forum.opennet.ru - "Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы" (115)

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"	+/–
Сообщение от opennews (??), 10-Мрт-26, 20:52
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=64957
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну ожидаемо На brainfuck весьма сложно отслеживать логику приложения , Диды (ok), 20:53 , 10-Мрт-26, (2) +15

Если так, почему её использовали , Аноним (19), 21:39 , 10-Мрт-26, (19) +3

Потому что отправлять запросы на аппсервер - грузит аппсервер , Аноним (-), 03:19 , 11-Мрт-26, (66) –1

А на каком легко На Go , Аноним (28), 22:21 , 10-Мрт-26, (28) +3

На том который знаешь С йА , _ (??), 06:00 , 11-Мрт-26, (68) +2

Ну ожидаемо, что Rust хейтят, никак не подтверждая свои слова , Соль земли2 (?), 09:58 , 11-Мрт-26, (79) +1

критический уровень опасности 9 3 из 10 Фреймворк Pingora написан на языке Ru, Аноним (19), 12:25 , 11-Мрт-26, (100) –1

Это мог быть любой язык , Соль земли2 (?), 12:40 , 11-Мрт-26, (107) +1

мог быть любой, но оказался раст , Аноним (19), 15:15 , 11-Мрт-26, (119) +4

А завтра окажется другой язык И чем хуже раст , Соль земли2 (?), 16:29 , 11-Мрт-26, (125) +1

чем он тогда лучше и зачем вообще его использовать просто ещё один язык с агресс, dddd (?), 16:52 , 11-Мрт-26, (128) –1

Неизвестное или рекламируемое - не значит плохое Во всём разбираться надо, всё , Соль земли2 (?), 17:20 , 11-Мрт-26, (131) +1
Если вам нужно объяснять зачем использовать Rust - он вам не нужен Это инструме, Аноним (140), 18:23 , 11-Мрт-26, (140) +1

Но по факту оказался тот, который самый безопасный , Аноним (19), 15:16 , 11-Мрт-26, (120)

Который, внезапно, от алгоритмических ошибок не освобождает , llolik (ok), 14:44 , 11-Мрт-26, (115) +2

ВАм мало алгоритмических ошибок, и вы хотите ещё и ошибки управления памятью , Аноним (121), 15:57 , 11-Мрт-26, (121) +1

Ну, видимо, кто-то хочет Я к тому, что язык и не обязывался избавить от всех на, llolik (ok), 16:53 , 11-Мрт-26, (129) +1

РЕШЕТO 1А если серьезно спецификации содержат настолько большое количество нюа, Аноним (3), 20:53 , 10-Мрт-26, (3) +9

https www opennet ru opennews art shtml num 64574, Аноним (16), 21:23 , 10-Мрт-26, (16) –2
никакой спеки там нет, костыль на костыле, Аноним (34), 22:52 , 10-Мрт-26, (34) +2
Раст даже не близко безопасный язык в отличии от верифицируемых Театр безопасно, Аноним (67), 05:46 , 11-Мрт-26, (67) –1

Зато они смогли продать цирк с первоклассным жупелом - проблемами памяти , Жироватт (ok), 09:29 , 11-Мрт-26, (77) +2

именно, нахер этот раст, если проблемы с памятью это не единственная проблема, а, dddd (?), 16:57 , 11-Мрт-26, (130) –2

А как малоизученная система станет изученной, если её не использовать , Аноним (121), 18:17 , 11-Мрт-26, (138) +1

Реагируют, уже хорошо Хотя сейчас везде так, ПО становится всё сложнее и сложнее, Аноним (16), 21:08 , 10-Мрт-26, (8) –2

А это прям хорошо , Аноним (16), 21:10 , 10-Мрт-26, (9) +1
Так и есть Диды не зря завещали Keep it simple, stupid Но теперь же надо вс, Аноним (12), 21:17 , 10-Мрт-26, (12) +3

И без переписывания за всем не уследишь 1 https opennet ru 62635-kernel 2 ht, Аноним (16), 21:22 , 10-Мрт-26, (15)
А делали Keep it simple-stupid В первом же новом юниксе выcpaли дырень в 50 стро, Аноним (33), 22:41 , 10-Мрт-26, (33) +6
Выкидывай компьютер и бери счёты, живи по заветам дидов , Аноним (121), 10:18 , 11-Мрт-26, (81) –2

haha, classic ц Оказывается, если использовать язык программирования, с котор, Аноним (24), 22:02 , 10-Мрт-26, (24) +6

Обдумавания вроде как не вылезти за пределы буфера , как не сделать дабл-фри , Аноним (28), 22:20 , 10-Мрт-26, (27) +13

Мне кажется ты не разобрался , Аноним (37), 23:06 , 10-Мрт-26, (37) –2

Угу, тебе кажется, ferris (?), 02:44 , 11-Мрт-26, (63) +5

ЧСХ - ему правильно кажется , Аноним (24), 23:30 , 11-Мрт-26, (157) –1

Скрыто модератором, Аноним (-), 12:32 , 11-Мрт-26, (104)

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потр, Аноним (29), 22:25 , 10-Мрт-26, (29) –1

а теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собрал, Аноним83 (?), 23:31 , 10-Мрт-26, (42) +2

Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает, Аноним (29), 00:16 , 11-Мрт-26, (56) –5

Да я вижу как жалкий uv на 350 файлов компилируется минут по 5-10, тогда как que, Аноним83 (?), 04:10 , 12-Мрт-26, (158)

позволяет больше уделять времени другим вещам - интересно, каким таким другим , Аноним (19), 00:19 , 11-Мрт-26, (57) +2

Смузи же, Аноним (72), 08:09 , 11-Мрт-26, (72) +3
Каким, каким Уволят растаджуна заменив на нейрослоп - и вот - уделяй время чему, Аноним (-), 09:29 , 11-Мрт-26, (76)

Что характерно, если использовать язык программирования, где приходится обдумыва, Аноним (40), 23:25 , 10-Мрт-26, (40)
расве растописы думают я так понял что за них всё ИИ делает, Аноним (72), 08:07 , 11-Мрт-26, (71)

Противники божественного Rust а сейчас побегут писать Ага, вот видите, Раст не, Аноним10084 и 1008465039 (?), 23:03 , 10-Мрт-26, (36) +1

Но ведь получилось что растовики облажались, теперь кого то из них жестоко покар, Аноним83 (?), 23:28 , 10-Мрт-26, (41) +1

Конечно Можешь начинать Я буду первый кто захочет это попробовать Но разве вы на, Аноним (46), 23:53 , 10-Мрт-26, (46)

У меня то нет таких проблем с психикой, а для безопасности у меня совсем другие , Аноним83 (?), 04:12 , 12-Мрт-26, (159)

В том-то и дело, что нет Вы, кажется, ничего из моего поста не поняли Если бы , Аноним10084 и 1008465039 (?), 11:17 , 11-Мрт-26, (90) –1

Да да, вы нипанимаете, это другое С , Аноним83 (?), 04:14 , 12-Мрт-26, (160)

Я тебе немного удивлю, но переполнение буфера тоже является следствием логическо, Аноним (151), 21:04 , 11-Мрт-26, (151)

Так и запишем критический уровень опасности на языке Rust предназначен для разр, Tron is Whistling (?), 23:19 , 10-Мрт-26, (38) +1
Это только цветочки Всё, что переписывается на Rust будет обложено бэкдорами и , Аноним (39), 23:19 , 10-Мрт-26, (39) +1

и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно до, 12yoexpert (ok), 23:48 , 10-Мрт-26, (45) +1

Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а, Аноним (28), 23:53 , 10-Мрт-26, (47)

Зависит от компилятора, localhostadmin (ok), 11:23 , 11-Мрт-26, (91)

Покажи мне не игрушечный компилятор на си , Аноним (121), 11:37 , 11-Мрт-26, (92)

GCC Плюсы в него начали тянуть весьма недавно , anonymous (??), 11:46 , 11-Мрт-26, (93)

c 2008, т е почти 20 лет , Аноним (94), 11:53 , 11-Мрт-26, (94)

Ну а расту - уже 20 лет с 2006 , Аноним (19), 12:29 , 11-Мрт-26, (103) +1

https gcc gnu org git p gcc git a blob_plain f gcc config i386 athlon md hb H, анон (?), 12:17 , 11-Мрт-26, (98) +1

Напоминает описаныи жигулей или уаза Несвободной Даже Столлман и FSF признают п, Аноним (46), 23:56 , 10-Мрт-26, (49) –1
С каких это пор Apache стал несвободной лицензией , Аноним (28), 23:59 , 10-Мрт-26, (53) –1

С таких как корпы его зажимать стали под пропреитарными респинами Что элп с сво, Аноним (-), 07:15 , 11-Мрт-26, (70) –1

Разберись в UB с помощью молотка и отвёртки , Аноним (121), 10:23 , 11-Мрт-26, (83)

Люди знают, что в сишном коде есть уязвимости их поток уже более полувека не ос, Аноним (28), 23:58 , 10-Мрт-26, (50)
Я так и не понял, а как собрать rust компилятор из исходников Он везде как бина, Анончик давай выпьем чаю. Анончик выручай. (?), 00:02 , 11-Мрт-26, (55)

https rustc-dev-guide rust-lang org building how-to-build-and-run htmlПервый р, Аноним (29), 00:37 , 11-Мрт-26, (61)
Хрееново справляются Компилится долго - и что хуже всего - новый собирается тол, Аноним (-), 03:18 , 11-Мрт-26, (65)

Эти лицемеры забывают, с какой черепашьей скоростью собираются дырявочно-крестов, Аноним (121), 10:17 , 11-Мрт-26, (80) +1

Ой, какая биполярочка пошла А ничего тот факт, что без одного дырявочно-крес, Аноним (94), 11:56 , 11-Мрт-26, (95)

А вы с темы не съезжайте Крестово-дыряшечные проекты компилируются крайне медле, Аноним (121), 12:26 , 11-Мрт-26, (101)

Я не съезжаю и не отрицаю, что медленно Я акцентировал внимание на том, что ты , Аноним (94), 14:51 , 11-Мрт-26, (116)

Для того, чтобы это утверждать, нужно доказать причнно-следственную связь А то , Аноним (121), 18:22 , 11-Мрт-26, (139)

Падажи, минутку дак ведь это у вас все что написано на сишке - это дырявое ше, Аноним (94), 20:22 , 11-Мрт-26, (148)

Нет смысла говорить о каждом конкретном случае Большинство ненавистников раста , Аноним (121), 21:37 , 11-Мрт-26, (154)

Да не лицермерный лгут тут ты - https www opennet ru opennews art shtml num 61, Аноним (94), 11:59 , 11-Мрт-26, (96)

Спасибо, что подтверждаете мои слова www gnu org software mes Для сборки совреме, Аноним (121), 12:23 , 11-Мрт-26, (99)

И тем не менее - вон тот распоследний пафосный GCC на ура билдится - прям систем, Аноним (-), 12:37 , 11-Мрт-26, (106)

В нормальных дистрибутивах у вас уже будет актуальная версия пакетов Откровенная, Аноним (121), 13:08 , 11-Мрт-26, (109)

Если мне какая-то ср нь начинает диктовать какие дистро юзать и прочие скачайте , Аноним (-), 16:11 , 11-Мрт-26, (122)

Всем пох на твое мнение Ты просто тупоe убойище который заcpaл весь форум своими, Аноним (127), 16:43 , 11-Мрт-26, (127)
Ситуация полностью симметричная Вы, аналогичным образом, диктуете разработчикам, Аноним (121), 18:36 , 11-Мрт-26, (142)

Я конечно понимаю что где-то кого-то линчуют Но вот новую версию тулчейна GCC я, Аноним (-), 12:36 , 11-Мрт-26, (105)

А системная версия компилятора была изначально на ассемблере написана или сразу , Аноним (121), 13:21 , 11-Мрт-26, (112)

Системная версия компилера - традиционно скомпилена сама собой Но на минималках, Аноним (123), 16:19 , 11-Мрт-26, (123)

Вы пошли по кругу Берите актуальны rust хоть из репов арча, в чём проблема Ну б, Аноним (121), 19:03 , 11-Мрт-26, (143)

я не user294, которому вы отвечали, но тут он прости господи, как же тошно и тя, Аноним (94), 20:31 , 11-Мрт-26, (149)

случайно отправил ему по факту нужны только gcc или любой другой C-компилятор, Аноним (94), 20:37 , 11-Мрт-26, (150)
Допустим, в том, что питон не нужен, он прав Но проблема со сборкой промежуточн, Аноним (121), 22:17 , 11-Мрт-26, (155)

Эээээ А кого-то волнуют проблемы гентушников O rly Ну, справляются как-то - , User (??), 06:44 , 11-Мрт-26, (69)

Это только ыксперты местного уровня прочитали безопасен по памяти как абсолют, Аноним (121), 10:22 , 11-Мрт-26, (82) +1

Это вы про сабжа так Нормальные дырки, если у сайта админка есть - можно сайт п, Анним (?), 16:27 , 11-Мрт-26, (124)

Представим на секунду что это не бред Не знаю как кто, а я лично добровольно по, Аноним (108), 12:49 , 11-Мрт-26, (108)
Как ЦРУ начало рекомендовать Rust для безопасности, так сразу стало понятно поче, Аноним (113), 13:23 , 11-Мрт-26, (113) –1

См HTTP 1 1 must die the desync endgame Там сам протокол достаточно плохо сп, Аноним (73), 08:23 , 11-Мрт-26, (73)

В HTTP 2 0 не лучше, только всё не очевидно и более запутанно Потенциальных баг, Аноним (74), 08:56 , 11-Мрт-26, (74)

Как раз бинарный протокол сложнее парсить неоднозначно чем текстовый В текстово, Аноним (-), 09:33 , 11-Мрт-26, (78)

Плюс текстовых протоколов в том, что человек может их читать без специальных инс, Аноним (111), 13:17 , 11-Мрт-26, (111) –1

Не может Возьмите json одной строкой и попробуйте его прочитать Есть Про пробл, Аноним (121), 13:27 , 11-Мрт-26, (114) –1

Раньше я копипастил жсон в одной строке и сидел, энтер жмакал до полной читаемос, Аноним (111), 17:55 , 11-Мрт-26, (136)

И где я это делать должен 1 Снифером мне пофиг что загребать Потом диссектор т, Аноним (-), 16:42 , 11-Мрт-26, (126) +1

По сравнению с QUIC - легко , Аноним (111), 10:36 , 11-Мрт-26, (86)

https opennet ru 55226-quic, Аноним (16), 11:10 , 11-Мрт-26, (87)

Переусложненные корпоративные системы всегда содержат критические проблемы Ника, Аноним (111), 10:34 , 11-Мрт-26, (85) +1

Обычные растерманы Язык же безопасный, зачем думать Точнее, чем думать-то , Аноним (19), 15:14 , 11-Мрт-26, (118) +1

Мне всегда было интересно, зачем в http понапихали такое количество этих Content, Аноним (-), 15:06 , 11-Мрт-26, (117) +1

Так удобно же очень Опять же, если клиент или сервер часть не поддерживают, нич, Аноним (111), 17:53 , 11-Мрт-26, (135) –1

эх, все хейтят раст, и безусловно за дело но смотрите, какую мощную свинью нор, нах. (?), 17:37 , 11-Мрт-26, (132)

а не надо просто пихать всё подряд в стандартную библиотеку, Аноним (72), 17:43 , 11-Мрт-26, (133)

Для современного языка не иметь в стандартной библиотеке типовых хэшей - немного, нах. (?), 17:49 , 11-Мрт-26, (134)

Это хэш-функция для внутреннего использования приложения Эти хэши не предназнач, Аноним (156), 22:57 , 11-Мрт-26, (156)

ни для чего путного вообще Так короче Потому что никогда нельзя угадать, когда , нах. (?), 05:39 , 12-Мрт-26, (161)

Этим разработчикам никто не указ Они сами всем указ , Аноним (156), 21:25 , 11-Мрт-26, (153)

Сообщения [Сортировка по времени | RSS]

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +15 +/–

Сообщение от Диды (ok), 10-Мрт-26, 20:53

Ну ожидаемо.
На brainfuck весьма сложно отслеживать логику приложения.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +3 +/–

Сообщение от Аноним (19), 10-Мрт-26, 21:39

> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений.
Если так, почему её использовали?

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 03:19

> Если так, почему её использовали?
Потому что отправлять запросы на аппсервер - грузит аппсервер?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +3 +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:21

> На brainfuck весьма сложно отслеживать логику приложения.
А на каком легко? На Go?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

68. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от _ (??), 11-Мрт-26, 06:00

На том который знаешь!(С) йА :)

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Соль земли2 (?), 11-Мрт-26, 09:58

Ну ожидаемо, что Rust хейтят, никак не подтверждая свои слова.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

100. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (19), 11-Мрт-26, 12:25

критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Соль земли2 (?), 11-Мрт-26, 12:40

Это мог быть любой язык.

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +4 +/–

Сообщение от Аноним (19), 11-Мрт-26, 15:15

мог быть любой, но оказался раст.

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Соль земли2 (?), 11-Мрт-26, 16:29

А завтра окажется другой язык. И чем хуже раст?

Ответить | Правка | Наверх | Cообщить модератору

128. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от dddd (?), 11-Мрт-26, 16:52

>И чем хуже раст?
чем он тогда лучше и зачем вообще его использовать?
просто ещё один язык с агрессивной рекламой.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Соль земли2 (?), 11-Мрт-26, 17:20

Неизвестное или рекламируемое - не значит плохое. Во всём разбираться надо, всё изучать. Нет, блин, давайте о всей книге по одной букве судить...

Ответить | Правка | Наверх | Cообщить модератору

140. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (140), 11-Мрт-26, 18:23

Если вам нужно объяснять зачем использовать Rust - он вам не нужен. Это инструмент для своих задач. У вас, наверное, таких задач не стоит.

Ответить | Правка | К родителю #128 | Наверх | Cообщить модератору

120. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 15:16

> мог быть любой язык
Но по факту оказался тот, который самый безопасный.

Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

115. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от llolik (ok), 11-Мрт-26, 14:44

> Фреймворк Pingora написан на языке Rust
Который, внезапно, от алгоритмических ошибок не освобождает.

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

121. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (121), 11-Мрт-26, 15:57

ВАм мало алгоритмических ошибок, и вы хотите ещё и ошибки управления памятью?

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от llolik (ok), 11-Мрт-26, 16:53

> ВАм мало алгоритмических ошибок, и вы хотите ещё и ошибки управления памятью?
Ну, видимо, кто-то хочет. Я к тому, что язык и не обязывался избавить от всех на свете видов ошибок. От каких - написано в гарантиях.
От алгоритмических даже искусственный идиот пока справляется так себе. Куда уж компилятору.

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +9 +/–

Сообщение от Аноним (3), 10-Мрт-26, 20:53

РЕШЕТO!!1
А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:23

https://www.opennet.ru/opennews/art.shtml?num=64574

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (34), 10-Мрт-26, 22:52

никакой спеки там нет, костыль на костыле

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

67. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (67), 11-Мрт-26, 05:46

Раст даже не близко безопасный язык в отличии от верифицируемых. Театр безопасности.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

77. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Жироватт (ok), 11-Мрт-26, 09:29

Зато они смогли продать цирк с первоклассным жупелом - "проблемами памяти".

Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от dddd (?), 11-Мрт-26, 16:57

именно, нахер этот раст, если проблемы с памятью это не единственная проблема, а ещё он предлагает на самом деле малоизученную логическую систему, та что про владение, обычная логика множеств такого не предполагает.

Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (121), 11-Мрт-26, 18:17

>а ещё он предлагает на самом деле малоизученную логическую систему, та что про владение
А как малоизученная система станет изученной, если её не использовать?

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:08

>Уязвимости устранены в выпуске Pingora 0.8.0
Реагируют, уже хорошо.
Хотя сейчас везде так, ПО становится всё сложнее и сложнее.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:10

>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей.
А это прям хорошо.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +3 +/–

Сообщение от Аноним (12), 10-Мрт-26, 21:17

> Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:22

И без переписывания за всем не уследишь:
1) https://opennet.ru/62635-kernel
2) https://opennet.ru/64574-bug

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +6 +/–

Сообщение от Аноним (33), 10-Мрт-26, 22:41

> Диды не зря завещали: "Keep it simple, stupid".
А делали Keep it simple-stupid.
В первом же новом юниксе выcpaли дырень в 50 строках.
Как говорится "не мешки ворочать".

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

81. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (121), 11-Мрт-26, 10:18

>Диды не зря завещали: "Keep it simple, stupid"
Выкидывай компьютер и бери счёты, живи по заветам дидов.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +6 +/–

Сообщение от Аноним (24), 10-Мрт-26, 22:02

"haha, classic" (ц)
Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +13 +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:20

> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости.
Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (37), 10-Мрт-26, 23:06

Мне кажется ты не разобрался.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +5 +/–

Сообщение от ferris (?), 11-Мрт-26, 02:44

Угу, тебе кажется

Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (24), 11-Мрт-26, 23:30

ЧСХ - ему правильно кажется.

Ответить | Правка | Наверх | Cообщить модератору

104. Скрыто модератором +/–

Сообщение от Аноним (-), 11-Мрт-26, 12:32

> Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри"
Если у меня сайт скиздили через админку - какая мне нахрен разница, через переполнение буфера это или через подстановку запроса? Вы там с вашей фиксайцией на 1 классе багов - долбанулись. И игнорите остальное. А взамен получаете - вот такие плюхи потом. Что и ожидалось. Так что ваши сказки про безопасность будут ессно булшитом.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (29), 10-Мрт-26, 22:25

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов:
A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы)
B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью
Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

42. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним83 (?), 10-Мрт-26, 23:31

а) теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов.
б) ...и начинает думать о жизни: как с этим всем дальше жить :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –5 +/–

Сообщение от Аноним (29), 11-Мрт-26, 00:16

> теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов.
Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает месяц-два.
"Что бы быстрее собралось" - все способы давно известны, никакой борьбы там нет.
Капец люди, вы сколько-то лет назад где-то что-то в газете прочитали и до сих пор считаете, что что-то знаете о реальном мире по этим сообщениям.
С нуля:
```
...
   Compiling pingora-s2n v0.7.0 (/home/user/p/pingora-0.7.0/pingora-s2n)
   Compiling pingora-boringssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-boringssl)
   Compiling pingora-openssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-openssl)
    Finished `dev` profile [unoptimized + debuginfo] target(s) in 29.24s
```
Это в WSL - с эмуляцией линуксового ядра, хотя в винде оно хорошо и быстро сделано.
При разработке же всё не пересобирается, поэтому время сильно меньше. Кроме того, при разработке (о чём вы разумеется не знаете, как обычно) IDE ошибки сразу подсвечивает, тебе вообще сборку спамить не надо - только если запустить-проверить.
Огромный движок Bevy например инкрементально собирается и запускается менее, чем за 1 секунду.
Осторожно, пригнитесь: можно ушибить голову о реальный мир.

Ответить | Правка | Наверх | Cообщить модератору

158. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним83 (?), 12-Мрт-26, 04:10

Да я вижу как жалкий uv на 350 файлов компилируется минут по 5-10, тогда как quemu на 6500 компилится быстрее.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (19), 11-Мрт-26, 00:19

> критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust
"позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам программисты уделили время.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

72. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +3 +/–

Сообщение от Аноним (72), 11-Мрт-26, 08:09

Смузи же

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 09:29

> "позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам
> программисты уделили время.
Каким, каким. Уволят растаджуна заменив на нейрослоп - и вот - уделяй время чему хочешь. Но бесплатно, увы и ах.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

40. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (40), 10-Мрт-26, 23:25

Что характерно, если использовать язык программирования, где приходится обдумывать каждую строчку, то тоже можно знатно нафакапить.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

71. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (72), 11-Мрт-26, 08:07

расве растописы думают? я так понял что за них всё ИИ делает

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

36. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03

Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним83 (?), 10-Мрт-26, 23:28

Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
Нужно срочно придумать или ещё более защищённый язык где такое будет не возможно или какой ИИ с блокчейном приплести, только бы больше программист не было ни в чём виноват - это не выносимый уровень давления на психику!

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (46), 10-Мрт-26, 23:53

> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
Конечно.
> Нужно срочно придумать или ещё более защищённый язык где такое будет
Можешь начинать.
Я буду первый кто захочет это попробовать.
Но разве вы на такое способны?)

Ответить | Правка | Наверх | Cообщить модератору

159. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним83 (?), 12-Мрт-26, 04:12

У меня то нет таких проблем с психикой, а для безопасности у меня совсем другие средства, не связанные с ЯП :)

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним10084 и 1008465039 (?), 11-Мрт-26, 11:17

> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
В том-то и дело, что нет! Вы, кажется, ничего из моего поста не поняли. Если бы была ошибка с памятью - да, о чем-то таком можно было бы говорить, но ошибка логическая, да и нашли относительно быстро - так что успех внедрения очевиден - ошибки ищутся быстрее и сразу по делу. От логических же ошибок защититься уже труднее, никто и не строил таких иллюзий

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

160. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним83 (?), 12-Мрт-26, 04:14

Да да, "вы нипанимаете, это другое!" (С)

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (151), 11-Мрт-26, 21:04

Я тебе немного удивлю, но переполнение буфера тоже является следствием логической ошибки.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

38. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Tron is Whistling (?), 10-Мрт-26, 23:19

Так и запишем: критический уровень опасности на языке Rust предназначен для разработки защищённых сетевых сервисов.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (39), 10-Мрт-26, 23:19

Это только цветочки. Всё, что переписывается на Rust будет обложено бэкдорами и уязвимостями, которые потом задействует. А люди будут верить, что уязвимостей там нет, ибо Rust. Если надо, они её подтянут очередной версией какого-нибудь crate при сборке. Rust пропихивается теми, кто заинтересован через него распространять бэкдоры.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:48

и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией, к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:53

> чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора
Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а не C++. Удачи тебе там разобраться с C++ при помощи "молотка и отвертки".

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от localhostadmin (ok), 11-Мрт-26, 11:23

Зависит от компилятора

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 11:37

Покажи мне не игрушечный компилятор на си.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от anonymous (??), 11-Мрт-26, 11:46

GCC. Плюсы в него начали тянуть весьма недавно.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 11:53

c 2008, т.е. почти 20 лет.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (19), 11-Мрт-26, 12:29

Ну а расту - уже 20 лет (с 2006)

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от анон (?), 11-Мрт-26, 12:17

> GCC. Плюсы в него начали тянуть весьма недавно.
https://gcc.gnu.org/git/?p=gcc.git;a=blob_plain;f=gcc/config...

;; Copyright (C) 2002-2026 Free Software Foundation, Inc.
;;
;; This file is part of GCC.
...
(define_attr "athlon_decode" "direct,vector,double"
  (cond [(eq_attr "type" "call,imul,idiv,other,multi,fcmov,fpspc,str,pop,leave")
       (const_string "vector")
         (and (eq_attr "type" "push")
              (match_operand 1 "memory_operand"))
       (const_string "vector")
         (and (eq_attr "type" "fmov")
          (and (eq_attr "memory" "load,store")
           (eq_attr "mode" "XF")))
       (const_string "vector")]
    (const_string "direct")))

https://gcc.gnu.org/git/?p=gcc.git;a=blob_plain;f=gcc/match....

/* Match-and-simplify patterns for shared GENERIC and GIMPLE folding.
   This file is consumed by genmatch which produces gimple-match.cc
   and generic-match.cc from it.
...
/* (X ^ Y) ^ (X ^ Z) -> Y ^ Z  */
(simplify
(bit_xor (convert1? (bit_xor:c @0 @1)) (convert2? (bit_xor:c @0 @2)))
(if (tree_nop_conversion_p (type, TREE_TYPE (@1))
      && tree_nop_conversion_p (type, TREE_TYPE (@2)))
  (bit_xor (convert @1) (convert @2))))
/* Convert abs (abs (X)) into abs (X).
   also absu (absu (X)) into absu (X).  */
(simplify
(abs (abs@1 @0))
@1)

Какой, однако, занятный диалект сишкчки!

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

49. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (46), 10-Мрт-26, 23:56

> и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора,
Напоминает описаныи жигулей или уаза)
> а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен
> тулчейн под несвободной лицензией,
Несвободной? Даже Столлман и FSF признают пермиссивные лицензии - лицензией свободного программного обеспечения.
Как раз недавно какая-то баба из FSF комментировала.
Так что тут ты просто обделался.
Впрочем это не удивительно.
> к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис
Конечно, это же не на жаваскипте писать.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

53. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:59

> чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией
С каких это пор Apache стал несвободной лицензией?

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

70. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 07:15

> С каких это пор Apache стал несвободной лицензией?
С таких как корпы его зажимать стали под пропреитарными респинами. Что элп с своим особым уличным Clang. Что вон те wannabe-rust-автомотивщики с пропертарным тулчейном.
И тут оказывается что если вы поинженерить решили - отличный выбор между глюкавой хипстерской ср@нью "скачайте ночнушку" где никто ни за что не отвечает - и мерзкой проприетарной пакостью где корп отпаразитировал на том апаче и - вот вам дескать блобы. С особой, уличной лицензией. Конечно совсем не похожей на апача.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 10:23

>и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки
Разберись в UB с помощью молотка и отвёртки.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

50. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:58

> А люди будут верить, что уязвимостей там нет, ибо Rust.
Люди знают, что в сишном коде есть уязвимости (их поток уже более полувека не останавливается) - и все равно пользуются софтом, на нем написанном. Так с чего ты драму именно про Раст разводишь?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

55. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Анончик давай выпьем чаю. Анончик выручай. (?), 11-Мрт-26, 00:02

Я так и не понял, а как собрать rust компилятор из исходников. Он везде как бинарный пакет распространяется. Как Гентушники с этим справляются?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

61. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (29), 11-Мрт-26, 00:37

https://rustc-dev-guide.rust-lang.org/building/how-to-build-...
Первый результат в поиске. Без регистрации и СМС.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 03:18

> Я так и не понял, а как собрать rust компилятор из исходников. Он везде как
> бинарный пакет распространяется. Как Гентушники с этим справляются?
Хрееново справляются. Компилится долго - и что хуже всего - новый собирается только предыдущей версией. Так что если у вас есть вариант на 10 версий старше - вот и будете всю цепочку из 10 версий собирать. Прикупите пару датацентров заодно под такую развлекуху.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

80. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (121), 11-Мрт-26, 10:17

>Хрееново справляются. Компилится долго
Эти лицемеры забывают, с какой черепашьей скоростью собираются дырявочно-крестовые проекты. Из более менее популярных, мне известны только два языка с быстрой сборкой - голанг и окамл.
>Так что если у вас есть вариант на 10 версий старше - вот и будете всю цепочку из 10 версий собирать.
Опять лицемерные лгуны. Что gcc, что glibc тоже придётся собирать по цепочке. У вас всё равно никогда не получится с помощью условного gcc 2.0 собрать gcc 16.0.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 11:56

> дырявочно-крестовые проекты
Ой, какая биполярочка пошла ))) А ничего тот факт, что без одного дырявочно-крестового проекта бинарь на расте невозможно собрать от слова совсем? :)

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 12:26

А вы с темы не съезжайте. Крестово-дыряшечные проекты компилируются крайне медленно, и вы никак не можете с этим поспорить.

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 14:51

Я не съезжаю и не отрицаю, что медленно. Я акцентировал внимание на том, что ты назвал (завуалировано) LLVM дыряшечно-крестовым. Ну ок, весь софт им собранный получается дыряшечный, в том числе все что написано на расте

Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 18:22

>Ну ок, весь софт им собранный получается дыряшечный
Для того, чтобы это утверждать, нужно доказать причнно-следственную связь. А то получится, что отпиливая рога коровам, вы пытаетесь вывести корову без рогов.

Ответить | Правка | Наверх | Cообщить модератору

148. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 20:22

Падажи, минутку... дак ведь это у вас все что написано на сишке - это дырявое шерето by default, не? И что-то вы не торопитесь доказывать это утверждение на каждом конкретном случае. Ну дак это работает в обе стороны - назвал С++ дыряшечно-плюсовым - ну и получается, что раст его использующий тоже дыряшечно-плюсовый. Все логично же.

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 21:37

>И что-то вы не торопитесь доказывать это утверждение на каждом конкретном случае.
Нет смысла говорить о каждом конкретном случае. Большинство ненавистников раста почему-то не оствечивают в темах посвящённых очередному выходу за границы буфера. Зато в теме посвящённой расту, они хвастаются о скорости компиляции.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 11:59

Да не лицермерный лгут тут ты - https://www.opennet.ru/opennews/art.shtml?num=61501

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

99. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 12:23

Спасибо, что подтверждаете мои слова.
www.gnu.org/software/mes/
>Using this bootstrappable-tcc and the Mes C library we can build an ancient version of the GNU tools triplet: glibc-2.2.5, binutils-2.20.1, gcc-2.95.3.
Для сборки современного gcc вам внезапно понадобится компилятор крестов, сверх компилятора си, и крайне желательно - именно gcc, поскольку тем же llvm-ом может банально не собраться.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 12:37

> Для сборки современного gcc вам внезапно понадобится компилятор крестов,
И тем не менее - вон тот распоследний пафосный GCC на ура билдится - прям системным. Без кача ночнушек с васянсайтов, ребилдов цати тулчейнов с сорца и проч. Такая небольшая разница.
Так что растовский тулчейн для лично меня - просто враждебная конструкция с максимально голимыми полисями девелопа.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 13:08

>И тем не менее - вон тот распоследний пафосный GCC на ура билдится - прям системным.
В нормальных дистрибутивах у вас уже будет актуальная версия пакетов.
>Без кача ночнушек с васянсайтов
Откровенная манипуляция
>ребилдов цати тулчейнов с сорца и проч
Слинкуйте новый clang со старым llvm, тогда поговорим.

Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 16:11

> В нормальных дистрибутивах у вас уже будет актуальная версия пакетов.
Если мне какая-то ср@нь начинает диктовать какие дистро юзать и прочие скачайте ночнушку - я считаю ее полися девелопа - "куча м...цких хипстеров" взамен. Как еще понятнее объяснить этот простой факт?
>>Без кача ночнушек с васянсайтов
> Откровенная манипуляция
Что значит - манипуляция? Я не сильно рвусь делать curl | sh с каких-то левых сайтов "безопасТников". И какие там еще rustup - это не мой пакетный манагер и создает в системе untracked мусор. Который я в гробу видал.
>>ребилдов цати тулчейнов с сорца и проч
> Слинкуйте новый clang со старым llvm, тогда поговорим.
Я лучше GCC скомпилю. Ибо clang это еще один образчик переросточного корпоративного булшита. Фокус в том что Rust без него - недееспособен. Так что и эта боль тоже приплюсуется в общую картинку. Там конечно есть cranelift, но это из разряда идей заменить firefox или chromium - servo.

Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (127), 11-Мрт-26, 16:43

> я считаю ее полися
Всем пох на твое мнение.
> взамен. Как еще понятнее объяснить этот простой факт?
Ты просто тупоe убойище который заcpaл весь форум своими дегенеpaтивными выcepaми.
> Я лучше GCC скомпилю.
Да хоть в окно выйди, вонять станет меньше.
> Ибо clang это еще один образчик переросточного корпоративного  булшита.
Без подобного "корпоративного булшита" ты бы сейчас лаптем щи хлебал.
> Фокус в том что Rust без него - недееспособен.
Фокус в том что у тебя знаний как у горлопана птушника.

> Там конечно есть cranelift,
Ого! Животинка смогла почитать про cranelift?!! Ничосе.
Может ты еще про Edition сможешь осилить?

Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 18:36

>Если мне какая-то ср@нь начинает диктовать какие дистро юзать
Ситуация полностью симметричная. Вы, аналогичным образом, диктуете разработчикам, которые в отличии от вас пишут код, какие версии скачивать, а какие - нет.
>прочие скачайте ночнушку
Это откровенная манипуляция. Ночная версия нужна для малого количества проектов.
>Я не сильно рвусь делать curl | sh с каких-то левых сайтов "безопасТников".
Вы хвастаетесь своим религиозным фанатизмом. Во-первых, никто не мешает вам скачать скрипт и прочитать. Во-вторых, никто не мешает вам собрать свой компилятор, начиная с самой первой версии, ещё с того времени, когда он не собирал сам себя.
>это не мой пакетный манагер и создает в системе untracked мусор
Так возьмите и поставте себе nix или guix. В чём проблема? Вы опять из-за своего религиозного фанатизма создаёте себе проблему.
>Я лучше GCC скомпилю.
Нет никакого "лучше", gcc тоже собирается медленно, не говоря уже про то, что сишные компиляторы не очень совместимы друг с другом. Нет никакой разницы, что ждать - rust или gcc.

Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору

105. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 12:36

> Эти лицемеры забывают, с какой черепашьей скоростью собираются дырявочно-крестовые проекты.
Я конечно понимаю что где-то кого-то линчуют. Но вот новую версию тулчейна GCC я могу отстроить себе - прямо системной версией компилера. С той конфигурацией которую я хотел, под те архитектуры что мне надо - и БЕЗ вон того ацкого кластерфака!
И конечно это не идет ни в какое сравнение с ребилдом цати растовых тулчейнов по цепочке. А если еще и LLVM взять - без которого раст бесполезен чуть менее чем полностью, окажется что и крестовые проекты надо заодно компилять. Потому что без них - там только какие-то servo, cranelift и прочее - что даже забесплатно никто юзать не хочет.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

112. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 13:21

>Но вот новую версию тулчейна GCC я могу отстроить себе - прямо системной версией компилера.
А системная версия компилятора была изначально на ассемблере написана или сразу же в виде двоичного кода шла?
>И конечно это не идет ни в какое сравнение с ребилдом цати растовых тулчейнов по цепочке.
Вы опять лжёте. Возьмите ту же генту, без бинарного кеша, хотя-бы десятилетней давности, и соберите актуальную версию. Вам придётся собираеть не только gcc, но и кучу обвязки вроде python-а.
>А если еще и LLVM взять - без которого раст бесполезен чуть менее чем полностью
У вас есть абсолютно такой же clang.
>окажется что и крестовые проекты надо заодно компилять
Какая наглая ложь. Что gcc, что clang требуют сборки крестовых проектов.

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (123), 11-Мрт-26, 16:19

> А системная версия компилятора была изначально на ассемблере написана или сразу же
> в виде двоичного кода шла?
Системная версия компилера - традиционно скомпилена сама собой. Но на минималках она собирается куда более обкоцаными и древними компилерами. Потому что там девы не такие сказочные ... раздолбаи. И, соответственно, бутстрап или catch up намного проще и менее затратный. А в rust это все максимально через ректум. Удобно - хипстерам в расте. Остальные - и...сь как хотите. Не есть удачная полися или дружественный апстрим имхо.
> Вы опять лжёте. Возьмите ту же генту, без бинарного кеша, хотя-бы десятилетней
> давности, и соберите актуальную версию. Вам придётся собираеть не только gcc,
> но и кучу обвязки вроде python-а.
Для gcc нафиг не упал никакой питон. Я так то порой билдую себе тулчейны gcc под всякие ст ранные платформы.
Это подъемная задача. Все работает прям с системным тулчейном, перекомпиливать 20 версий не надо. Куда более дружелюбный workflow для меня. Ну а вы можете это делать с rust+LLVM если хотите. А я не настолько мазохист и считаю сие полным BS.
>>А если еще и LLVM взять - без которого раст бесполезен чуть менее чем полностью
> У вас есть абсолютно такой же clang.
Я не пользуюсь clang. Я пользуюсь gcc. И там все радикально проще.
>>окажется что и крестовые проекты надо заодно компилять
> Какая наглая ложь. Что gcc, что clang требуют сборки крестовых проектов.
В смысле - ложь? Rust не есть самодостаточный, ему еще во какая плюсота нужна. Так что - боль не только с сборкой раста. Но и LLVM энтерпрайз переростка.
А у нас можно - gcc собрать. Моим системным тулчейном. В примерно 20 раз меньше траха чем с всем этим вашим корпоративным булшитом от хипстеров и индусов.

Ответить | Правка | Наверх | Cообщить модератору

143. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 19:03

>Системная версия компилера - традиционно скомпилена сама собой.
Вы пошли по кругу. Берите актуальны rust хоть из репов арча, в чём проблема?
>Но на минималках она собирается куда более обкоцаными и древними компилерами.
Ну будет у вас пересборка не каждый релиз, а каждый второй, что дальше? У вас всё равно не будет возможности прыгать через десятки версий.
>И, соответственно, бутстрап или catch up намного проще и менее затратный.
Вы забыли привести доказательства.
>Для gcc нафиг не упал никакой питон.
Лгать не надо. https://archlinux.org/packages/core/x86_64/gcc/
>Dependencies (23)
>python (make)
Вы возьмите условную ubuntu 4.10, и собирите под неё последнюю версию gcc.
>Это подъемная задача.
Вы не компилируете gcc с нуля до последнего релиза, не вам рассуждать о подъёмности.
>Все работает прям с системным тулчейном
Вы берёте бинарный кеш с gcc и рассказываете, как у вас всё работает, в упор не замечая того факта, что если компилировать из исходников, то компиляция gcc будет не то чтобы быстрой.
>перекомпиливать 20 версий не надо.
А зачем вы их перекомпилиуете? Собрали один раз rust, и используйте. Выйдет новая версия - соберёте новую.
>Я пользуюсь gcc. И там все радикально проще.
Покажите мне фронтенд для gcc, вроде rust-а, чтобы утверждать подобное. При этом, фронтенд должен переживать обновления между релизами gcc.
>В смысле - ложь? Rust не есть самодостаточный
Вы придумываете новые аргументы по ходу спора. Что gcc, что rust зависят от крестовых проектов. Вопрос самодостаточности к теме обсуждения вообще не имеет никакого отношения.
>Так что - боль не только с сборкой раста. Но и LLVM энтерпрайз переростка.
Кажется вас посетила умная мысль - проблема в пересборке llvm. А llvm это уже не rust.
>А у нас можно - gcc собрать.
Ну и что дальше? Вам сказали "gcc долго собирается", а вы в ответ "нет, он собирается компилятором из дистрибутива". Как то, что "rust собирается компилятором из дистрибутива" отменяет тот факт, что "gcc долго собирается"?
>Моим системным тулчейном
Какая разница? После того, как вы собрали компилятор, уже не важно, шёл он с системой или без системы.

Ответить | Правка | Наверх | Cообщить модератору

149. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 20:31

>>Для gcc нафиг не упал никакой питон.
>Лгать не надо. https://archlinux.org/packages/core/x86_64/gcc/
>Dependencies (23)
>python (make)
я не user294, которому вы отвечали, но тут он (прости господи, как же тошно и тяжело это сказать) прав. Это какой-то прикол archlinux'а запихнуть туда зачем-то python.
Вот пример, который вы можете сами проверить - скачайте исошник NetBSD, установите его, проверьте что в чистой установленной системе нет никаких питонов. Затем склонируйте себе /usr/src и выполните полную сборку мира - все соберется, включая gcc14, без всяких питонов.

Ответить | Правка | Наверх | Cообщить модератору

150. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 20:37

случайно отправил...
ему по факту нужны только gcc (или любой другой C-компилятор, говорят даже tinyCC подойдет), binutils (а точнее ld и as), libgmp, libmpfr, make, flex/bison. Возможно еще какая-нить математическая сишная либа, но точно не питон.

Ответить | Правка | Наверх | Cообщить модератору

155. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (121), 11-Мрт-26, 22:17

>но тут он (прости господи, как же тошно и тяжело это сказать) прав
Допустим, в том, что питон не нужен, он прав. Но проблема со сборкой промежуточных версий gcc от этого всё равно никуда не исчезает.

Ответить | Правка | К родителю #149 | Наверх | Cообщить модератору

69. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от User (??), 11-Мрт-26, 06:44

Эээээ... А кого-то волнуют проблемы гентушников? O'rly?
Ну, справляются как-то - им не привыкать: "ради этого всё и затевалось!"

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

82. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (121), 11-Мрт-26, 10:22

>А люди будут верить, что уязвимостей там нет
Это только ыксперты местного уровня прочитали "безопасен по памяти" как "абсолютно безопасен".
>кто заинтересован через него распространять бэкдоры.
То ли дело дыряшечные проекты.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

124. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Анним (?), 11-Мрт-26, 16:27

>>кто заинтересован через него распространять бэкдоры.
> То ли дело дыряшечные проекты.
Это вы про сабжа так? Нормальные дырки, если у сайта админка есть - можно сайт перехватить от и до. БезопасТненько, чего уж.

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (108), 11-Мрт-26, 12:49

Представим на секунду что это не бред. Не знаю как кто, а я лично добровольно поставлю себе любые бэкдоры, и пожертвую любой безопасностью, чтобы писать на нормальном языке.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

113. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (113), 11-Мрт-26, 13:23

Как ЦРУ начало рекомендовать Rust для безопасности, так сразу стало понятно почему все переписывают на него. Убогий синтаксис (на уровне C++23), количество и размер зависимостей которому позавидует JS, ну и вложенные наследования, с которыми программа уже не blazingly fast, но без которого компилятор будет ругаться.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

73. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (73), 11-Мрт-26, 08:23

См. "HTTP/1.1 must die: the desync endgame".
Там сам протокол достаточно плохо спроектирован, что написать обработку всех случаев достаточно сложно.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (74), 11-Мрт-26, 08:56

В HTTP/2.0 не лучше, только всё не очевидно и более запутанно. Потенциальных багов из-за бинарного протокола там может быть ещё больше.
https://opennet.ru/63726-http2
https://opennet.ru/60924-http2
https://opennet.ru/59901-ddos

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 09:33

> В HTTP/2.0 не лучше, только всё не очевидно и более запутанно. Потенциальных
> багов из-за бинарного протокола там может быть ещё больше.
Как раз бинарный протокол сложнее парсить неоднозначно чем текстовый. В текстовом много что может пойти не так. И переводы строк, и регистры и их смесь, и всяие символы заковыристые. А суммарно фронт и бэк десинхрится и совершенно левый запрос васяна подшивается к чужому запросу, например, вообще админа сайта. И вот якобы-админ уже якобы-что-то там запросил. Хорошо быть админом. Особенно - чужого сайта, нахалвяу то.
В бинарном протоколе - этих классов багов просто нет. Как категории.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (111), 11-Мрт-26, 13:17

Плюс текстовых протоколов в том, что человек может их читать без специальных инструментов и нет проблем с пониманием. Меньше вероятность что-то критически пропустить при разработке и отладке.
>И переводы строк, и регистры и их смесь, и всяие символы заковыристые.
В бинарных протоколах есть \0 и целый букет проблем вокруг расчета отступов.

Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (121), 11-Мрт-26, 13:27

>что человек может их читать без специальных инструментов
Не может. Возьмите json одной строкой и попробуйте его прочитать.
>и нет проблем с пониманием
Есть. Про проблему Норвегии в yaml не слышали?

Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (111), 11-Мрт-26, 17:55

Раньше я копипастил жсон в одной строке и сидел, энтер жмакал до полной читаемости. Сейчас jq. JSON - это так, легкая обфускация.

Ответить | Правка | Наверх | Cообщить модератору

126. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 16:42

> Плюс текстовых протоколов в том, что человек может их читать без специальных инструментов
И где я это делать должен?
1) Снифером мне пофиг что загребать. Потом диссектор типа wireshark все равно сжует и то и се.
2) В браузере в консоли один фиг запрос разобран, какая мне разница.
А вот парсинг текста в HTTP - это такой сильно отдельный квест. Настолько отдельный что секурно написать вебсервер и тем более HTTP прокси - это черная магия с более 9000 вариантов как простелить себе пятку максимально неочевидными способами. Особенно учитывая что ряд софта довольно вольно трактует спеки, абузя тот факт что это текст.
На память об это существует целый класс атак HTTP Request Smuggling и куча его деривативов. Когда на разнице в понимании протокола - видение фронта и бэка расходится, и вот уже запрос атакующего... чтоооо?! Подшит к запросу админа сайта? И отрабатывается как якобы запрос от якобы админа?! И теперь этот васян тоже - админ, типа? И это якобы я сам ему правов отсыпал? Ох, вау! И не - парсинг, понимание этих моментов, и mitigation - точно не проще. А без этого - будут жесткие угоны сайтов и проч. Потому что request smuggling. Бич HTTP 1.x.
> и нет проблем с пониманием. Меньше вероятность что-то критически пропустить
> при разработке и отладке.
Как показала практика в виде 100500 диалектов HTTP Request Smuggling - да хрен там! И да, это очень крутая дыра: в сайтах с админками сие запросто ведет к выполнению административных команд левыми юзерями. И вот васян - вписывается админом, фигачит от других юзерей, или что там еще. Т.е. можно получить - полный угон сайта. Поэтому и CVE score вот такой.
>>И переводы строк, и регистры и их смесь, и всяие символы заковыристые.
> В бинарных протоколах есть \0
В бинарных протоколах 0x0 всего лишь 1 из возможных значений байта, болшая часть уровней на него вообще как-то специально реагировать не обязаны. А в текстовом протоколе - который удумывают рюхать как текст, часто встречаются факапы типа игнора кейса или юзежа смеси оного, разной трактовки CRLF, пустых хидеров при этом всем и проч, даже если что-то и out of spec. А когда у фронта и бэка раъезжается это понимание - добро пожаловать в HTTP Request Smuggling...
> и целый букет проблем вокруг расчета отступов.
Чокаво?

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

86. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (111), 11-Мрт-26, 10:36

>Там сам протокол достаточно плохо спроектирован
По сравнению с QUIC - легко.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

87. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 11-Мрт-26, 11:10

https://opennet.ru/55226-quic

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (111), 11-Мрт-26, 10:34

Переусложненные корпоративные системы всегда содержат критические проблемы. Никаких исключений.
> В этой ситуации Pingora не учитывал размер в заголовке "Content-Length", а считал телом запроса все данные, полученные до закрытия соединения.
Позор.
>Pingora перенаправлял все полученные данные как один запрос, а бэкенд, например, Node.js, вычислял запрос на основе "Transfer-Encoding: chunked" и оставшийся хвост обрабатывал как начало другого запроса.
Попривыкли, что можно аппсервер за nginx убрать и не париться. Ну вот отвыкайте теперь.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (19), 11-Мрт-26, 15:14

Обычные растерманы. Язык же безопасный, зачем думать. Точнее, чем думать-то.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 15:06

Мне всегда было интересно, зачем в http понапихали такое количество этих Content-Encoding? Существующие в параллельном мире Content-Length и read-to-end я ещё могу понять, хотели как проще, но получилось так себе. Но зачем было плодить Content-Encoding'ов столько?

Ответить | Правка | Наверх | Cообщить модератору

135. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (111), 11-Мрт-26, 17:53

Так удобно же очень. Опять же, если клиент или сервер часть не поддерживают, ничего страшного.
>Content-Length и read-to-end я ещё могу понять
А я не могу понять. Это ламоразм.

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от нах. (?), 11-Мрт-26, 17:37

эх, все хейтят раст, и безусловно за дело...
но смотрите, какую мощную свинью норкоманы авторы с++ всем подложили:
“Hash functions are only required to produce the same result for the same input within a single execution of a program; this allows salted hashes that prevent collision denial-of-service attacks.” — cppreference.com
(и да - нашла мне эту прелессссть sonnet, в погоне за мерзким багом в когда-то популярном в определенных кругах софте)
А, да - разумеется нет ни одной реально существующей реализации, где реально бы prevent collision attacks. Ноль их.
Зато с same result отлично вышло - std::hash дает разный на разных компиляторах и даже на разных битностях одного и того же.
Т.е. в стандартной библиотеке одобренно стандартом вычислять хэшфункции непредсказуемым образом. (причем никаких других "более стандартных" в ней, упс, нету)

Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (72), 11-Мрт-26, 17:43

а не надо просто пихать всё подряд в стандартную библиотеку

Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от нах. (?), 11-Мрт-26, 17:49

Для современного языка не иметь в стандартной библиотеке типовых хэшей - немного странно.  Так и получаются лефтпады.
Но вот запихать вместо них вычислялку хэша с непредсказуемым результатом - это надо было удумать.
(и да, нашлись те кто использовал эту чушь для контроля целостности данных)

Ответить | Правка | Наверх | Cообщить модератору

156. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (156), 11-Мрт-26, 22:57

Это хэш-функция для внутреннего использования приложения. Эти хэши не предназначены для обработки/проверки другими средствами. Средства для работы с внешними хэшами являются законченным продуктом, который проверяется на многих платформах.

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

161. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от нах. (?), 12-Мрт-26, 05:39

> Это хэш-функция для внутреннего использования приложения. Эти хэши не предназначены
ни для чего путного вообще.
Так короче. Потому что никогда нельзя угадать, когда тебе понадобится зачем-то сохранить или передать кому-то внутреннее состояние чего-то - даже если изначально тебя устраивал одноразовый хэш.
И вот какого дерьма надо было выкурить или употребить по вене чтобы такую опасную и никому ненужную глупость запихать в стандарт вместо создания нормальной библиотеки с нормальными хэшами? (самое смешное что у msvc - нормальный, например)

Ответить | Правка | Наверх | Cообщить модератору

153. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (156), 11-Мрт-26, 21:25

>а бэкенд, например, Node.js, вычислял запрос на основе "Transfer-Encoding: chunked"
Этим разработчикам никто не указ. Они сами всем указ.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+15 +/–
Сообщение от Диды (ok), 10-Мрт-26, 20:53
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+3 +/–
	Сообщение от Аноним (19), 10-Мрт-26, 21:39
	> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. Если так, почему её использовали?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (-), 11-Мрт-26, 03:19
	> Если так, почему её использовали? Потому что отправлять запросы на аппсервер - грузит аппсервер?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+3 +/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:21
	> На brainfuck весьма сложно отслеживать логику приложения. А на каком легко? На Go?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	68. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от _ (??), 11-Мрт-26, 06:00
	На том который знаешь!(С) йА :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Соль земли2 (?), 11-Мрт-26, 09:58
	Ну ожидаемо, что Rust хейтят, никак не подтверждая свои слова.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	100. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (19), 11-Мрт-26, 12:25
	критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust
	Ответить \| Правка \| Наверх \| Cообщить модератору


	107. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Соль земли2 (?), 11-Мрт-26, 12:40
	Это мог быть любой язык.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	119. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+4 +/–
	Сообщение от Аноним (19), 11-Мрт-26, 15:15
	мог быть любой, но оказался раст.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	125. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Соль земли2 (?), 11-Мрт-26, 16:29
	А завтра окажется другой язык. И чем хуже раст?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	128. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от dddd (?), 11-Мрт-26, 16:52
	>И чем хуже раст? чем он тогда лучше и зачем вообще его использовать? просто ещё один язык с агрессивной рекламой.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	131. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Соль земли2 (?), 11-Мрт-26, 17:20
	Неизвестное или рекламируемое - не значит плохое. Во всём разбираться надо, всё изучать. Нет, блин, давайте о всей книге по одной букве судить...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	140. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (140), 11-Мрт-26, 18:23
	Если вам нужно объяснять зачем использовать Rust - он вам не нужен. Это инструмент для своих задач. У вас, наверное, таких задач не стоит.
	Ответить \| Правка \| К родителю #128 \| Наверх \| Cообщить модератору


	120. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (19), 11-Мрт-26, 15:16
	> мог быть любой язык Но по факту оказался тот, который самый безопасный.
	Ответить \| Правка \| К родителю #107 \| Наверх \| Cообщить модератору


	115. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от llolik (ok), 11-Мрт-26, 14:44
	> Фреймворк Pingora написан на языке Rust Который, внезапно, от алгоритмических ошибок не освобождает.
	Ответить \| Правка \| К родителю #100 \| Наверх \| Cообщить модератору


	121. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (121), 11-Мрт-26, 15:57
	ВАм мало алгоритмических ошибок, и вы хотите ещё и ошибки управления памятью?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	129. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от llolik (ok), 11-Мрт-26, 16:53
	> ВАм мало алгоритмических ошибок, и вы хотите ещё и ошибки управления памятью? Ну, видимо, кто-то хочет. Я к тому, что язык и не обязывался избавить от всех на свете видов ошибок. От каких - написано в гарантиях. От алгоритмических даже искусственный идиот пока справляется так себе. Куда уж компилятору.
	Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+9 +/–
Сообщение от Аноним (3), 10-Мрт-26, 20:53
РЕШЕТO!!1 А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:23
	https://www.opennet.ru/opennews/art.shtml?num=64574
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним (34), 10-Мрт-26, 22:52
	никакой спеки там нет, костыль на костыле
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	67. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (67), 11-Мрт-26, 05:46
	Раст даже не близко безопасный язык в отличии от верифицируемых. Театр безопасности.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	77. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Жироватт (ok), 11-Мрт-26, 09:29
	Зато они смогли продать цирк с первоклассным жупелом - "проблемами памяти".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	130. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от dddd (?), 11-Мрт-26, 16:57
	именно, нахер этот раст, если проблемы с памятью это не единственная проблема, а ещё он предлагает на самом деле малоизученную логическую систему, та что про владение, обычная логика множеств такого не предполагает.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	138. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (121), 11-Мрт-26, 18:17
	>а ещё он предлагает на самом деле малоизученную логическую систему, та что про владение А как малоизученная система станет изученной, если её не использовать?
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
Сообщение от Аноним (16), 10-Мрт-26, 21:08
>Уязвимости устранены в выпуске Pingora 0.8.0 Реагируют, уже хорошо. Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:10
	>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. А это прям хорошо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+3 +/–
	Сообщение от Аноним (12), 10-Мрт-26, 21:17
	> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:22
	И без переписывания за всем не уследишь: 1) https://opennet.ru/62635-kernel 2) https://opennet.ru/64574-bug
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+6 +/–
	Сообщение от Аноним (33), 10-Мрт-26, 22:41
	> Диды не зря завещали: "Keep it simple, stupid". А делали Keep it simple-stupid. В первом же новом юниксе выcpaли дырень в 50 строках. Как говорится "не мешки ворочать".
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	81. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (121), 11-Мрт-26, 10:18
	>Диды не зря завещали: "Keep it simple, stupid" Выкидывай компьютер и бери счёты, живи по заветам дидов.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору