Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Обновление libpng 1.6.27 с устранением уязвимости, opennews (??), 30-Дек-16, (0) [смотреть все] Какой смысл пять версий либы поддерживать , Аноним (-), 10:54 , 30-Дек-16, (1) +8 // Популярность старых версий и несовместимость API, turbo2001 (ok), 11:13 , 30-Дек-16, (4) +4 // спасибо за ликбез , paulus (ok), 11:36 , 30-Дек-16, (9) +2 Мне кажется что поддерживают две, а для остальных выпустили обновление по особом, Аноним (-), 22:45 , 30-Дек-16, (51) Купил iPhone 6, вышел iPhone 7, всех младше надо банить, нефиг на старье работат, pavlinux (ok), 20:51 , 04-Янв-17, (77) // Погодите пару лет и посмотрите как у Вас сначала аккуртненько не шлют обновления, Аноним (-), 03:28 , 06-Янв-17, (78) Вот тебе и безопасный си , Аноним (-), 11:10 , 30-Дек-16, (2) –12 // Опасная бритва -- это опасная бритва, если Вам её кто-то впаривал как безопасную, Michael Shigorin (ok), 11:16 , 30-Дек-16, (5) +16 // Нужно просто, чтобы был человек, который идеально обращается с опасной бритвой , Аноним (-), 11:18 , 30-Дек-16, (7) –9 // Это путь сперва специализации, а затем деградации -- ну, когда надо писать в рук, Michael Shigorin (ok), 11:39 , 30-Дек-16, (10) +5 Специализация - это цивилизация Отсутствие специализации было во времена жизни , Аноним (-), 12:07 , 30-Дек-16, (14) –2 нужно заметить что специализация и универсализация одновременно существуют ну к, Куяврег (?), 12:57 , 30-Дек-16, (16) +4 Шигорин чутка позабыл о том, что весь UNIX построен на принципе специализации п, Аноним (-), 13:10 , 30-Дек-16, (19) –3 Не весь , Andrey Mitrofanov (?), 13:17 , 30-Дек-16, (22) Согласен, 99 999 100 , Аноним (-), 13:19 , 30-Дек-16, (23) –2 На каникулах возьми TAOUP и проштудируй на предмет помянутой выше универсализаци, Andrey Mitrofanov (?), 13:46 , 30-Дек-16, (24) +2 так я и включил его в 0 001 Или вы сложение еще не проходили , Аноним (-), 14:08 , 30-Дек-16, (25) –1 и тут же А я и не знал, что JVM -- это такой менеджер памяти, B и только , Michael Shigorin (ok), 14:59 , 30-Дек-16, (30) +7 Рассматривай JVM как coreutils Отдельные компоненты JVM как и coreutils вполн, С того же адреса (?), 15:31 , 30-Дек-16, (35) –2 А какой B именно B из них отвечает в JVM только за работу с памятью PS re 37, Michael Shigorin (ok), 15:53 , 30-Дек-16, (36) Тот, который отвечает только за работу с памятью А какой ты ожидал ответ Назв, Аноним (-), 15:57 , 30-Дек-16, (37) –1 Да-да 8230 ты это современным работодателям на территории exUSSR расскажи 823, Аноним (-), 22:08 , 30-Дек-16, (48) Где exUSSR и где цивилизация Те, кто с Западом плотно работают - до тех доходит, Crazy Alex (ok), 01:18 , 31-Дек-16, (54) вот те и знают, что там за цивилизация заикнулся, что денег впритык на жил, Michael Shigorin (ok), 02:31 , 31-Дек-16, (55) Что за богатая фантазия Но вообще - сюрприз - твой доход определяется твоей пол, Crazy Alex (ok), 17:57 , 31-Дек-16, (64) +1 Нет, конечно, намного правильнее когда некоторые очень нужные и полезные люди фо, Аноним (-), 01:26 , 01-Янв-17, (69) +1 А Valve почему-то нрвятся T-shaped people Наверное специализация должна быть ка, Аноним (-), 23:40 , 31-Дек-16, (67) Любой человек должен уметь менять пелёнки, планировать вторжения, резать свиней,, iZEN (ok), 00:39 , 01-Янв-17, (68) –3 Ну не скажи Бизнес-логику очень сложно мешать с низкоуровневыми вызовами Да и , Илья (??), 14:18 , 30-Дек-16, (26) –1 Сперва да, а затем у нас БУЗИНЕС, шо вы со своей безопасностью впёрлись до п, Michael Shigorin (ok), 15:28 , 30-Дек-16, (33) Бывает и другой полюс, как в том рассказе про хакера и столовую Когда все ресур, Аноним (-), 01:39 , 01-Янв-17, (70) Засуживают как раз не деграданты, а злоумышленники, находящие уязвимости в юриди, Comdiv (ok), 14:58 , 30-Дек-16, (29) –1 Ознакомься с основами явы, потом уже рот раскрывай , ы (?), 23:48 , 30-Дек-16, (52) +1 Безопасный язык программирования Что дальше Глютенфри микроволновка , Отражение луны (ok), 11:17 , 30-Дек-16, (6) +6 Вот тебе и безопасная Java Вот тебе и безопасный C Вот тебе и безопасный Py, Аноним (-), 11:51 , 30-Дек-16, (12) +1 // Это вряд ли бот -- скорее человек, который купился на тыканье в проблемы вполне, Michael Shigorin (ok), 12:00 , 30-Дек-16, (13) +3 // Можете чуть конкретней рассказать про лукавую рекламу Где её видели, когда и ка, Comdiv (ok), 15:02 , 30-Дек-16, (32) –2 Например, когда играют на предположениях и логичных выводах когда рассказываю, Michael Shigorin (ok), 15:29 , 30-Дек-16, (34) +1 Пример небольшого ошибочного кода int x printf Введите первое число scanf , Аноним (-), 14:22 , 30-Дек-16, (27) –1 // Отсутствие обработки ошибок scanf в частности, кривого ввода , интовое переполн, Crazy Alex (ok), 14:52 , 30-Дек-16, (28) +1 // Слишком большое введённое число - это частный случай обработки ошибок ERANGE h, Аноним (-), 17:15 , 30-Дек-16, (39) +1 Да Что это я, в самом деле Но тогда не представляю, какая там третья ошибка , Crazy Alex (ok), 19:50 , 30-Дек-16, (44) Решил таки проверить - а вот таки есть подвох, не зря мне мерещилось Вот это r , Crazy Alex (ok), 20:11 , 30-Дек-16, (46) Насчёт трёх ошибок Вы правильно определили Да, их всего там было 3 Пропущено д, Аноним (-), 09:34 , 31-Дек-16, (58) Кстати, устанавливать errno в данном случае в 0 было абсолютно бессмысленно, т к, Аноним (-), 09:44 , 31-Дек-16, (60) include stdio h include errno h int main void -- int x, r, err -- printf , Crazy Alex (ok), 18:08 , 31-Дек-16, (65) Да, действительно, прошу прощения, не прочёл документацию до конца, этой функцие, Аноним (-), 19:08 , 31-Дек-16, (66) Но вообще все давно в курсе, что scanf - не идеал ни разу, и обычно лучше примен, Crazy Alex (ok), 14:59 , 30-Дек-16, (31)   // Не идеал, если требуется распарсить строку согласно форматированию, либо если вв, Аноним (-), 17:29 , 30-Дек-16, (40)   Разумеется - читаем в буфер, токенизируем а то и полноценный разбор , потому пр, Crazy Alex (ok), 20:01 , 30-Дек-16, (45)   Вот в этом то и вся суть Об этой особенности мало кто знает Подобные ситуации , Аноним (-), 09:41 , 31-Дек-16, (59) +2   Может, попробовать в рамках http rosettacode org Примеры там уже есть, оста, Michael Shigorin (ok), 14:40 , 31-Дек-16, (61) –1   Я лишь подаю идеи, моего энтузиазма и свободного времени хватает пока только на , Аноним (-), 15:34 , 31-Дек-16, (62)   Интересные советы там даются по написанию кода под Эльбрус Из них можно сделать, Аноним (-), 17:41 , 31-Дек-16, (63)   Ну, понимаешь, либы на бидоне спросом не пользуются Хотя-бы потому что кроме , Аноним (-), 19:13 , 30-Дек-16, (43) –2 // Казалось бы, причем тут бидоны, но кто о чем, а подгорающий о своем, о неоси, Аноним (-), 21:05 , 30-Дек-16, (47) +4 // Предлагаешь на любой чих таскать за собой питон и бороться с его версиями , Crazy Alex (ok), 00:54 , 31-Дек-16, (53) –1 Судя по вашему коменту - вам виднее И все бы это замечательно, но это - не сишна, Аноним (-), 01:43 , 01-Янв-17, (71) –2 То либа на бидоне кроме как из бидона ниоткуда не вызывается, то это вдруг уже н, Аноним (-), 04:47 , 01-Янв-17, (73) +4 Я не знаю как еще понятнее тебе объяснить что сишники такой либой пользоваться, Аноним (-), 14:38 , 01-Янв-17, (74) –1 Видишь ли, о великий знаток всего и вся, не будут и не смогут - две большие , Аноним (-), 16:25 , 01-Янв-17, (75) +1 какая то странная уязвимость , больше похоже на баг , Аноним (-), 11:34 , 30-Дек-16, (8) +2 Круто Как нашли баг , Ящ (ok), 11:41 , 30-Дек-16, (11) // нужно было прятать код - это точно решает все проблемы, Куяврег (?), 12:59 , 30-Дек-16, (17) +4 21, Аноним (-), 13:11 , 30-Дек-16, (20) А libpng, кстати, и этой вашей проприетарной pvs-studio проверяли, и как-то упус, anonimous (?), 13:14 , 30-Дек-16, (21) +7 Когда ждать deb ы для Trusty 14 04 LTS поддержка же вроде бы до 2019 года долж, Аноним (-), 13:08 , 30-Дек-16, (18) На FreeBSD вчера обновили - http www freshports org graphics png , iZEN (ok), 17:10 , 30-Дек-16, (38) –2 // И че В генту тоже вчера , Я. Р. Ош (?), 22:42 , 30-Дек-16, (49) // А где посмотреть список последних обновлений , iZEN (ok), 22:45 , 30-Дек-16, (50) –2 Не поверишь, eix-diff, Черный Властелин (?), 03:40 , 31-Дек-16, (56) 1,2,8,11,18,38,56

Сообщения

[Сортировка по времени | RSS]

	31. "Обновление libpng 1.6.27 с устранением уязвимости"	+/–
	Сообщение от Crazy Alex (ok), 30-Дек-16, 14:59
	Но вообще все давно в курсе, что scanf - не идеал ни разу, и обычно лучше применять отдельное строки и strtoX()
	Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

	40. "Обновление libpng 1.6.27 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 30-Дек-16, 17:29
	> Но вообще все давно в курсе, что scanf - не идеал ни > разу, и обычно лучше применять отдельное строки и strtoX() Не идеал, если требуется распарсить строку согласно форматированию, либо если вводится строка (возможность переполнения, лечащаяся модификатором максимальной длины строки, например, %99s), - но для ввода числа вполне подходит. Для strtoX прийдётся так или иначе реализовывать чтение данных с потока ввода (но уже своими силами), но это мало что даёт. Мало того, при использовании strtoX можно столкнуться с большой проблемой. С одной стороны всё равно нужно анализировать errno на ошибки, а с другой errno выставляется при значении, равном 0. Но откуда мы знаем, что errno в этом случае был выставлен именно нашим вызовом, а а не вызовом из сторонней библиотеки, в код которой мы даже не заглядывали. А может быть он вообще остался в том же значении ещё с прошлого вызова нашей же функции, а пользователь просто ввёл 0. Увы, я уже видел достаточно примером кода, где ошибки игнорируют, используют небезопасные функции, либо используют стиль обработки ошибок lazy (assert по любой ошибке). А основной причиной является стандартизация небезопасных функций, которые просто исторически используются и от которых уже невозможно отказаться без потери обратной совместимности.
	Ответить | Правка | Наверх | Cообщить модератору

	45. "Обновление libpng 1.6.27 с устранением уязвимости"	+/–
	Сообщение от Crazy Alex (ok), 30-Дек-16, 20:01
	Разумеется - читаем в буфер, токенизируем (а то и полноценный разбор), потому преобразования. Ситуации, когда это не нужно - экзотика, в общем-то. Насчёт errno - вообще чушь, простите. Устанавливайте его в 0 непосредственно до вызова функции, проверйте сразу после - и всё отловите.
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Обновление libpng 1.6.27 с устранением уязвимости"	+2 +/–
	Сообщение от Аноним (-), 31-Дек-16, 09:41
	> Насчёт errno - вообще чушь, простите. Устанавливайте его в 0 непосредственно до > вызова функции, проверйте сразу после - и всё отловите. Вот в этом то и вся суть. Об этой особенности мало кто знает. Подобные ситуации и ведут за собой код с ошибками. Поэтому считаю, что необходимо популяризовать подобные примеры ошибочного кода с объяснениями. Т.к. новость про уязвимость в библиотеке на языке Си, с большой вероятностью сюда могут заходить люди знающие язык Си на достаточно хорошем уровне. Возможно, кто-то узнает для себя что-либо полезное.
	Ответить | Правка | Наверх | Cообщить модератору

	61. "Обновление libpng 1.6.27 с устранением уязвимости"	–1 +/–
	Сообщение от Michael Shigorin (ok), 31-Дек-16, 14:40
	> считаю, что необходимо популяризовать подобные примеры ошибочного кода с объяснениями Может, попробовать в рамках http://rosettacode.org ?  Примеры там уже есть, остаётся предложить рубрику контрпримеров. PS: пришлось добавить пробел, автолинкер захватил лишнего. PPS: надо же, читаю тут http://odnako.su/hi-tech/pc-hardware/-483565-obzor-i-sravnit.../ и вижу на перекликающуюся тему: --- Также можно использовать примеры из коллекции SAMATE американского института NIST. ---
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Обновление libpng 1.6.27 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 31-Дек-16, 15:34
	> Может, попробовать в рамках http://rosettacode.org ?  Примеры там уже есть, остаётся предложить рубрику контрпримеров. Я лишь подаю идеи, моего энтузиазма и свободного времени хватает пока только на opensource-разработку. Но по факту все возможные ситуации расписаны на сайте CERT (там не только язык Си).  Любому считающему себя профессиональным программистом CERT обязателен к прочтению. Я мог бы привести примеры посложнее, ответ в которых предсказать правильно смогут немногие. Одну из придуманных задачек давал своим ребятам, никто не смог правильно ответить на результат простого выражения. > PPS: надо же, читаю тут http://odnako.su/hi-tech/pc-hardware/-483565-obzor-i-sravnit.../ и вижу на перекликающуюся тему: Спасибо за ссылку, почитаю на досуге.
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Обновление libpng 1.6.27 с устранением уязвимости"	+/–
	Сообщение от Аноним (-), 31-Дек-16, 17:41
	Интересные советы там даются по написанию кода под Эльбрус. Из них можно сделать вывод, что с приложениями, написанными под x86, будут большие проблемы в производительности. Особенно большие будут по части межкомпьютерного протокольного обмена. Там используются невыровненные типы данных и упакованные структуры. А вот рекомендации по использованию static inline очень удивили. Я привык к обратному, использовать static inline только как замену большим макросам, т.к. упрощает процесс разработки и читабельность кода. В остальном же выгоднее использовать функции, если они часто вызываются, т.к. постоянное использование static inline будет просто напросто забивать будет TLB, из-за чего будет падать производительность.
	Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема