, Онаним (?), 14:55, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Вообще eval давно пора вынести из пыха, пинота, и где он там ещё есть. Можно не вынести, а сделать отключенным по умолчанию, и без плясок с бубном не включаемым - чтобы включал только тот, кто знает, что делает.
     
     
  • 3.12, заминированный тапок (ok), 15:01, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Вообще eval давно пора вынести из пыха, пинота, и где он там ещё есть.

    ещё eval есть в bash, меня устраивает, не надо его никуда выносить

     
  • 3.15, fernandos (ok), 15:21, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В пыхе оно не так часто встречается.

    Но да, она губительна.

    > If eval() is the answer, you're almost certainly asking the
    >
    >Rasmus Lerdorf

    Отключить её через конфиг не выйдет, ведь это не функция, а языковая конструкция.

     
     
  • 4.62, Онаним (?), 20:22, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не, я имею в виду что-то типа --disable-eval по умолчанию :)
     
     
  • 5.160, fernandos (ok), 18:52, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, я имею в виду что-то типа --disable-eval по умолчанию :)

    Радикально, но да, так даже лучше.

     
  • 5.161, fernandos (ok), 18:52, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Не, я имею в виду что-то типа --disable-eval по умолчанию :)

    Радикально, но да, так даже лучше.

     
  • 4.119, InuYasha (??), 10:29, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    asking the ...?
     
     
  • 5.133, Аноним (133), 15:25, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    the wrong question было в оригинале.
     
  • 3.29, Annoynymous (ok), 16:32, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще eval давно пора вынести из пыха, пинота, и где он там
    > ещё есть.

    В js. Самое большое зло - в js.

     
  • 2.11, Аноним (4), 14:58, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    +1.
     
  • 2.106, Аноним (-), 08:01, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А давайте запретим eval!

    Вообще-то это было бы очень удачной идеей, ибо эти господа быкуют на сишников и проч, а сами грубо кладут на W^X подобным образом. Именно так поимели pybitmessage, например. И у кулхацкеров с ним круто подгорело.

     
     
  • 3.118, Аноним (118), 10:28, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да не поимели. Там явный бэкдор был.
     
     
  • 4.147, Аноним (-), 05:31, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Да не поимели. Там явный бэкдор был.

    Да черт его разберет. Вон тут рядом некто exec втулить в свой код предлагает, мне назло. Это бэкдор или человек дypак? Так сходу и не поймешь даже. Самый большой облом для него - в том что я как раз вот именно его код как раз и не буду использовать, ибо на ... вертел питон, благодаря таким прогерам :)

     
  • 2.144, Аноним (144), 03:01, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А представь, что запретили.
    Я напишу свой eval через дочерний интерпретатор, тебе легче от этого станет? Или дальше запретить запускать дочерние процессы?
     
     
  • 3.148, Аноним (-), 05:38, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    1 Это больше приседаний, случайно, для своего удобства это уже все же никто дел... большой текст свёрнут, показать
     
     
  • 4.159, Аноним (159), 15:59, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно же, чем написать копеечную обертку над процессами, побегу переписывать в... большой текст свёрнут, показать
     
     
  • 5.162, Онаним (?), 19:12, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно же, чем написать копеечную обертку над процессами, побегу переписывать всю логику с eval.

    Побежишь, куда денешься. Потому что иначе твоё поделие больше не запустится, и придётся тебе его в виде образа докера со включенным в интерпретаторе eval раздавать.

    > И сразу идешь в баню, сесурити вахтёр доморощенный. Или пишешь мне биндинги
    > на C ко всему, что запускается через процессы.

    А кому ты нужен-то, биндинги тебе писать?

    > python xxx.py, и все

    И отказ в exec. Дальше см. первый тезис про докер.
    Не, на локалхосте - пожалуйста. Но не далее.

     
     
  • 6.184, Аноним (144), 13:29, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ты кому нужен Девопсы деплоят то, что написали разработчики, а не разработчик... большой текст свёрнут, показать
     
     
  • 7.190, Онаним (?), 22:03, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А ты кому нужен? Девопсы деплоят то, что написали

    Вот девопсам это и объясняй, а не мне :D
    Я в т.ч. общую системную полиси генерю, и хрен ты мне что напишешь и задеплоишь вне этой полиси.

     
     
  • 8.191, Онаним (?), 22:05, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не, ты можешь конечно, никому не сказав, но при разборе полётов в случае дыры в... текст свёрнут, показать
     
  • 5.175, Аноним (-), 04:52, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы я по подобным причинам и не собираюсь питонятиной пользоваться, больно... большой текст свёрнут, показать
     
     
  • 6.185, Аноним (144), 13:46, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >непроверенные пользовательские данные

    мои непроверенные пользовательские данные это медиафайлы. И там уязвимостей в нижележащих библиотеках столько, что RCE рано или поздно случится хоть eval отключай, хоть capabilities по самый корень режь.
    >W^X

    как это остановит importlib? Модуль это не динамическая библиотека, а тот же скрипт, который будет выполняться уже запущенным интерпретатором.

     
     
  • 7.198, Аноним (-), 07:02, 06/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отличный аргумент за то чтобы их в sandbox по максимуму А то и пересобрать с as... большой текст свёрнут, показать
     

     ....большая нить свёрнута, показать (23)

  • 1.7, Аноним (7), 14:50, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Но ведь 46% не большинство. Всё нормально.
     
     
  • 2.100, Аноним (-), 05:37, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это они просто процент считать не умели. Питонисты, что с них взять. Если посчитать именно процент, он таки более 50. См. выше.
     

  • 1.14, Аноним (93), 15:18, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что-нибудь реальное нашли вообще?
     
     
  • 2.24, Нанобот (ok), 16:02, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > А что-нибудь реальное нашли вообще?

    студенты получили зачёт - реальный практический результат

     

  • 1.20, Аноним (20), 15:43, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    По порядку 1 try-except-pass - это нормальное использование обработки исключен... большой текст свёрнут, показать
     
     
  • 2.71, нах.. (?), 21:41, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    С тобой прям совмем все понятно.
     
  • 2.107, Аноним (-), 08:11, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Интересно, как выглядит вменяемая реакция на все это А, стоп, это же питоняша ... большой текст свёрнут, показать
     
  • 2.121, myhand (ok), 10:48, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я ведь могу любую программу на питоне взять и подменить в ней исходники, и они выполнятся.

    На своем локалхосту ты можешь даже иметь права root-а.  А вот там, где злой дядя тебе (из-за малолетства и/или твоей глупости) прав таких не дал - хрен ты что заменишь в файле, куда тебе запрещено писать.

     
     
  • 3.167, Michael Shigorin (ok), 22:38, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по былинному оптимизму насчёт ключей, он этого всего ещё просто не понимает...

    Бывает полезно и на localhost поработать денёк _без_ рута _вообще_.

     
  • 2.128, Онаним (?), 13:44, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > 3. Использование ключей в коде - это самый простой способ работать с штуками, которые требуют ключи

    Это надо было выделить в пункт 0, потому что всё остальное на фоне сего громкого заявления можно уже и не читать.

     

  • 1.23, Нанобот (ok), 16:01, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    уверен, это число 46% может меняться в очень широких пределах (скажем, где-то от 5% до 80%) в зависимости от используемого онализатора безопасносте (в т.ч. от его версии) и не имеет практической пользы
     
     
  • 2.25, пох. (?), 16:02, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    для кого-то просто летная погода, а студенту финскому - зачёт. (за летнюю практику или что там у них бывает)

     
     
  • 3.84, Annoynymous (ok), 03:50, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > для кого-то просто летная погода, а студенту финскому - зачёт. (за летнюю
    > практику или что там у них бывает)

    У Торвальдса надо спросить, он знает.

     

  • 1.26, Аноним (26), 16:09, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Это проблема всех центральных репозиториев. Там будет все, что угодно.
    Начиная от троянов и вирусов до красивых багов и шлюзов от всевозможных разведок мира.

    Особый привет Rust Package Registry: crates.io.

     
     
  • 2.27, Аноним (26), 16:12, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Backstabber’s Knife Collection: A Review of
    Open Source Software Supply Chain Attacks
    https://arxiv.org/pdf/2005.09535.pdf
     

  • 1.28, Аноним (28), 16:22, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто бы сомневался
     
  • 1.32, Аноним (35), 16:45, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >Из выявленных 749 тысяч проблем 442 тысячи (41%) помечены как незначительные

    Считала ЦИК? ;)

    442/749*100 == 59%

     
     
  • 2.37, commiethebeastie (ok), 17:09, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Машин-лёрнеры, они долю со среднеквадратичной функцией перепутали.

    100*(749-442)/749

    40.987983978638184

    Это феерично, смузихлёбы осуждают смузихлёбов.

     
     
  • 3.40, Аноним (39), 17:19, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Просто в смузи были неправильные грибы.
     
  • 2.95, Аноним (-), 05:23, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Считала ЦИК? ;)

    Всего лишь питонисты :)

     
  • 2.168, Michael Shigorin (ok), 22:43, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Считала ЦИК? ;)

    Нет, про ЦИК попытался сшутнуть тот, кто если был бы умным -- выяснил бы уже для себя, что помимо подсчётов ЦИК в цепочке до развешенных ушей может оказаться видеоинженер, который затем чисто по совпадению удачно эмигрирует, например.

    Ну, хозяйке на заметку про пресловутые 146%.

     
     
  • 3.176, Аноним (-), 04:57, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сколько лживую гопоту не выгораживай, легитимнее не станет. А этот мем всего лишь общее отношение народа к подобной активности и методам причастных.
     

  • 1.36, Аноним (36), 17:03, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Потому что смузихлёбы.

    Значительная часть разрабов, особенно в машобе и академии, очень любит pickle. И PR/issue о них либо закрывает, ибо либо коду доверяешь, либо не юзаешь, лицензию ведь читали, либо просто динамит.

    Потому что смузихлёбы.

    Есть ещё придурки, использующие system/subprocess для обработки данных через find и grep, хотя вся функциональность доступна через API.

    Всем в индустрии пофиг на безопасность. Она не главное. Главное - опередить конкурентов в написании статьи или выкатывании продукта. Ну а то что поломают - да пофиг, на грант новый комп купим взамен взломанного.

     
     
  • 2.38, Аноним (93), 17:17, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я не понимаю, какое отношение сериализация или шелл имеют к безопасности. Сериализация это не зашифрованные данные (лично я шифрую юзерские данные, код шифровать практического смысла нет). Find и grep позволяют быстро получить искомые данные с нужными условиями без необходимости поддерживать свой корявый обход дерева, а, кроме того, внешний find отрабатывает на порядки быстрее питонового scandir (текущего, раньше ещё тормознее было), так что кто тут ещё придурок надо разобраться.
     
     
  • 3.51, Аноним (36), 18:22, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Сериализация это не зашифрованные данные

    Pickle - это не сериализация, это сериализация + исполнение произвольного кода. То есть бэкдор. Качаешь модель для pytorch, а с ней приходит код, который хранилище паролей пересылает злоумышленнику, например. И большинство моделей, даже не для питорча, а для sklearn, идут именно замаринованные.

    >Find и grep позволяют быстро получить искомые данные с нужными условиями без необходимости поддерживать свой корявый обход дерева

    Это у тебя корявый. А питон - язык высокого уровня. А кому нужна простота find, для того есть glob.

    >внешний find отрабатывает на порядки быстрее питонового scandir

    переписывайте на С++ и цепляйте нативным модулем.

     
     
  • 4.52, Аноним (36), 18:24, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >И большинство моделей, даже не для питорча, а для sklearn, идут именно замаринованные.

    Потому что авторы sklearn - тоже смузихлёбы, и другую сериализацию моделей им было лень реализовавать. То же самое с nltk.

     
     
  • 5.53, Аноним (36), 18:25, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    P.S. Сам смузихлёб. В хорошем смысле. Прямо сейчас хлебаю смузи из малины.
     
     
  • 6.108, Аноним (-), 08:14, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > P.S. Сам смузихлёб. В хорошем смысле. Прямо сейчас хлебаю смузи из малины.

    Локап твоему гироскутеру!

     
  • 4.55, Аноним (55), 18:36, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ещё можно скачать пакет с пупи и с ней тоже приходит код. А еще можно скачать любой другой скрипт с интернета, прямо как модель. И внезапно окажется что он лезет в интернет. Невероятно! Требую запретить питон.
     
     
  • 5.57, Аноним (36), 18:43, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >А ещё можно скачать пакет с пупи и с ней тоже приходит код.

    Пакет - код по определению.

    Модель (в смысле машоба) - по определению - данные - структура графа и коэффициенты.

    > ещё можно скачать пакет с пупи и с ней тоже приходит код. А еще можно скачать любой другой скрипт с интернета... И внезапно окажется что он лезет в интернет. Невероятно!

    Не надо качать и исполнять всякое дерьмо. Скрипты с pickle - сорт дерьма.

    >Требую запретить питон.

    Запрещаю тебе запрещать.

     
  • 5.113, Онаним (?), 09:00, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    По первой части них... не понял, но к требованию присоединяюсь.
     
  • 4.74, нах.. (?), 21:46, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >переписывайте на С++ и цепляйте нативным модулем.

    Воообще тогда не вижу смысла в вашем пистоне.

     
  • 3.54, Аноним (55), 18:32, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Главное не логические связи и какие-то там аргументы, главное назвать группу Х (в которой я не состою) смузихлебами. Придираться к отношениям это моветон. Как и требовать от меня читать подобные "исследования" чтобы понять их абсурдность. Давайте без этого. Смузихлебы значит смузихлебы - я на этом языке не пишу и с ним не работаю, мне виднее.
     
  • 3.63, Хан (?), 20:32, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Shell имеет прямое отношение к безопасности из за кривых разрабов не проверяющих входящие данные случается внезапный rm -rf
     
     
  • 4.68, Аноним (93), 21:18, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Shell имеет прямое отношение к безопасности из за кривых разрабов не проверяющих
    > входящие данные случается внезапный rm -rf

    Пользовательский ввод нужно проверять всегда. И его нужно экранировать. Мои любимые баги это "кончилось место на диске" и "имя файла с CLRF".

     
     
  • 5.109, Аноним (-), 08:17, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Клауд спайварь налетела на соседнем баге - ничтоже сомневаясь распаковывая всякие ../../../file/trololo залитые извне кем попало. Не crlf, но какая разница? :)
     
  • 4.70, Аноним (70), 21:25, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Почему вы решили что там подразумевался пользовательский ввод во входящих данных?
     
     
  • 5.72, Аноним (93), 21:42, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Почему вы решили что там подразумевался пользовательский ввод во входящих данных?

    Любые другие данные у софта доверенные. Если там написано rm -rf, значит, так и задумано. Ещё есть популярный баг с дефисом в имени файла. В основном GNU софт поддерживает двойное тире для индикации, что ключи закончились. Не стоит этой возможностью пренебрегать.

     
     
  • 6.169, Michael Shigorin (ok), 22:50, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На ту же тему (в основном около -print0):

    ---
    Использование find при работе с каталогами, содержащими объекты с нестандартными именами (пробелами и др.), без использования -print0 приводит к неправильному результату, поэтому при использовании утилиты find для изменения файлов и каталогов необходимо использовать параметр -print0; соответствующие ему параметры других утилит:

    xargs
        -r0
    grep
        -Z
    sort
        -z
    [...примеры...]
    --- http://altlinux.org/Secure_Packaging_Policy

     
  • 2.48, Аноним (48), 18:06, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смузи тут не при чём. Питон ещё используют как продвинутую замену для bash, из-за более удобных типов данных. Как связана безопасность и разовый скрипт/библиотека — не ясно.

    Так же не ясно зачем авторы потом такие proof of concept публикуют в pypi. Возможно это нужно для рецензирования.

     
     
  • 3.110, Аноним (-), 08:18, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Unix way: program does one thing and does it well.
    Python way: does everything, works like crap.
     

  • 1.46, Аноним (46), 17:50, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да нормально. Только добавьте анализатору поддержку других языков. Я свой диванный велосипед им проверю.
     
  • 1.47, Volodya (??), 17:59, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Использование жёстко указанных в коде паролей и ключей

    А они при своем великом исследовании игнорировали код из попочек tests? Похоже что нет.

     
     
  • 2.111, Аноним (-), 08:19, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Открою тебе страшную тайну: у питоняш половина логинов-паролей-ключей из "попочек" еще и работает потом, получая извлекать неиллюзорных лулзов всем желающих.
     

  • 1.50, Аноним (48), 18:10, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > Группа исследователей

    А это точно группа исследователей, а не курсач студентов?

     
  • 1.56, Аноним (-), 18:38, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    о, да, людлю небезопасный код!
     
  • 1.58, YetAnotherOnanym (ok), 19:37, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Хмык...
    Жаль, что "исследователей из университета" не интересуют не-университетские языки. Мне реально интересно знать, например, насколько безопасен код в каком-нибудь hex.pm.
    Да, я знаю, что там нет рецензирования. Именно поэтому мне это и интересно.
     
  • 1.61, Dzen Python (ok), 20:08, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Может быть и мне начать проводить подобные исследования простым шелл-скриптом по открытым репо?

    "ШОК! Сенсация! Исследователи из Купчинской Шараги Киников, Валио и Трулио, совместно с парой слепоглухонемых тел из Купчинской путяги моды, при поддержке {тело из элтеха, тело из бонча, тело из итмо, тело из фонда кино, иерархия тел из ростелекома} доказали, что все пакеты на С#, включая попенсорцные, есть полное гумно в плане бишапашности. 94% от 21% есть прямо таки полная лажа, ЗУП даю. Поэтому тру гопник-программист просто обязан писать на 1С и YoptaScript!".

    Много хайпа соберу ведь

     
     
  • 2.64, Хан (?), 20:34, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ключевые пакеты C# доступные через nuget очень ладно скроены самой Microsoft
     
     
  • 3.78, Аноним (76), 22:05, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Прогиб засчитан, но если заменть C# на любой другой язык - суть не изменится. Ваш капитан Очевидность.
     

  • 1.65, Gogi (??), 20:35, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Вот плата за то, что в язык привлекаются толпы остолопов.
     
     
  • 2.73, Аноним (73), 21:44, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это ты про утечки в С/С++?
     
     
  • 3.75, Аноним (28), 22:02, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты про вот это вот в Rust?

    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust

     
     
  • 4.97, Аноним (-), 05:32, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А прикольно, они уже таки научились стрелять в пятки довольно метко.
    > swap_index has an out-of-bounds write if an iterator returns a len() that is too small.

    Или вот еще достойный ответ плюсерам.
    > An issue was discovered in the algorithmica crate through 2021-03-07 for Rust.
    > There is a double free in merge_sort::merge().

     
  • 3.77, Аноним (28), 22:02, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Более того, учи матчасть маленький. В C/C++ утечек нет внезапно. В отличии от твоего раста.
     
  • 3.80, СССР (?), 23:11, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    если голова из жопы ростот то да. Не используй указатели, или пользуйся исключительно готовые контейнера если в голове картошка..
     
     
  • 4.98, Аноним (-), 05:33, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да и динамическое выделение памяти можно не использовать. А вот в хрусте с всем этим сильно кривее пока вышло, кстати.
     
     
  • 5.112, СССР (?), 08:27, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    но с другой стороны, как без динамики )) это тоже что сказать себе нет, бегать я не буду. опасно, споткнусь и лоб разшибу )) и вот человек только пешим ходом, а то и вовсе ползком )
     
     
  • 6.149, Аноним (-), 05:47, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да нормально вполне. Особенно в всяких фирмварях микроконтроллеров. Да и даже в обычных программах это нужно только если хочется БОЛЬШОЙ кус данных вкатить (более мега, наверное). Что как бы нужно не всем и не всегда.

    Некоторые еще указалети раздолбайски юзают. Потом так и ходят, "стрела->колено". ЧСХ такой код потом будучи запущеным под fuzzer'ом и asan/ubsan часто оправдывает ожидания. А вы думали что если гамнякать то облажается только питонист? Да щас.

     
     
  • 7.194, СССР (?), 00:18, 04/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    если у обоих опыта по пол года, курсы закончили которые то оба косячить будут,... большой текст свёрнут, показать
     
  • 3.94, Аноним (-), 05:21, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Это ты про утечки в С/С++?

    Эти для совсем уж остолопов неудобные. Первый при бытье остолопом задолбает. А второй к тому же на нормальном уровне освоить будучи остолопом не особенно просто, это ж не low entry barrier...

     

  • 1.69, Skullnet (ok), 21:23, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Не удивлен, библиотеки для питона написаны любителями.
     
     
  • 2.81, economist (?), 23:25, 30/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    numpy, pandas, srapy, flask и еще 319+ тыс. либ написаны любителями?  

    Хороши любители.

     
     
  • 3.92, Аноним (-), 05:19, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Тогда им двойной позор за такое качество кода, значит гамнякали вполне сознательно.
     
     
  • 4.103, нах.. (?), 06:41, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Тогда тройной, они еще и на пипу гордо выставили это, на всеобщее.
     
  • 3.117, Аноним (26), 09:37, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо путать обертки для питона с языком, на котором написана библиотека.
    numpy и pandas как и все другие известные библиотеки в 99% написаны на C.
     
     
  • 4.130, economist (?), 14:46, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    На гитхаб ссылки дать, или сами найдете (процентовка кода по ЯП указана справа, в тизере)
     
     
  • 5.138, Аноним (26), 18:48, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А причем тут процентовка? И как это отменяет тот факт, что, например, питоновская часть numpy это wrapper для библиотек написанных на Си? Дать ссылку на numpy manual, где об этом прямо говорится или сами найдете?
     
     
  • 6.139, economist (?), 19:37, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    https://github.com/numpy/numpy

    там написано черным по белому на светлой теме:
    Python 63.6% C 35.5%%

    Причем на С там дергаются либы языка Fortran

     
  • 3.170, Michael Shigorin (ok), 22:54, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Про научный код -- что на питоне, что на плюсах, сях или фортране -- вот выйдет из отпуска коллега, можете с ним потолковать, только запаситесь кастрюлей супротив канделябра на всякий...

    Ну и сам посыл про количество как противовес посылу про любителей немного нелогичен, Вам не кажется?

     

  • 1.79, СССР (?), 23:09, 30/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    потому что питон изначально полюбился математикам для быстрого наброса формулы, и это было нормально. Далее этот язык полюбился быдлокодерам - и это тоже нормально.
     
  • 1.82, нитрол (ok), 02:32, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ...начало конца. Грядет кончина IT сферы, какой мы ее знаем. Еще лет 30 в среднем  (а может даже раньше) и начнется постепенная регуляция (сами деньги, т.е. бизнес, будут вынуждены для своего выживания/развития и выхода на след. уровень). Следующим поколениям будет не весело в том, что мы знаем и воспринимаем как данность сегодня. Но там будут новые "плоскости" с новым "фаном", но то уже будет совсем другая история, которую будут комментировать условные опеннетовцы будущего с другими коммуникационными подходами и трюками для поддержания статуса кво.

    ps: python здесь ни при чем.
    pps: https://www.youtube.com/watch?v=j9V78UbdzWI
    ppps: let's кайфовать/ностальгировать, пока еще есть время ;)

     
     
  • 2.83, Аноним (93), 03:10, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как обычно, самое время осваивать си и асм. Это был популярный тренд 20 лет назад, 30 лет назад, 40 лет назад, и сегодня ничего не изменилось. Вполне вероятно что через 50 лет тоже ничего не изменится. Сложность ПО растёт, некоторые принципы эволюционируют, но покуда архитектура не совершит качественный шаг в сторону (доступные квантовые вычисления или там что-нибудь в стиле z/os) ничего не поменяется. Пока всё железо будет управляться примитивными машинными инструкциями.

    По теме питона, как пользователь pypi я осведомлён о тамошнем качестве кода и его ограниченности относительно нативных либ, но ничего неожиданного. Точно такой же шлак есть, скажем, у жс, и, подозреваю, у жавы. Однако сейчас ситуация куда лучше чем даже 10 лет назад.

     
     
  • 3.86, СССР (?), 04:34, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    было: фотопленка - взгляд фотографа - фотография
    стало: телефон - сэлфи палка - инстаграм

    было: музыкальный инструмент - музыкант - произведение
    стало: програмка с симплами - вася, петя - дичь

    было: язык программирование - инженер - код, структуры данных, приложение
    стало: ЯП для Васи и Пети - Вася и Петя и Тетя Света - дичь

    и так можно привести пример во всем, в кино, в продуктах питания, во всем. Мы кудато торопимся, кудато спешим, потокаем бизнесу, уменьшаем издержки и вдруг оказывается что оснавная издержка это сам человек.

     
     
  • 4.87, Аноним (93), 04:50, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Музыка стала лучше, техничнее, кинематограф взлетел как никогда, фотография перестала быть такой затратной, языки программирования теперь позволяют решать задачи и не думать о некоторых деталях когда в тех нет нужды. По-сути, ничего не изменилось, только инструменты стали совершеннее. Еда? Ну, тут двояко: с одной стороны отравы стало меньше, но гидрогинизированная техническая пальма очень уж выгодна капиталистам -- в принципе, в остальном мире в последние годы эту дрянь взяли на контроль по содержанию канцерогенов и прочего.
     
     
  • 5.91, Аноним (-), 05:18, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Музыка лучше не стала, почти все легенды - это лет 30+ назад. Зато вылупилась толпа копирасов, лучше всего умеющих доить лошье по максимуму. Насчет взлета кинематографа можно поспорить. Спецэффекты, конечно, улучшились, но все остальное - как минимуму сюжеты большинства фильмов на редкость бездарны, шаблонны и предсказуемы.

    А программисты... ну, не зря их вебмакаками стали называть. Взлетело в основном торможение и жрач ресурсов. И теперь для гребаного чатика надо в 1000 раз больше ресурсов чем для полета на Луну. Парад маразма и дегенерации. Превратили искусство в джамшутинг уровня бытовки на стройке, с такими же "кодерами".

     
     
  • 6.114, Аноним (118), 09:23, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Это и есть взлёт. Взлёт индустрии, а не качества кода. Экспансия в ширь, из-за которой прогресс качественный не так заметен. Но он есть. Появтлись инструменты, которых раньше не было и если вообще раньше заикнуться об идее которых, то программисты бы пальцем у виска покрутили. Не было у Маргарет Гамильтон интернета и браузера для просмотра котиков, и компилятор для rust был ей не нужен, обходилась ручным побитным навязыванием сердечников на сетку.
     
     
  • 7.150, Аноним (-), 05:59, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Больше всего этот взлет напоминает, вот реально, современных российских строит... большой текст свёрнут, показать
     
  • 6.120, Аноним (76), 10:30, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Кмк, перепутаны причина и следствие Треш 30-летней давности уже никто не помнит... большой текст свёрнут, показать
     
     
  • 7.122, Онаним (?), 10:55, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Кмк да, согласен Впрочем в музыке я с удовольствием кушаю свеженькое, поэтому ... большой текст свёрнут, показать
     
     
  • 8.126, Аноним (76), 13:30, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да - закономерный процесс, а не начало конца И, кстати новые, более новые ... текст свёрнут, показать
     
     
  • 9.179, Аноним (-), 08:24, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Появилась некая теория какие звуки нравятся людям И довольно много этого добра ... текст свёрнут, показать
     
  • 7.151, Аноним (-), 06:17, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень интересно Хотя-бы десяток музыкальных произведений и их создателей 3000-л... большой текст свёрнут, показать
     
     
  • 8.158, Аноним (158), 12:40, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Все херово, а раньше было лучше Спасибо ... текст свёрнут, показать
     
     
  • 9.174, Michael Shigorin (ok), 23:16, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это было к слову о тысячелетиях и молодёжи, которая хлещет неразбавленное вино ... текст свёрнут, показать
     
  • 9.177, Аноним (-), 05:03, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    К тому есть некие предпосылки Пока нечто сложно и challenge, хреново это делать... текст свёрнут, показать
     
  • 7.173, Michael Shigorin (ok), 23:14, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Технологии создания спецэффектов взлетели, технологии написания
    > сценариев осталась на том же уровне, тут пока революции не случилось.

    Вы всё проморгали.  Ливарюция в синематографе таки случилась -- по крайней мере за лужей.

    Вот только, как обычно, дрянная: на Оскар без золушки-негритянки не подавайся, гругря.

    А про разницу ремесленников и мастеров лучше сразу почитать того же Ершова: http://lib.ru/MEMUARY/ERSHOW_W/zapiski_ezdowogo_psa.txt (заодно передам привет User294 насчёт летающих контуперов, очень тут в контекст).

     
     
  • 8.178, Аноним (178), 08:12, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я это уже читал Прикольная штука И, КМК, вы среди его букв не увидели то что о... большой текст свёрнут, показать
     
  • 5.171, Michael Shigorin (ok), 23:04, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Музыка стала лучше, техничнее

    Лучше или техничнее?

    Лет двадцать назад хорошему приятелю, собравшему своими руками колонки hi-end класса (тогда их оценивали примерно в $20k, но делал себе) -- сказал на совместном прослушивании, кажется, единственного добытого им SACD в ответ на восхищённую характеристику АЧХ всего тракта: "Володь, понимаешь, тут и верхи, и низы, и серединка -- да, всё отписано и воспроизведено технически хорошо; вот только _содержания_-то и нет" (это был какой-то пустой бум-бум-бумц).

    А теперь берём обычную балалайку и две руки да одну душу Алексея Архиповского -- и понимаем, что МУЗЫКА-то и в наши дни есть.  Просто не там, где громче бумцает и линейней АЧХ тракта за неимением сути.

    > кинематограф взлетел как никогда

    То-то послевоенные голодные советские мультики смотрятся шедевром на фоне практически всего, что сейчас клепают на скору ногу (опять же по причине наличия смысла в тех сказках, на которых их основывали).  За фильмы тоже что-то могу сказать как выросший в киноподъезде, но Вам опять же не понравится.

    > фотография перестала быть такой затратной

    ...и когда не размышляешь над каждым кадром -- с одной стороны, можешь лишний раз успеть снять шедевр, пока он к тебе мордой с колокольчиком повёрнут, а с другой -- отклацанное кто из вас сразу же оперативно разгребает и сортирует, выкидывая неудачные дубли и отбирая то, что вообще стоит сохранения?..

    > и не думать

    Вот и не думают (см. тему новости).

    > очень уж выгодна капиталистам

    Не в той плоскости разницу ищете, коммунизьм с капитализьмом в одном кибуце родились.  И алчности да людоедства в них как минимум сопоставимо оказалось -- по печальному опыту нашей страны и других стран тоже.

     
     
  • 6.188, Аноним (93), 15:58, 02/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да, какой-нибудь Anal Cunt, пожалуй, только вживую и заходит Но, есть же там He... большой текст свёрнут, показать
     
  • 5.193, СССР (?), 00:05, 04/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    музыка стала квадратная, кино содержит максимум насилия, фотография стала не искуством а возможностью показать что ты ешь или что ты пьешь. С++ сегодня дает возможность абстрагироваться от аппаратной части и сконцентрироваться на бизнеслогике. Изучать новый язык это не рационально.Еда - отравы стало больше, в магазине из достойной еды только каши и мюсли, все остальное для свиней. Фрукты не пахнут, это как? вы в какойто иллюзии жывете. Вы примите мою точк зрения только в том случае если, если эта точка зрения будет активно пропагандироваться по телевизору, и так будет считать большенство. к самостоятельному мышлению вы не способны.
     
     
  • 6.195, Аноним (93), 00:41, 04/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как бы твоё мировосприятие тоже построено только на самых поверхностных вещах. Оно как бы так и есть, и даже отчасти верно, но это далеко не всё, и я точно знаю, что есть и другое. Поэтому и говорю так. Глубже надо смотреть. Понимать причины, наконец.
     
     
  • 7.196, СССР (?), 08:14, 05/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    совершенству нет предела и естественно и мне и тем кто мудрее меня в разы и им так же есть куда развиваться, но главное выбрать направление развивать свое самосознание, научится использовать свой разум, применять его а не перекладывать все и вся на машину (тем более эта машина мало ли кому еще подконтрольна божет быть - но это уже другая история)
     

     ....большая нить свёрнута, показать (21)

  • 1.85, _kp (ok), 04:33, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Несмотря что у Питона и ниша применения далеко не всегда требует вообще задумываться о безопасности, да много любителтского кода, результаты анализа бездумны и бесполезны.
    Более того, если сама постановка задачи даже не подразумеват анализа кода, о какой пользе от результата может быть речь. От програмки школьника или расберриста больше пользы, они хоть обычно кривыми способами, но дают полезный результат. А тут заумно перечислили, что вспомнили, но с нулевым выхлопом.

    Ps: Python организм не перевариват, но поскольку он повсюду, по работе приходится регулярно.

     
  • 1.88, бедный буратино (ok), 04:58, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    инструмент недалеко ушёл от такого:

    for n in 'ls *.py'
    do
    echo $n уязвим!
    done

     
  • 1.90, Аноним (-), 05:13, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Какой сюрприз, оказывается на питоне в основном г@внокодят.
     
     
  • 2.172, Michael Shigorin (ok), 23:07, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы упускаете существенную разницу между созданием и публикацией, думаю.
     

  • 1.104, Аноним (104), 07:56, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    интересный тест, эта страница так же содержит небезопасный код,так как присутствуют слова "небезопасный код"
     
  • 1.115, Аноним (115), 09:28, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в результате любой крупный проект использующтй стронние либы на любом ЯП будетвсе гда уязвим?
     
     
  • 2.123, Онаним (?), 10:58, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да. Любой крупный проект всегда будет уязвим, идеальных писателей нет.
     
  • 2.124, Онаним (?), 10:58, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Другое дело, что "крупный проект" на пистонах - это обычно 99% стороннего кода, поэтому это всё будет куда уязвимее.
     

  • 1.116, Аноним (116), 09:37, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ну почти весь код потенциально опасен :)
     
     
  • 2.136, InuYasha (??), 17:29, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    значит, любой программист потенциально опасен! )
    *кровожадный рёв роскомнадзиллы*
    - запр-р-р-р-ретить!!
     
  • 2.155, Брат Анон (ok), 08:55, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не ну, и не почти. А всегда и везде.

    В отличии от презумции невиновности человека, в отношении кода в серьёзных системах действует презумция виновности -- безопасность кода должна быть доказана. Пока не доказано -- код априори глючный.

     

  • 1.131, economist (?), 15:14, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Уязвимости ОС, протоколов WiFi, железа - гораздо опаснее чем какие-то try/except/else паттерны в открытом коде, вам не кажется, народ?  

    Либы питона открыты, боишься - не используй. Пиши сам (а... слабо)

    Чем меньше агрессивно настроенных поклонников других ЯП будут лезть в питон мир и пытаться его "пробовать" - тем легче будет простым питонистам жить и работать. Мы, в отличие от "боящихся и стремящихся истребить всех змей" - очень любим и другие языки, потому что все они полезны. Истребите змей - придут мыши и принесут чуму.  

    То что 90% хакерских инструментов написаны на или для Python - ну чистое совпадение, ведь так?

     
     
  • 2.135, Аноним (-), 17:25, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Экономист прав. Питон не чмырите. Язык хороший в свой нише.
     
     
  • 3.137, InuYasha (??), 17:30, 31/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    *в своей днише.
     
  • 2.152, Аноним (-), 06:30, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Уязвимости ОС, протоколов WiFi, железа - гораздо опаснее чем какие-то try/except/else паттерны
    > в открытом коде, вам не кажется, народ?

    Расскажите это кулхацкерам которых поимели через bitmessage, да еще распиарив сие как офигеть какой тул. Мне кажется что им после этого было опаснее не придумаешь просто. И нет, случайная фирмвара вафли так не подставит. Хотя-бы потому что там еще поди отличи бесполезного хомячка с которого взять нечего кроме селфи, которых и так весь интернет, так что совершенно не обязательно с фирмварой вафельниц развлекаться.

    > То что 90% хакерских инструментов написаны на или для Python - ну чистое совпадение, ведь так?

    В этой среде есть очень меткое понятие - кулхацкеры. Вы как раз про это.

     

  • 1.140, Аноним (140), 23:10, 31/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какое это имеет значение, если программы все равно выполняются на небезопасном процессоре?
     
     
  • 2.156, Брат Анон (ok), 08:57, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, процессор опасный (а не небезопасный -- безопасность пока никто не доказал, обратный примеров -- уже черезчур). Но что лучше: 10 дыр в заборе, или три дыры в заборе?
     

  • 1.153, Mikhail (??), 07:54, 01/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Библиотека bandit которой проводился анализ выдает очень посредственные результаты для того чтобы ей пользоваться повсеместно. Мы попытались ею воспользоваться в одном из проектов и она выявила что-то около полутора тысяч срабатываний. Мы долго разгребали результаты, но ничего существенного так и не нашли. В основном это уведомления уровня линтера или потенциальной проблеме которой нет. Есть модули на которые просто ругается по умолчанию. Например сервис gravatar просит вычислить md5 от email'а чтобы получить адрес картинки пользователя, эта либа пометит такое использование как критическое, хотя если переименовать название функции генерации хеша, то пропустит.

    Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок на сайте для специалистов. Более подходящее название было бы "исследователи нашли множество ложно положительных срабатываний в библиотеках pypi". К безопасности эта новость отношения не имеет.

     
     
  • 2.157, Брат Анон (ok), 09:02, 01/08/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум
    > полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок
    > на сайте для специалистов.

    Начну с конца.
    1) Это не сайт специалистов.
    2) bandit (если память не отшибло) включает в себя в том числе и pylint (лично я пользуюсь именно им)
    3) Сколько бы ошибок тулза не выдала -- надо устранить их все. Потому что, если хоть одна из них имеет в начале буковку "Е" -- в 1500 строк всё это будет потеряно.
    4) Если граватар использует MD5 для генерации картинок -- это означает, что имея терпение и желание по картинкам можно вычислить почту пользователей. А ЭТО -- ПРОБЛЕМА.

    Так что, не всё так однозначно, MD5 -- зло, а автор граватара -- потенциально подложил свинью всем пользователям либы.


     

  • 1.187, Анон1212 (?), 15:02, 02/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А почему не 146%?
     
  • 1.199, Аноним (199), 20:44, 09/08/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо было на расте писать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру