Компания Google опубликовала обновление браузера Chrome 117.0.5938.132, в котором устранена уязвимость (CVE-2023-5217) в библиотеке libvpx, приводящая к переполнению буфера при использовании функций кодирования в формате VP8. В отличие от недавно выявленной уязвимости в декодировщике изображений в формате WebP проблеме в кодировщике VP8 присвоен высокий, но не критический уровень опасности, т.е. проблема не позволяет обойти все уровни защиты браузера и для выполнения кода в системе за пределами sandbox-окружения требуется задействование ещё каких-то уязвимостей. При этом уязвимость выявлена в ходе анализа существующего в сети рабочего эксплоита, который применялся злоумышленниками для совершения атак (0-day)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59838
Уязвимость этой библиотеки в фоксе будет исправлена сегодня в 115.3.1esr и 118.0.1
В дебианы и убунты фикс уже прилетел в пакетник и на линухе софт уже пофикшен.
Для Яндекс браузера критично?
да
Такая печалька.
На фоне того, что туда майор напихал, незаметно.
Не надо "ля-ля"! Всё что напихнуто, напихивал лично Волож. А тов. майор вам в другое место напихает!
> приводящая к переполнению буфера при использовании функций кодирования в формате VP8
> onyx_if.c
> cАхаха! Мы еще Exim обсудить не успели, а тут еще одна дырень приехала.
Опять зависть что не смог написать это на безопасТном?
думаете гугл покупает эксплоиты и анализирует их чтобы закрывать дыры?
а почему нет? у них денег как грази
и это хорошо - пусть платят, распространенный код хоть станет лучше
Ну допустим мильён баксов. За эти деньги можно до десяти человек нанять на год. Реалистичнее: 2-4 на целый год. Bug bounty обходится дешевле, чем покупать у черношляпочных — в этом и суть.
Гонишь? Он за деньги их и внедряет.
да сколько можно?
гугель ты что?
только пересобрал браузер - опять 25...о_О
а разве ты пересобираешь не ради удовольствия от пересборки?мне казалось, что это какой-то фетишь
ну типа "смотреть как бегут строки", "фиксить ошибки компиляции", "пердолиться с конфигами и билд скриптами"
почти как наблюдать как дефрагментируется диск
Да ладно. Собирают с флажками по умолчанию. Просто смотрят на мельтешаший экран и преисполняются якобы некой причастности.
На корке дуба пересобрал?
на 4 пне же!
Внимательнее надо было код смотреть перед сборкой. Так бы увидел уязвимость - и сразу же бы её исправил.
> да сколько можно?
> гугель ты что?
> только пересобрал браузер - опять 25...Ты там точно в адеквате? Для фикса достаточно только libvpx пересобрать, а этого я даже на 32-битном ARM на гигагерц собирал за какие-то считаныне минуты, он не особо жирный.
А в нормальных дистро типа демьяна вообще приедет фикс libvpx - и весь софт запатчен. Отдельные приветы флатпакам и прочим appimage и snap всяким.
Вы, видимо, сами давно браузеры не собирали. Они тащат за собой кучу своих форков библиотек (вплоть до того, что jemalloc просят называть mozjemalloc, настолько он разошёлся с оригиналом), и вам ещё повезло, если они соберутся и будут работать с --with-system-sqlite --with-system-libvpx --with-system-ffmpeg --with-system-что-нибудь-ещё
> Вы, видимо, сами давно браузеры не собирали. Они тащат за собой кучу
> своих форков библиотек (вплоть до того, что jemalloc просят называть mozjemalloc,Хызы, у меня файрфокс был с системным libwebp и пофиксился апдейтом 1 либы. К jemalloc это не относится вообще никак.
> настолько он разошёлся с оригиналом), и вам ещё повезло, если они
> соберутся и будут работать с --with-system-sqlite --with-system-libvpx --with-system-ffmpeg
> --with-system-что-нибудь-ещёДаже если вдруг у вас встроенная либа - можно поверх нее патч наложить и пнуть билд только вот этого. Будет сильно менее ресурсоемко. Нет никакого смысла отстраивать всю тушку ради мелкого патча в 1 либе, не меняюшего ее внешние API и ABI. Но если вам хочется ритуал ради ритуала, тогда конечно вперед.
судя по размеру патча - быстрее пропачтить рeшeтo чем с libwebp :)
Только прекратили поддержку Windows 7 и 8.1, как одна за одной появляются новости о новых уязвимостях.
Совпадение?
яндекс браузер обещал тянуть - виндузятники могут себе установить...
Не вижу большой разницы между пользованием яндекс-браузером и десяткой. Лучше свободные форки
а они под 7ку есть?
Не интересовался, но наверняка есть или будут, как появлялись после прекращения поддержки XP. Кроме того, Firefox обещал ещё год поддерживать Windows 7. Вопрос, конечно, в реальном качестве и приватности этих вариантов...
на 7ке/8ке 117 фокс уже не работает... 115-esr будет до лета 2024но меня интересовали альтернативные проекты на хромодвижке с поддержкой 7/8 (360-браузер не предлагать)
а на мозилловском движке под 7ку есть и будут лет так 5 симанки и паленая-луна, но они хороши как запасной/второй браузер или для сайтов web-1.0/1.5 ... к сожалению на модных-смузехлебных сайтах они работают только на троечку...
Нашлось в поиске про установку Chrome и Firefox на Windows 7
https://habr.com/ru/articles/752692
https://habr.com/ru/articles/752752
> как появлялись после прекращения поддержки XP.А как они появлялись? А! Никак.
Всегда так было и будет.
Опять сишка. Опять переполнение. Считаю, что нужно увольнять с волчьим билетом людей, которые пытаются начинать новые проекты на си. Это вредители.
Вот из-за такого додиезного мудачья примитивные флэшки уже выжирают десятки гигабайт памяти (привет Frostpunk, в системных требованиях враньё). Даже какая-нибудь внка привет из 90х тоже 10+ гигов выжирает, много примеров где вообще ничего нет и всё те же 20 гигов (т.е. куча данных вытесняется из памяти на диск, если меньше). Такими только печи топить, другой пользы принести они не могут.
то что у тебя тормозит игрушка - это твои проблемы "просто купи комп мощнее (и купи скайрим)" (с)а когда из-за уязвимостей дыряшки вкладка в браузере с запущенным видео ломает твой комп?
или дарит рут?
конечно нам "нужна больше скорости" и пофиг, что криптолибы это просто сито
Если вкладка с запущенным видео ломает твой комп, тебе стоит проверить исправность оборудования. Насчёт рута маловероятно, шансы выше, если ты скачал видеофайл из непроверенного источника, тут нет особой разницы с исполняемыми файлами. Только вот замены тому же ффмпег (который неплохо бы заменить) что-то не существует, при всей его кривости и багованности.
ты сравниваешь видео (libvpx) или картинку (libwebp https://www.opennet.ru/opennews/art.shtml?num=59746) с исполняемым файлом?
ты что совсем бо-бо?не надо оправдывать бракоделов, которые годами выпускают подобное
Именно, если файл декодируется, в нём может быть обнаружена уязвимость уровня ACE в любое время, что автоматически делает его исполняемым файлом. Как они туда попадают это другой вопрос, далеко не всегда это случайный процесс. Кроме того, у такого файла скорее всего будет доступ к оборудованию (в частности, к видеокарте) и никаких песочниц вокруг. Ну вот как у венды bmp файл давал встроенному коду права системного процесса (это который над админом). Поэтому относится к файлам нужно соответствующе.
Да-да, браузер открыл = сам виноват, фиксить не будем, ибо ачотакова?
Не открывай сайты, которым не доверяешь, не смотри рекламу, прекрати посещать помойки через которые распространяют малварь. В остальном, сам виноват, из-за таких даже добавили предупреждение об "опасных" файлах.
Я открыл Опеннет
> Не открывай сайты, которым не доверяешь, не смотри рекламу, прекрати посещать помойки
> через которые распространяют малварь. В остальном, сам виноват, из-за таких даже
> добавили предупреждение об "опасных" файлах.Да-да, и ходить в хиджабе - пардон, эт разврат - в никабе, в сопровождении специально обученных родственников мужского пола, я понял. Ну, тоже подход, да.
А неуловимый Джо будет рассказывать, что все, кроме жертвы - неуиноуатые. Нефиг было в интернет ходить, файлы там открывать, программы, написанные на Cи недоверенными программистами запускать на непроверенном оборудовании - вот был бы c2d с ОС на rust'е и файл, написанный тобой же со своей дискеты - от тогда бы да, тогда бы ничего не произошло. А так - самадуравиновата.
Лучше оперативки докинуть, чем иметь тыщщу дыр в системе, через которые тебя поимеют и поставят троян.
Было бы куда. Да и потом, не все же такие додики у которых 99% оперативки простаивает чисто про запас, а если она используется, то проблема ровно та же возникает постоянно.
Жду когда индустрия упреться в техонлогические и физические пределы, тогда ты не то что на СИ будешь писать, ты первый в очереди пойдешь писать на Ассемблере.
Что она упрется то?
Комп будет размером с холодильник просто
64 физических проца
Оперативки 128 плашекДорого? Твои проблемы
> чем иметь тыщщу дыр в системе, через которые тебя поимеют и поставят троян.И сколько троянов тебе лично наставили?
Столько, что и колено Вениаминово тоже плачет, что мы их не вырезали я не знаю
Вырезать кого собрались?- битКоинов с Леви_а_фанами?
Хаха, вы бы лучше быдлокодить без ошибок на дыряшке научились! 40 лет уже прошло, а воз и ныне там.
Это ж из-за вас пришлось придумываться всякие шарпы и прочее.А про флешки даже не заикайся. В флешплеере больше тысячи уязвимостей нашли, из которых ~900 - это 9+ score.
Редкий продукт может похвастаться таким "достижением". Хорошо что оно сдохло, жаль, что так долго дрыгалось.
Ни у кого не было проблем с флэшками (ну немного жестковатые ограничения на самом деле), проблемы были с рекламой через которую распространяли малварь. Вместо флэша это ровно та же могла быть жава или activex или просто исполняемый код, потом конечно догадались что запускать недоверенный код можно только после подтверждения пользователя. Сегодня вот у всех из бэкдоров стоит только openh264, а тогда был выбор. И у пользователя больше никто не спрашивает кстати.
> Хаха, вы бы лучше быдлокодить без ошибок на дыряшке научились! 40 лет
> уже прошло, а воз и ныне там.
> Это ж из-за вас пришлось придумываться всякие шарпы и прочее.И орпоративные шерпы завалили мир кодеками.... или нет?! А, погодите, этот крап тормозит так что 480p с ютуба сжевать не может? Ну вот и пишут на сишке и дальше, гули :)
> примитивные флэшки уже выжирают десятки гигабайт памятиЧто это такое вообще?
Я ваш птичий язык не понимаю.> тоже 10+ гигов выжирает, много примеров где вообще ничего нет и всё те же 20 гигов (т.е. куча данных вытесняется из памяти на диск, если меньше). Такими только печи топить
В целом, объём занятой ОЗУ на энергопотребление влияет очень слабо примерно никак.
Доступ к памяти влияет значительно, но в контексте потребления всей остальной системой, если у вас не 2ТБ памяти в 16слотах, то можно не переживать, а если таки да, то у вас другие задачи.Так что к чему ваши "печи топить" непонятно от слова совсем.
Das ist ein du problem.
Тут бекдор, подписанный приветябекдор.
Увольнять откуда, с Гитхаба? Как увольнять разработчика личного проекта?
Опять зависть что сишники могут написать продукт, а растовики нет.
Написать сишники могут, нормально написать — нет.
> Написать сишники могут, нормально написать — нет.Ну так остальные и так не смогли. Ну вон есть librav1e - и чего-то он даром никому не упал по его эксплуатационным свойствам. Это правда энкодер а не декодер вообще, но как энкодер он ни о чем и возможности формата не раскрывает. А без этого AV1 не очень то и хотелось...
> Опять сишка. Опять переполнение. Считаю, что нужно увольнять с волчьим
> билетом людей, которые пытаются начинать новые проекты на си. Это вредители.Не пользуйся сишным софтом и либами, какие проблемы? :))
Это ещё что! Скоро подвезут дыры из libhelloworld...
Не, ну helloworld уж точно можно без дыр написать!
Хотя... там же printf...
Правильно, не надо TODO в продакшене закрывать.
Надо было писать на безопасном языке, например, на хаскелле.
Ты чё!
На хаскеле же всякие монады, функторы и прочая комбинаторика
Это же для академиков, а их тут не любят! (как и BSD))
иж чего яйцеголовые навыдумывали:
pattern matching, guardы, алгебраические типы и еще куча всего другого...то ли дело в родном си: напрограмячил кода, кастанул к void*, вышел out-of-bounds массива (и попортил соседям память), а потом его два раза free'шнул
получается слегка копролитно, CVEшки лезут одна за одной, но зато как быстро!
+ можно считать себя ылитой программирования и смотреть на всяких смузихлебов свысока
Тогда надо самокаты запретить - пешком хоть и медленнее, зато безопаснее. А если ноги устают, то прокачай их помощнее.
Автомобили тоже. Вы вообще видели, сколько ежемесячно происходит автоаварий??
хаха, вот например в Париже их нафиг запретили!
потому что бухие, правил не знают (те на авто/мото даже не сдавали), гоняют по тротуарам на скорости 30+кмА в других городах вводят ограничения по макс мощности и/или скорости, наличие шлема, а еще требуют наличие прав!
Вот прикинь у сишников требовать справку о профпригодности (или вменяемости хехе)!
Или заставлять учить наизусть весь список UB для С99
https://gist.github.com/Earnestly/7c903f481ff9d29a3dd1Это же придется 99% пограммеров отправить мести улицы (или писать на джаваскрипте)
>Или заставлять учить наизусть весь список UB для С99https://gist.github.com/Earnestly/7c903f481ff9d29a3dd1
#$% как мне нравятся такие кукареки. Не читали, не поняли, но осуждают.
UB обычно подсвечивается варнингами компилятора.В половине случаев этого списка, UB в стиле "программист [s]даун и[/s] поставил кавычку в конце ключевого слова. У нас нет предпочтения, как вы его назовёте."
Или вот, великолепное, "A pointer is converted to other than an integer or pointer type". UB конечно, указатель 64 преобразовать в float, ага. Или в более [s]других[/s] безопасТных языках это возможно? Ой, нет, там же указатель это "страшно-страшно", его вообще не дают в руки.Вторая половина - про библиотеку. Тоже UB в основном про ограничения.
Например,
"The number of characters transmitted by a formatted output function is greater than INT_MAX (7.19.6.1, 7.19.6.3, 7.19.6.8, 7.19.6.10). "
Эээ, выходная строка чего то вроде fprintf не может быть длиннее INT_MAX. o_O ну так проверяйте вход. Это в любом языке нужно делать. Нефиг в "%s %s %s" без проверки что угодно выводить.А UB-примечание к malloc вообще офигенное:
The value of the object allocated by the malloc function is used (7.20.3.3).
Содержание памяти, ссылку на которое вернул malloc, будет произвольным.Вывода не будет.
> ну так проверяйте входДа ты просто гений!!! Нужно "всего-лишь" проверять входные данные!
Вот только в соседней теме про Exim три из трех ошибок из-за "отсутствия проверки входных данных"!Нужно всего-лишь заставить дыряшников это делать!
Вот только как написано выше - большая часть необучаемые дауны, которых только как битьем по рукам это делать не заставишь...
Эээ ооо ааа ууу
Ну да, в безопасТных языках либо тоже делать проверку, либо вполне defined behavior - программа просто не работает, ибо abend.
> На хаскеле же всякие монады, функторы и прочая комбинаторика
> Это же для академиков, а их тут не любят! (как и BSD))
> иж чего яйцеголовые навыдумывали:
> pattern matching, guardы, алгебраические типы и еще куча всего другого......так что взяв чужой проект ты полгодика будешь этот брейнфак осмыслять, что именно там тот кодер наворотил вообще, и как это на самом деле работает. Кодинг задуманного тем временем подождет.
Или, можно вместо этого брейнфака и проектов на нем взять другой ЯП и - просто решить свою задачу. А проекты на хаскеле - живут ровно до тех пор пока единственному автору не надоест в них комитить. После чего они безнадежно дохнут, остальным просто не хочется лезть в крутые абстракции. Вот так можно зайти на противоположный полюс относительно питона - и это настолько дикая инверсия что конвергирует в той же точке что и питонопроекты. Т.е. нечто с периодом полураспада пару лет. Хотя механизм распада радикально другой :)
> то ли дело в родном си: напрограмячил кода, кастанул к void*, вышел out-of-bounds
> массива (и попортил соседям память), а потом его два раза free'шнулЗато задача решена за разумное время, в код худо-бедно могут другие въехать, вулны, вот, какой-нибудь автосканер выловил, и оно по крайней мере - работает.
о боже, у нас тут очередной адепт тяп-ляп и продакшен?
ладно если ты пишешь код для программы которая одевает ботинок, ну выстрелит она пару раз в ногуа если это криптолиба типа openssl? на которой держится пол интернета?
примеры хартблида никого ничему не научили?или мейлсервер который стоит на 0.5 млн серверов
wait, oh shi...
> о боже, у нас тут очередной адепт тяп-ляп и продакшен?
> ладно если ты пишешь код для программы которая одевает ботинок, ну выстрелит
> она пару раз в ногуНу ты в своем праве писать кодек на этом брейнфаке. Посмотрим много ли ты напишешь и сколько людей сможет и захочет майнтайнить твой код. Или сам собирай его под 9000 дистров с бэкпортом патчей на их полиси и чего там еще.
> а если это криптолиба типа openssl? на которой держится пол интернета?
> примеры хартблида никого ничему не научили?Научили: хорошее крипто должно быть простым и мелким, а сколько TLS не окультуривай, безопасным ЭТО не станет в принципе. При том - на самом концептуальном уровне. Ты точно всей этой шайке CA - "доверяешь"? Половина интернета держится на snake oil crypto, внезапно.
> или мейлсервер который стоит на 0.5 млн серверов
> wait, oh shi...По моему проблемы Exim это не новость. Но вы можете дать мастеркласс оным. А, погодите, писать программы и тем более их майнтайнить годами - это не языком в форуме о крути очередного фетиша трындеть?! :)
Лолчто? Какой нафиг Хаскель брейнфак? В нём стандартно всё в принципе.> ...так что взяв чужой проект ты полгодика будешь этот брейнфак осмыслять
А чужой проекте на сишке с 5 тысячей строк ифдефов вы типо за пять минут осмыслите?
Что делает:
*void process_data(data *void)Сразу поймёте?
> Лолчто? Какой нафиг Хаскель брейнфак? В нём стандартно всё в принципе.Ну вот такой. Стандартное состояние проектов на хаскеле - 1 кодер, изначальный автор. Зачем это опенсорс выкладывать вообще хз, все равно желающих это изучать и патчить обычно 0 оказывается.
> А чужой проекте на сишке с 5 тысячей строк ифдефов вы типо
> за пять минут осмыслите?Да нормально осмысливаю и патчу вот. Тем более что ряд фиксов не требует понимания общей глобальной логики. И это все в том числе и благодаря отсутствию крутых абстракций, ага. Можно просто посмотреть, увидеть баг и - пропатчить. А ваш высокопарный полет мысли раскуривать - нафиг нужно. Для этого половину вашего мозга надо вгрузить и начать думать как вы. Это слишком канительно. На эти грабли плюсеры то через раз встают, до опытных допирает что так делать не надо и у них потом начинает получаться что-то одупляемое. А хаскелисты - каждый первый буквально танцует на этих граблях по максимум. Пока не свалится с синим лбом. После чего проект бесславно дохнет.
> Что делает: *void process_data(data *void)
> Сразу поймёте?Просит автору в тыкву дать за такой стиль кодинга :)
Да, Хаскель программистов примерно в тысячу, если не больше, раз меньше сишников.
Поэтому конечно и участников проектов меньше. А вовсе не потому, что в Хаскель коде как-то особенно тяжело разобраться.Да, есть тысячи заброшенных сишкопроеетов.
> сложение абстракции я не понимаю ((( зато сишка простая ))11Да без комментариев пожалуй.
Если строгая типизация для вас неосилимая абстракция, то понятно в общем от чего в сишкокоде выход за границу буфера юсе афтер фри погоняет.
> Да, Хаскель программистов примерно в тысячу, если не больше, раз меньше сишников.И к тому есть предпосылки: очередной академязычок не от мира сего.
> Поэтому конечно и участников проектов меньше. А вовсе не потому, что в
> Хаскель коде как-то особенно тяжело разобраться.Чем круче абстракции, тем дольше в них въехжать и выше риск понять намерения предыдущего кодера неверно. Если суммировать идею MISRA вкратце: код должен быть написан так прозрачно и просто чтобы в нем могли разобраться даже амебы в пробирке. Тогда в нем и багов не будет. Потому что двуногий может не выспаться сегодня, его могут отвлечь, или еще какая фигня. И если он потеряет глубокий контекст, фигня получится.
> Да, есть тысячи заброшенных сишкопроеетов.
Лично я не знаю ни 1 полезного и интересного мне проекта на этом. Вот просто за всю жизнь ничего интересного не попадалось. Какая-то хрень где отшибленные кодеры страдают фигней. В этом плане какой-нибудь хруст - явно прагматичнее, нацелен на реальные проблемы реальных проектов. Хоть и являет собой за это свалку костылей.
>> сложение абстракции я не понимаю ((( зато сишка простая ))11
> Да без комментариев пожалуй.Оно и видно.
> Если строгая типизация для вас неосилимая абстракция, то понятно в общем от
> чего в сишкокоде выход за границу буфера юсе афтер фри погоняет.Да вы знаете, иногда я оверрайдом типов еще и пользуюсь. Представляете, у DMA автомата и парсера пакетов могут быть немного разные идеи насчет одного и того же блока данных на предмет того чем он является. В DMA я могу хотеть его рассмотреть как допустим пачку u32 вон там, а чем оно там на самом деле было - такой отдельный вопрос. Си в этом плане весьма разумный баланс, когда с одной стороны type check можно, с другой - можно и заоверрайдить если вот именно системный фокус стало надо.
А так вот именно системный и низкоуровневый - это Zig какой. Там вон и packed struct сразу штатно есть, и положить нечто в конкретную секцию - вот, пожалста. А этот ващ хаскель совершенно точно не замена си и не конкурент ему даже в проекте.
И да, вы знаете - в кодеке иногда тоже надо низкоуровневый контроль над происходящим. Скажем у SIMD есть довольно эзотерические требования по выравниванию блоков данных. А без SIMD не интересно - там скорость вот тупо в разы ниже, кому такой кодек упрется и зачем?! Представляете, там вон шарпей какой-то вещает, а так то кодек даже и на гольном си то мало кому упал, представляете? Пока его asm или simd intrinsic не обвесят у него перфоманс такой что это мало кому вообще надо оказывается. На libvpx бочку катили за медленное кодирование. На libaom катят. Первого немного подразогнали.
> Чем круче абстракции, тем дольше в них въехжать и выше риск понять намерения предыдущего кодера неверно.Крутые абстракции упрощают вещи, а не усложняют.
Вы наверное гуишные приложения пишите тоже на голой сишке без крутых абстракций графических библиотек операционных систем и драйверов?> код должен быть написан так прозрачно и просто чтобы в нем могли разобраться даже амебы в пробирке.
Это хреновый подход.
Код должен быть понятен не амёбам, не неграм с улицы, не трансгендерным специалистам по равенству.
Код должен быть понятен специалистам работающим с этим ЯП.> Тогда в нем и багов не будет.
Это не так работает.
> Лично я не знаю ни 1 полезного и интересного мне проекта на этом.
А АБСТРАКЦИИ тут причём?
Вы вообще себе отдаёте отчёт в том, что в питоне куда больше "крутых абстракций, нежели в Хаскеле?
Но смотрите, держитесь, на питоне миллионы проектов от сложных корпоративных монстров вроде PyTorch до утилит в пару строк. И именно тот факт что абстракции позволяют писать в пару строк сложные вещи и делает питон таким популярным.
Так может не в абстракциях дело? Может они полезны и нужны, а?А С++ что?
Вы представляете себе, С++ В РАЗЫ СЛОЖНЕЕ Хаскеля. Весь Хаскель умещается в десятке страниц, в то время как абстракции С++, крутые и навороченные, описаны в талмуде в 2000 страниц и их никто не знает целиком.
И что? Скажите на С++ никто не пишет ИЗ ЗА ТОГО ЧТО В НЁМ СЛОЖНЫЕ АБСТРАКЦИИ? Хотя они там абсолютно безумные и отвратительные. Но пишут, жрут кактус и пишут.
> Крутые абстракции упрощают вещи, а не усложняют.Я видел что может получиться, спасибо. Потом никто въезжать в это не может или не хочет. Так даже плюсер зарвавшийся может удружить, а хаскелисты все такие, других не видел. Моя проблема? Закладываться на программы которые заведомые трупы - чревато.
> Вы наверное гуишные приложения пишите тоже на голой сишке без крутых абстракций
> графических библиотек операционных систем и драйверов?Графические приложения не кодеки и там соотношения иные. Но я и таких на хаскеле нужных кому-то тоже не знаю. Поэтому посчитаю что теория не доказана практикой. Абстракции ради абстракций никому не нужны кроме автора.
>> код должен быть написан так прозрачно и просто чтобы в нем могли
>> разобраться даже амебы в пробирке....
> Код должен быть понятен специалистам работающим с этим ЯП.Чем больше посмотрят, тем больше шансов что въедут что я на самом деле хотел. Может кто не очень крутой спец в ЯП, зато крут как алгоритмист или архитект? Тогда дадут мастеркласс на другом уровне. Более важном как правило. А если им надо вгрузить половину моего мозга и декодировать крутые абстракции, они забьют, им есть чем заняться без этого. А спец по яп - пустышка сам по себе, "эксперт по применению молотка".
> Тогда в нем и багов не будет.
Сказ о серебряных пулях и отсутствии багов это круто но так не бывает. Некий олд из локхидмартина дал как-то мастеркласс нубью вопившему про contracts. Найдя баг прям в контракте. А годный алгоритмист или архитект понявший что я на самом деле хотел может придумать как это в 20 раз проще и лучше. Придет ему озарение и покажет мне что я все переусложнил и закостылил, а можно то вот так было вообще. Если алго в 10 раз проще, без костылей и лучше работает - там и багов сразу в разы меньше. Почему-то.
> Это не так работает.
И типа у вас огромный опыт как оно? И чем это подтверждено? Проекты на этом - где?!
>> Лично я не знаю ни 1 полезного и интересного мне проекта на этом.
> А АБСТРАКЦИИ тут причём?Крутые и нестандартные абстрации - 1 из известных мне способов эффетивного факапа проектов, ведушего к их загибанию ибо "1 кодер в проекте".
> Вы вообще себе отдаёте отчёт в том, что в питоне куда больше "крутых абстракций,
> нежели в Хаскеле?Я отдаю себе отчет что у 90% проектов на питоне период полураспада - 1-2 года. И мне от питоняш ничего не надо, уж спасибки.
> Но смотрите, держитесь, на питоне миллионы проектов от сложных корпоративных
> монстров вроде PyTorch до утилит в пару строк. И именно тот факт что абстракции
> позволяют писать в пару строк сложные вещи и делает питон таким популярным.Мне похрен. Для меня то что софт написан на питоне это вообще отличный повод им не пользоваться. Потому что в результате он потом создаст много проблем. И вон то только все усугубит. Да, жирнокорп может бухать сотни ресурсов в поддержку легаси и даже оплатить фултайм кому-то. А я не жирнокорп, и рабом жирнокорпа делающим какую-то НЕХ быть тоже не хочу.
> Так может не в абстракциях дело? Может они полезны и нужны, а?
Все хорошо в меру. Хаскелисты эту меру совершенно точно профачили. Питоняшам то корпы при помощи о314ливания азы прожектменеджмента доносят и если там кто попробует с абстракциями чрезмерно разогнаться - его не то что не уволят, он собес на прием в корпу не пройдет. Его лид какой или архитект рубанут как участника команды, понимая что есть иные соображения типа майнтенанса. Эти господа, кстати, стоят как звездолет. И на вас такой благодати не хватит. Так даже и питон - яп. Но с большими оговорками и характерный корпоративный шитец все равно получается. Я такой софт просто не жалую, как категория.
> А С++ что? Вы представляете себе, С++ В РАЗЫ СЛОЖНЕЕ Хаскеля.
> Весь Хаскель умещается в десятке страниц, в то время как абстракции С++,
> крутые и навороченные, описаны в талмуде в 2000 страницC++ бывает очень разный. От отличного читаемого кода - до полностью неадекватного кода который никто не хочет трогать 3-метровой палкой и который мастеркласс любому питоняше по гамнокодингу даст. Хороший спец по плюсам виден сразу. В том числе и простым читабельным кодом. Где абстракций так то в меру и по делу. А у долбоклюев абстракйия на абстракции и абстракцией погоняет, ввинчены абсолютно все "клевые фичи" - из "последнего стандарта" под рассказы о легаси и чем там. И ни на что не годный код в котором только автор и понимает. Более менее крупные корпы кстати тоже в курсе - и шлют таких туда же куда и питоняш склонных к гону, по той же причине. Эти господа собесы тоже не проходят. Не нужны тимам проблемы.
>> и их никто не знает целиком.
> И что? Скажите на С++ никто не пишет ИЗ ЗА ТОГО ЧТО В НЁМ СЛОЖНЫЕ АБСТРАКЦИИ?
> Хотя они там абсолютно безумные и отвратительные. Но пишут, жрут кактус и пишут.Вопрос не в абстракциях ЯП - а в том с чем я столкнусь в "этом проекте". Если это хаскел, 99% вероятности что там парад брейнфарта. Не, простите, мне реально не интересно вгружать ваш супер-кастомный стиль мышления чтобы изучать как вы можете левой пяткой, с заподвыподвердом, картину на стену повесить блин. И плюсы хороши в основном тем что есть мощные кодеры способные к teamwork и софт деланый ими. Да, далеко не все так могут. Но - они есть. В отличие от хаскелистов.
В каком этом проекте?
Вы же хаскеля не знаете, откуда вам знать брейнфарт там или не брейнфарт вообще?> Все хорошо в меру. Хаскелисты эту меру совершенно точно профачили.
Ну например, где они перешли черту? Приведите пример той самой чрезмерно сложной и крутой абстракции хаскеля.
> В каком этом проекте?Да в какой ни ткни - будет зубодробильный контринтуитивный код. Для меня это жирный минус ЯП. И даже если он очевиден какому-то хаскелисту - ну, круто, я рад за них, мне то с этого чего?
> Вы же хаскеля не знаете, откуда вам знать брейнфарт там или не
> брейнфарт вообще?А я и не обязан учить бесплезный хлам на котором ни 1 убедительного проекта нет, с каким-то отшибленным синтаксисом и перекосом на парадигмах вместо решения задач. Мне вообще системное и относительно низкоуровневое программирование нравится. Хаскель совершенно точно не про это.
>> Все хорошо в меру. Хаскелисты эту меру совершенно точно профачили.
> Ну например, где они перешли черту? Приведите пример той самой чрезмерно сложной
> и крутой абстракции хаскеля.Для меня критерий прост: если мне не очевидно что делает этот код - это хреновый код. Икслючение разве что крутые сложные алгоритмы, но там обычно у меня проблемы с пониманием именно самой математики, которая бывает весьма специализированная.
А так как пример: однажды меня сильно приперло. И я продирался сквозь довольно крутые и многоуровневые абстракции плюсера. В конечном итоге я загасил баг, потому что отступать было некуда. Но времени на это я убил в 50 раз больше чем я бы в проекте на сишке то же самое сделал бы. Поэтому по итогам я констатирую что такой код майнтенансу не подлежит. А в какой бы код на хаскеле я не совался - интуитивным и простым в понимании это не выглядело, там вот как раз те самые антипаттерны в ходу. Я вам не питоняша, и не испытываю никакого желания разгадывать ребусы с лямбдами, монадами и прочим добром.
И еще. Для меня самая забойная фича сишки это портабельность. Можно отладить алго на компе под тяжелой инструментацией типа профайлеров и ubsan/asan - а потом на мк с парой кило оперативы и несколько кил флеша 1 в 1 загнать. Это очень круто. Это позволяет масштабироваться. И взаимодействовать с своим кодом в разных ипостасях. И это точно не про хаскел. В эту нишу имеют шансы вписаться Rust, Zig, Hare может быть. Поэтому для Zig я даже смогу назвать несколько симпатичных мне фич, хоть я его и не практикую (пока?). А хаскель для вот лично меня - бесполезный артефакт не от мира сего. Если кто еще не понял, кодеки это довольно специализированный аспект с мощнум заходом в нижний уровень. Для оптимизации перфоманса, использования SIMD и проч. Это не ваша "очередная апликуха". И там другие соображения и соотношения ценятся. Если вы будете libaom кодировать в чисто сишном коде - ВЫ ОПУПЕЕТЕ. Вам никаких процов не хватит. И на первое место выходит мощная оптимизация, иначе возможности формата окажутся не раскрыты - и зачем тогда весь этот трах был в таком объеме с изобретением нового формата, его внедрением в железки и проч?! Надеюсь это отвечает на вопрос почему никто не будет писать кодеки на хаскеле. Если вы хотите высокие абстракции - вам вот этот топик явно не был важен. Иначе были бы иные идеи на этот счет.
>А я и не обязан учитьНет конечно, но если вы не знаете Хаскеля, как вы можете делать выводы о крутости его абстракций и доступности кода для понимания?
>Для меня критерий прост: если мне не очевидно что делает этот код - это хреновый код.
Я уже понял это.
Китайский вы не знаете - значит это хреновый надмозго язык со сложными абстракциями?
А нотную грамоту вы знаете?
Системы записи химических формул? Язык электронной схемотехники?
Мне кажется, очень странным, определять хреновость чего-то его очевидностью для лично вас, особенно в свете того, что мир вообще-то невероятно сложная штука.Но вы сделали 2 глобальных утверждения ранее.
1. В Хескеле очень сложные и недоступные пониманию среднего программиста в вакууме абстракции.
2. На Хаскеле никто не пишет из за этих сложных и недоступных абстракци.По пункту 2. Я привёл вам при мер с С++ с сложными жуткими и безумными абстракциями, на котором пишут и очень много. То есть, ваше утверждение не подкрепляется практикой, которая мерило истины.
Вы привели контр аргумент заключающий в том, что эти абстракции можно не использовать, и "правильные" программисты их не использую. Но это апелляция к истинности - https://ru.wikipedia.org/wiki/Ни_один_истинный_шотландец
Я же утверждаю, что эти абстракции используются в стандартной библиотеке C++, и в общем случае использовать С++ без них невозможно, так как вся логика кода и шаблоны проектирования строятся вокруг этих абстракций.По пункту 1. Я прошу вас привести пример сложной абстракции языка Хаскель, чтобы понять о чём вы вообще говорите, и что вы называете абстракцией в данном контексте.
> Для меня самая забойная фича сишки это портабельность.Нет у сишки никакой портабельности. Типы инта могут быть какие угодно между платформами например. И всё. И это самое малое как бы из не портируемого.
> а потом на мк с парой кило оперативы и несколько кил флеша 1 в 1 загнать.
И на этом МК есть только int8. Удачи.
>разгадывать ребусы с лямбдами, монадамиЛямбды - концепт которому лет 50 минимум. ВСЕ программисты буквально и не только знают о нём, и успешно применяют. В некоторых спец областях это может быть лишним конечно, но тут нужно проводить исследования, это совсем не очевидно.
Монада:
https://en.cppreference.com/w/cpp/utility/optional
https://habr.com/ru/articles/372103/
Просвещайтесь.
Добавьте в новость, что XnView тоже использует WebP
> проприетарное ПОа сайт opennet.ru
а по опросу у почти 20 процентов мак или винда)
а остальные 80 научились в конце-концов подделывать user-agent
> Добавьте в новость, что XnView тоже использует WebPWebP или libwebp?
>> Добавьте в новость, что XnView тоже использует WebP
> WebP или libwebp?Там libwebp чтобы читать WebP. Автору правда уже стукнули чтобы он обновил, но пока тихо.
> Там libwebp чтобы читать WebP. Автору правда уже стукнули чтобы он обновил,
> но пока тихо.Достойная судьба для пожирателей проприетари.
Если в каком-то инструменте человека заставлять за чем-то следить, то он 100% в конце концов накосячит, так что раст в этом плане эту тупую нагрузку с человека снимает
Если что, то вот нормальная новость с подробностями и объяснениями: https://snyk.io/blog/critical-webp-0-day-cve-2023-4863/
И какие же там подробности кроме рекламы проприетарного сервиса Snyk? Плюс та статья написана спустя две недели после раскрытия уязвимости, когда все уже обновились.
И там про древнюю уязвимость в libwebp, а не про обсуждаемую уязвимость в libvpx.
Я что-то не понимаю или libwebp в телеге под андроид до сих пор не пофиксили?https://github.com/DrKLO/Telegram/tree/master/TMessagesProj/...