https://www.opennet.ru/openforum/vsluhforumID3/124928.html Группа исследователей из Университета Турку (Финляндия) опубликовала результаты анализа пакетов в репозитории PyPI на предмет использования потенциально опасных конструкций, способных привести к появлению уязвимостей. В ходе анализа 197 тысяч пакетов выявлено 749 тысяч потенциальных проблем с безопасностью. В 46% пакетов присутствует как минимум одна подобная проблема. Среди наиболее часто встречающихся проблем выделяются недоработки, связанные с обработкой исключений и использованием возможностей, допускающей подстановку кода...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55565<br> https://www.opennet.ru/openforum/vsluhforumID3/124928.html#199 Mon, 09 Aug 2021 17:44:50 GMT Надо было на расте писать.<br> https://www.opennet.ru/openforum/vsluhforumID3/124928.html#198 Fri, 06 Aug 2021 04:02:15 GMT &gt; мои непроверенные пользовательские данные это медиафайлы. И там уязвимостей в нижележащих <br>&gt; библиотеках столько, что RCE рано или поздно случится<br><br>Отличный аргумент за то чтобы их в sandbox по максимуму. А то и пересобрать с asan/ubsan если просадка скорости не критична.<br><br>Грубо говоря, если RCE не может ничего, кроме счета - вред умеренный. А с должной расстановкой капканов будет легко пойман. Ну вон хук на exec - и при попытке развить успех разовьется... облом для хаксора.<br><br>&gt; хоть eval отключай, хоть capabilities по самый корень режь.<br><br>Типа, если подхватил гусарский насморк, то нехай и спид заодно заходит? А медиафайлы могут пытаться атаковать и более высокоуровневый обработчик, впихав хитрозадый контент в всякие теги и проч. Правда, удобнее всего так башистов иметь, но пример pybitmessage показал что бывают варианты.<br><br>&gt;&gt;W^X <br>&gt; как это остановит importlib? Модуль это не динамическая библиотека, а тот же <br>&gt; скрипт, который будет выполняться уже запущенным интерпретатором.<br><br>Вообще идея такая что https://www.opennet.ru/openforum/vsluhforumID3/124928.html#197 Fri, 06 Aug 2021 03:44:29 GMT &gt; Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много <br><br>Чуть менее чем все? :)<br><br> https://www.opennet.ru/openforum/vsluhforumID3/124928.html#196 Thu, 05 Aug 2021 05:14:05 GMT совершенству нет предела и естественно и мне и тем кто мудрее меня в разы и им так же есть куда развиваться, но главное выбрать направление развивать свое самосознание, научится использовать свой разум, применять его а не перекладывать все и вся на машину (тем более эта машина мало ли кому еще подконтрольна божет быть - но это уже другая история)<br> https://www.opennet.ru/openforum/vsluhforumID3/124928.html#195 Tue, 03 Aug 2021 21:41:58 GMT Ну как бы твоё мировосприятие тоже построено только на самых поверхностных вещах. Оно как бы так и есть, и даже отчасти верно, но это далеко не всё, и я точно знаю, что есть и другое. Поэтому и говорю так. Глубже надо смотреть. Понимать причины, наконец.<br> https://www.opennet.ru/openforum/vsluhforumID3/124928.html#194 Tue, 03 Aug 2021 21:18:33 GMT если у обоих опыта по пол года, курсы закончили которые ) то оба косячить будут, но если опыт у обоих по 5 лет, то у сишника код будет гораздо продуманнее, программа будет не только ради бизнес логиги но и ради оптимизации. т.е. да сайт визитка или хеллоу ворлд покажут одинаковые результаты и после 10 лет опыта. но если брать IoT к примеру, где бизнес логика это не сайт с формочками заполнения, а целая оргомная экосистема, то там какждый мигросервис уже про оптимизацию и архитектуру. и вот тогда мозгов питониста явно не хватит что бы мыслить как разработчик. Питон как и джава и др скриптовые языки они для описания и учат описывать, как например тот же js в qml, да отлично подходит для описания интерфейса, и использовать с++ для такой задачи ну права не удобно. но скриптовые языки они не учат разрабатывать, создавать инструменты, оптимизировать структуры данных, логику паттернов.<br>Т.е. тут уже я не про язык какой лучше или хуже, каждый занимает свою нишу. А я про то как ЯП способствует развитию человека. Помн https://www.opennet.ru/openforum/vsluhforumID3/124928.html#193 Tue, 03 Aug 2021 21:05:04 GMT музыка стала квадратная, кино содержит максимум насилия, фотография стала не искуством а возможностью показать что ты ешь или что ты пьешь. С++ сегодня дает возможность абстрагироваться от аппаратной части и сконцентрироваться на бизнеслогике. Изучать новый язык это не рационально.Еда - отравы стало больше, в магазине из достойной еды только каши и мюсли, все остальное для свиней. Фрукты не пахнут, это как? вы в какойто иллюзии жывете. Вы примите мою точк зрения только в том случае если, если эта точка зрения будет активно пропагандироваться по телевизору, и так будет считать большенство. к самостоятельному мышлению вы не способны.<br> https://www.opennet.ru/openforum/vsluhforumID3/124928.html#192 Tue, 03 Aug 2021 09:33:49 GMT &gt; Там же в новости ссылка на сам инцидент: https://www.opennet.ru/opennews/art.shtml?num=55000 <br>&gt; - <br>&gt; Причиной блокировки стала деятельность исследовательской группы, изучающей возможность<br><br>А теперь попробуй читать глазами, а не жопой.<br>&gt; из 5 патчей, подготовленных в ходе исследования<br><br>...<br>&gt; 435 коммитов ... и [b]не связанные с проведением эксперимента[/b] по продвижению скрытых уязвимостей. <br><br>и заодно думать головой, а не тем самым местом, которым читал: <br>какие на*рен блокировки, когда куча патчей с "подвохом" _уже_ прошла мимо "бдительных" мейнтенеров и с чего ты решил, что такой "эксперимент" проводили только Миннесотовцы? <br>Они продемонстрировали реальное пложение дел, когда в ядре оказалась куча проблемного кода и он оставался там пока частью не протух сам по себе (ну и не клюнул жареный петух в виде публикации исследования) - но Свидетелям Единственноверного Ядра, похоже, все "Божья роса!" <br><br>&gt; -- <br>&gt; Интеллект анонимов опеннета не распространяется даже на один клик мышки. Дожили.<br><br>Очередно https://www.opennet.ru/openforum/vsluhforumID3/124928.html#191 Mon, 02 Aug 2021 19:05:30 GMT (не, ты можешь конечно, никому не сказав, но при разборе полётов в случае дыры в твоём эвале - с тебя же и вычтут)<br>