| |
| |
| 3.9, Аноним (2), 12:22, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +6 +/– |
Угроза в безопасности как юзеру. Или ща скажете что нефиг юзать Гном? Ну так далеко не только в нем это ископаемое используют.
| | |
|
| 2.22, xsignal (ok), 13:04, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| –4 +/– |
 > Вся суть сишки
Недавно был пост про Erlang - там тоже до CVE докодились, так что дело не в языке, а в общем снижении уровня разработчиков. Просто в Си это сразу вылезает наружу - если человек пишет левой ногой, то начинает ляпать ошибки при работе с памятью. А какой-нибудь безопасный язык с защитой от дурака не даёт ему наляпать глупых ошибок, но так так он продолжает писать левой ногой или просто у него низкая квалификация, то логические ошибки никуда не деваются, просто их сложнее становится обнаружить.
| | |
| |
| |
| 4.24, xsignal (ok), 13:19, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Си - один из самых изученных, стандартизированных и предсказуемых языков. По коду на Си даже примерно понятно, как это будет выглядеть в ассемблере, так что не надо "ля-ля".
| | |
| |
| 5.28, Аноним (23), 13:43, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –2 +/– | |
> так что не надо "ля-ля"
Как же так вышло, что на самом предсказуемом в мире язычке - Сишке, очень очень много CVE. Предсказуемый язычок не может работать с памятью так, как работает Сишка.
| | |
| |
| 6.34, Аноним (34), 14:18, 21/04/2025 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +4 +/– | |
> Предсказуемый язычок не может работать с памятью так, как работает Сишка.
так не язык работает с памятью, а человек, язык тебе дает возможность что угодно делать с этой памятью. Сам человек ставит границы массиву и сам же он выходит за его границы, в чем проблема языка? в том, что он не бьет человека по рукам? А бьет русский язык по морде за "мат"-ы? И "блаблаблабла" не запрещает говорить.
| | |
| |
| 7.35, Аноним (23), 14:22, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Получается, в мире нет ни одного программиста сишника, который пишет код без CVE. Неделю назад была новость, даже перловый дед добавил в сишке CVE. Получается, этот язык настолько совершенный, что для него нет качественных программистов!
| | |
|
|
| 5.127, Аноним (127), 19:44, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
> предсказуемых языков
int arr[3] = {0, 1, 2};
return arr[4];
Предскажи возвращаемое значеие, предсказатель (inb4 НАСТОЯЩИЕ сишники так не делают). Что на счёт этого:
int a, b;
a = 2;
b = a + ++a + ++a;
Чему равно b? Опять НАСТОЯЩЕМУ сишнику?
| | |
| |
| 6.134, xsignal (ok), 20:51, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Подтверждаешь мной написанное - все скользкие места Си, в том числе приведённые тобой, хорошо известны,пишите простой,прозрачный и понятный код, без всяких заумных извратов - и будет вам счастье!
| | |
|
|
| 4.79, Аноним (79), 16:14, 21/04/2025 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
>Сишка - язычок стандарт по undefined behavior. И никакими сравнениями ты её не улучшишь.
О, теперь я понял, каким образом Rust улучшили по сравнению с другими языками. Его просто сравнивали со всеми другими!
| | |
|
| 3.30, Аноним (62), 13:45, 21/04/2025 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
>в Си это сразу вылезает наружу
>безопасный язык с защитой от дурака не даёт наляпать глупых ошибок,
>но логические ошибки никуда не деваются
>просто их сложнее становится обнаружить.
Вот это умственная акробатика, браво! БРА-ВО!
| | |
|
| |
| 3.53, Аноним (23), 15:16, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
На сишке можно писать без CVE, но тогда придётся каждый указатель перед обращением проверять 20 раз на предмет всяких недопустимых значений, что в итоге скорость написания будет во много раз ниже, и приложуха на сишке станет медленнее, чем на Расте. Правильно, сишники что сэкономить такты проца, пишут CVE и им норм, иначе скорость сишки пользовать не получится.
| | |
| |
| 4.66, xsignal (ok), 15:47, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
Надо писать так, чтобы указатель не принимал недопустимых значений, тогда и проверять не придётся. И хорошие программы именно так написаны и работают десятилетиями без всяких сбоев.
| | |
| |
| |
| 6.94, Аноним (34), 17:07, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> "просто писать без ошибок"
а просто Х забить на ошибки почему вас не устраивает как вариант? почему надо кричать, что язык плохой?
> Как же раньше-то никто не догадался.
Вот "делай хорошо, чтобы было хорошо".
| | |
| 6.105, xsignal (ok), 17:39, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Да, так и надо - всё гениальное просто, как и сам Си. Это как вождение автомобиля - нужно водить хорошо, а не водить плохо, не нужно делать ошибок - а то попадёшь в ДТП! Или автомобили - это тоже "дыряшки", потому что позволяют выезд на встречку? Срочно переходим на трамваи?))
| | |
| |
| 7.110, Аноним (34), 18:12, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Срочно переходим на трамваи?))
нет же, зачем руль вообще поворачивается, надо его из машины удалить, чтобы был трамвай-вай-вай-вай. :))
| | |
| 7.142, Аноним (142), 23:52, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
> Или автомобили - это тоже "дыряшки", потому что позволяют выезд на встречку? Срочно переходим на трамваи?))
Вообще-то да, именно так. Просто мы настолько привыкли к автомобилям, что не осознаём, насколько они опасны. С сишечкой, впрочем, так же.
| | |
|
|
|
|
|
|
| 1.12, Аноним (12), 12:28, 21/04/2025 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +3 +/– |
А я помню, как её в зависимости гимпа пропихивали (казалось бы, где сабж, и где гимп). А всё очень просто, гипм -- одна из популярных программ, и в популярных программах должны быть уязвимые забагованные зависимости. Это делается вполне осознанно, просто начните записывать имена и фамилии. Разработчиков не так и много, для каждого реально составить профиль "достижений".
| | |
| |
| 2.13, анон (?), 12:33, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +3 +/– |
ну так провел бы аналитику, опубликовал (даже анонимно) статью, где разоблачил бы агентов госдепа. а так просто теория заговора от второклассника Пети
| | |
| |
| 3.15, Аноним (12), 12:41, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +1 +/– |
> ну так провел бы аналитику, опубликовал (даже анонимно) статью, где разоблачил бы
> агентов госдепа. а так просто теория заговора от второклассника Пети
Я видел много хорошо аргументированных статей, ну и где они сейчас? Всё прекрасно удаляется из интернета, а публичность всегда минимальна. И я часто не мог найти, даже точно зная, что именно и где искать.
| | |
|
| 2.50, Аноним (42), 15:07, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +1 +/– |
Все так, но они сейчас пошли хитрее - проворачивают теневую глобальную операцию. План такой:
1. Умышленно дискредитировать язык и попутно занести бекдоров в софт.
2. Начать публичную компанию, в ходе которой объявить Си как неподходящий язык и в замен придумать новый(или на практике - захватить существующий, но никому не известный язык). Представить его как безопасный.
3. Подготовить инфраструктуру для деплоя бекдоров. Назвать ее крейт'ами.
4. В час икс, когда все основные проекты уже будут переведены на раст и бекдоры будут развернуты на целевом железе по всему миру - нажать кнопку.
| | |
| |
| 3.55, Аноним (12), 15:25, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Сомневаюсь, что ошибки вносятся для дискредитации (хотя можно ожидать всего), но это вот безмерное доверие к совершенно централизованному хранилищу пакетов меня всегда смущало. Да и без доверия вполне может пройти незамеченным, если отдавать модифицированные пакеты только определённым людям (на основании организации или страны пребывания). И пиара действительно многовато. Незаметно развернуть по всему миру? Маловероятно, хотя в средствах инструментирования и дизассемблерах код на расте действительно выглядит не очень (может, что и улучшилось с тех пор).
| | |
| 3.57, Анонимчик (?), 15:32, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Опен сорс едят изнутри. Как минимум, чем сложнее софт, тем сложнее в нём разобраться. Независимым разработчикам-энтузиастам здесь делать нечего. Получается, что вроде всё открыто, но реально всем владеют корпорации. Они зашли с другой стороны. Хочешь не хочешь - будешь пользоваться тем, что тебе подсунут. Что там понапихано - не узнаешь. Да плюс ко всему бесконечно новое железо надо будет покупать, чтобы софт мог работать. Сплошные плюсы. Микрософт по сравнению с нынешними получаются, так, деревенские дурачки.
| | |
| 3.68, Аноним (62), 15:55, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
>3. Подготовить инфраструктуру для деплоя бекдоров. Назвать ее крейт'ами.
Так, а что мешает использовать существующую инфраструктуру «зависимостей из репозитория диска»? Прошу писать только неправильный ответы. Я начну: в дистре мейнтейнеры не пропустят бекдор.
| | |
| |
| 4.72, Аноним (72), 16:05, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
> Так, а что мешает использовать существующую инфраструктуру «зависимостей из репозитория диска»? Прошу писать только неправильный ответы. Я начну: в дистре мейнтейнеры не пропустят бекдор.
В каком именно?
И кто мешает взять пакет дебиан, взять исходники из которых он собран и сравнить с исходниками в репозитарии разработчиков. Отдельным вопросом идут накладываемые сверху патчи. Их придется анализировать и ходить по ссылками на места откуда они утянуты в пакеты debian. И да вот тут особую роль играет бинарная повторяемость сборки пакетов из пакетов исходников.
| | |
| |
| 5.78, Аноним (62), 16:13, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>взять исходники из которых он собран и сравнить с исходниками в репозитарии разработчиков
Вот только делать этого никто не будет, apt-get install и соглашаемся на все зависимости. Что там мейнтенеры на общественных началах наложили в пакеты? Да норм всё, погнали! Главное что не карго. (К слову, крейты можно опакетить и положить в репу дистра, будет карго не из «интернета» брать, а из репы)
| | |
| |
| 6.153, Аноним (72), 12:30, 22/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Вот только делать этого никто не будет, apt-get install
Отвыкай говорить за всех. Часть процессов требуют подтверждения, что бинарники собраны из конкретных исходников.
> К слову, крейты можно опакетить и положить в репу дистра
Для нормального варианта использования необходимо что бы разработчики использовали только опакеченное. Но культура разработки не позволяет прийти к варианту или самому опакечивать или использовать опакеченное. И да культура разработки также приводит к полному игнорированию проблем совместимости. Когда одна программа может использовать разные версии библиотек, опакеченные в разных дистрибутивах.
С использованием в rust разных версий одного и того же вообще беда.
| | |
|
|
|
| 3.124, Аноним (124), 19:25, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– |
Я думаю дело не в уязвимостях - посмотри список спонсоров раста, он вполне себе открыт. Они просто хотят открытый сырец завендорлочить, а точнее обгадить на других платформах, что кстати так же открыто и делают.
Либо как вариант их шарахнуло альтруизмом и они внезапно решили что кибер секьюрити это самая приоритетная проблема, и начали срочно донатить
| | |
| |
| 4.165, Аноним (64), 20:18, 22/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 > Я думаю дело не в уязвимостях - посмотри список спонсоров раста, он
> вполне себе открыт. Они просто хотят открытый сырец завендорлочить, а точнее
> обгадить на других платформах, что кстати так же открыто и делают.
Главное, не смотри список членов "руко-водящего комитета" GCC
https://gcc.gnu.org/steering.html (гугл, ай-би-эм^W красношляпа, нвидиа)
| | |
|
| 3.129, Аноним (127), 19:49, 21/04/2025 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
Опять сложный и коварный план™. Зачем нужны №2, №3 и №4, если №1 в части «занести бэкдоров в софт» и так успешен на протяжении 53 лет?
| | |
|
| |
| 3.91, Аноним (12), 16:39, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
У майкрософта в блокноте был код, запускающий фоновую "телеметрию" (если та по какой-то причине отключена). Видимо, что-то из той же оперы.
| | |
|
|
| 1.19, Аноним (-), 12:53, 21/04/2025 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +/– |
> Библиотека применяется в GNOME Shell, браузере Epiphany,
> просмотрщике изображений Shotwell, в GStreamer-плагине souphttpsrc
> double-free
> для удалённого выполнения своего кода при обработке специально
> оформленных запросов
Я вот нифига не удивлен :)
PS: ждем появление комментариев "а чо такова? как вам это помешало? покажите как вас взломали"
| | |
| |
| |
| 3.112, Аноним (34), 18:13, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
> Ты просто никогда заграницей не был, вот и бесишься, кто-то хотя бы
> в Си выходит
Поздравляем, вы выиграли в номинации "Комментарий века!" :)
| | |
| 3.125, Аноним (125), 19:37, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
За границей всё таки был.
>"кто-то хотя бы в Си выходит"
Пускай дальше выходят! Любой другой язык лучше чем это)
| | |
|
|
| |
| 2.45, Аноним (23), 15:03, 21/04/2025 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
Что значит на каком, разве есть статистика? А так, никаких проблем нет ставить на сервер, хоть гном, хоть кеды, хоть винду в виртуалбоксе. Это всё стереотипы и вкусовщина.
| | |
| |
| 3.73, Аноним (72), 16:08, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
Вкусовщина ставить на сервер gnome или KDE - это пять!
Я так не умею тролить, ты уроки даешь? Есть какие-нибудь курсы тролинга и сколько стоят?
| | |
| |
| 4.126, Дрйгой Аноним (?), 19:41, 21/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>" Есть какие-нибудь курсы тролинга и сколько стоят?"
Ежедневно общайся и участвуй в культурных диалогах на опеннет. Стойкость: время, устройство для интернета и оплата за интернет.
| | |
|
|
| 2.121, Хрю (?), 19:21, 21/04/2025 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
Думаю на многих, я был на десятке вебинаров от редхата, они все вели настройки через гуй и там везде был гном.
| | |
| |
| 3.144, Аноним (142), 01:02, 22/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Ну так это опеннетовские тру-хакиры всё через консольку и правку конфигов емаксом делают, а людям работать надо.
| | |
|
|
| 1.102, Аноним (102), 17:28, 21/04/2025 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +2 +/– |
В комментах как всегда развели конспирологию. Обычное дело, что находят уязвимости. Никто их специально не вносит и не продвигает. И в более серьезных программах находят уязвимости.
| | |
| |
| 2.152, Прохожий (??), 12:21, 22/04/2025 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– | |
>Никто их специально не вносит и не продвигает.
Уже были случаи, когда это делалось умышленно. Просто народ любит впадать в крайности, размышляя о подобном. Вот вы тоже решили впасть в крайность, полностью отрицая злонамеренность НЕКОТОРЫХ инцидентов.
| | |
|
| 1.122, Аноним (124), 19:21, 21/04/2025 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| –1 +/– |
Никто даже не понял что эти свешки не эксплуатируемые, а сколько энергии потрачено в комментах. Ну пофазили этот либсуп, стал он теперь безопасным как камень. Что непонятного, когда уязвимости ищут - их находят и фиксят.
| | |
|
