Опубликован релиз утилиты для синхронизации файлов Rsync 3.4.0, в котором устранено шесть уязвимостей. Комбинация уязвимостей CVE-2024-12084 и CVE-2024-12085 позволяет клиенту добиться выполнения своего кода на сервере. Для совершения атаки достаточно анонимного подключения к серверу Rsync с доступом на чтение. Например, атака может быть совершена на зеркала различных дистрибутивов и проектов, предоставляющих возможность загрузки сборок через Rsync. Проблема также затрагивает различные приложения для синхронизации файлов и резервного копирования, использующие Rsync в качестве бэкенда, такие как Rclone, DeltaCopy и ChronoSync...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=62557
Это чудовищная ошибка. Кто когда куда и что добавил мы конечно же никогда не узнаем. Потому что не положено знать.
Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!
> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
Тут хватило бы писать не ногами, а руками.
А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.
> Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!Могу лишь повторить слова предыдущего Анонима, так как он сказал правильно. Идите со своим "безопасным" куда вас послали.
>Идите в пень со своим "безопасным языком", для вас есть соседняя тема.
>Тут хватило бы писать не ногами, а руками.
>А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.
>А еще лучше выкинуть пососную дыряшку и взять С++, хотя бы 17 версии.Только аноним как-то позабыл что ни один случай с undefined behviour в стандарте с C++03 по C++17 не был убран. А тот же std::string из c++11 позволит сделать "stack buffer overflow",
если туда записать больше байт чем размер, потому что с C++11 появился SSO.
>Потому что проект набисан не на безопасном языке, который не умеет безопасно работать с памятью!Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок нет только в тех проектах, которые еще не написали
> Потому что проект _написан_, а не только сплошные рассуждения о безопасности. Ошибок
> нет только в тех проектах, которые еще не написалиТы не путай ошибки с намеренным вредом или как минимум халатностью.
Электрика который кинет оголенный провод просто на пол, будут долго и упорно сношать ТБ.
Производителя еды, который допустит попадание в продукты какой-то бяки набутылит потребнадзор.
Врача который ошибется, будет судить целая комиссия.И только пограммисты считают, что за то овно которое они выдают, они не должны отвечать.
Так ты перечислил сферы в которых ошибка влечет вред здоровью.
Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге
> Так ты перечислил сферы в которых ошибка влечет вред здоровью.Не обязательно, ну подумаешь кто-то, от некачественной еды обделался. Просто постирает штаны.
> Очевидно, уровень аудита у ПО автопилота самолета и копирователя файликов разный. Во всяком случае на бумаге
Но есть еще и например материальный урон.
И дырявая копировалка файлов, которая позволит взломать сервак - это уже слегка болезненее.
А если она позволит например вести ддос или просто воровать платежные данные.Сейчас когда в телефоне уже банк, страховка, куча фоток, включая личные.. оно просто должно быть корректным и надежным.
Чтобы не читать такие новости
"Критическая 0-day уязвимость в Chrome и libwebp, эксплуатируемая через изображения WebP "
opennet.ru/opennews/art.shtml?num=59746"уязвимость (CVE-2023-4863), позволяющая обойти все уровни защиты браузера и выполнить код в системе за пределами sandbox-окружения.
Уязвимость позволяет выполнить свой код при обработке специально оформленных WebP-изображений. Опасность уязвимости усугубляет то, что в сети выявлен рабочий эксплоит, который уже применяется злоумышленниками для совершения атак (0-day). "
Т.е людей уже ломают просто разместив картинку на сайт.ps угадай с одного раза на чем она была написана)
"оно просто должно быть корректным и надежным." - это ваши личные хотелки которые вы пока не готовы оплачивать.
Возьмите весь опенсорц которым вы пользуетесь явно и не явно и организуйте фаундейшин чтобы платить авторам хотя бы по 120к бачей в год, тогда можем поговорить за качество, безопасность и прочие ваши фантазии.Пока вы только хотите получать - можете получить в лучшем случае пожелание быть здоровым (на голову).
> хотя бы по 120к бачей в годА сколько ты думаешь получал программист, который все эти баги напрогнаммировал?
Вполне вероятно ни сколько конкретно за "эти все".
Ну вот в вашей любимой Европе как раз принимают закон, чтобы поставить к ногтю все опенсорс проекты, чтобы головой отвечали за качество кода.
Ну и будут обратно винду внедрять в свои госконторы (только что вот вынедрили, бабки освоены, надо осваивать следующие).Потому что останутся только американские проекты, и те с запретом использования в странах, не согласных с правилом "as-is".
Внезапно, это только так вот и работает.Главное чтоб с этой заменой туда-сюда не забыли еще пару АЭС закрыть, а то американский газ что-то больно дешево им достается, не смотря на потери 30% на перевозку.
Пруфы где?
>Кто когда куда и что добавил мы конечно же никогда не узнаем.да там вроде всего один, причём выходец из самбы, что как бэ намекает... впрочем, rsync всё равно рулез.
Гит блейм в руки и всё узнаете
> Гит блейм в руки и всё узнаетеА там JinTan какой-нибудь.
И где ты его искать будешь?Ну или C-ктанты тебе расскажут "ну ошибся человек, сделал use-after-free, но у нас так принято, это нормально!"
Почему никто это не сделает и не опубликует результаты? Или кому то не выгодно чтобы мы узнали правду?
> Почему никто это не сделает и не опубликует результаты?Потому что:
1. люди ленивые
2. всем пофиг
Но ты можешь поработать на благо общества.> Или кому то не выгодно чтобы мы узнали правду?
Все так привыкли к тому, что проект с содержанием "дыряшки в 82%" будет рассадником уязвимостей и багов.
Поэтьому никто не удивляется.
О почему на Jia Tan все возбудились, а тут всем пофиг? Не думал что кому-то выгодно управлять фокусом внимания?
> О почему на Jia Tan все возбудились, а тут всем пофиг?Предположу, что там был уже обнаруженный совершенный взлом.
И пострадавшие были заинтересованы в максимальной огласке.
А тут ХЗ, может было, может нет.> Не думал что кому-то выгодно управлять фокусом внимания?
Естественно думал. Но уязвимостей так много, что если кричать "волк-волк" каждый раз, то разработчики просто разбегутся.
Т.к никто не захочет забесплатно писать код, а потом рисковать получить обвинения во внедрении какой-то бяки.Я этой штукой не пользуюсь, так что точно не буду подымать волну.
Ух, список! Классный.
Наверное кто-то расстроится, раз такие бекдоры закрыли.
Или нет, если они уже не нужны))ps nема явно будет вкусная, боюсь админ замахается банхаммером махать.
Уязвимость протухла. Можно её выкидывать. Там ещё столько же и таких же осталось.
в чём проблема добавить новых
> в чём проблема добавить новыхА зачем добавлять новые?
Там старых еще лет на сто припасено)))
Ахаха, т.е. мяу)
Отличная новость! Как раз расставляет все точки над i в споре из соседней темы))"Запись за пределы выделенного буфера"
"Утечка содержимого неинициализированных данных из стека"
"Состояние гонки при работе с символическими ссылками"Так это же... просто классическое дыряшечное бинго!
Особо радуют исправления вида:
- #define sum2_at(s, i) ((s)->sum2_array + ((OFF_T)(i) * xfer_sum_len))
+ #define sum2_at(s, i) ((s)->sum2_array + ((size_t)(i) * xfer_sum_len))- s->sum2_array = new_array(char, s->count * xfer_sum_len);
+ s->sum2_array = new_array(char, (size_t)s->count * xfer_sum_len);Бедняги, опять не запутались в типах и буферах!
Гениально! Оказывается нужно чистить память за собой!
+ // prevent possible memory leaks
+ memset(sum2, 0, sizeof sum2);
Чего ты на раст то не переписал? Почему за тебя всё должны делать диды?
Ты же в другой ветке будешь вопить чего это на раст переписывают всё подряд ЖD
а мифические диды как писали дырявый код так и продолжают
Переписывай что угодно ты просто результат покажи и всё. А то только вопли и нет дела.
Нет никаких дедов попробуй исправить свою картину мира хотя бы в этом.
> Ты же в другой ветке будешь вопить чего это на раст переписывают
> всё подряд ЖD
> а мифические диды как писали дырявый код так и продолжаютТак вы что-то не хотите своим редсдох осом пользовться и прочими офигенными драйверами FAT на игого. А больше у aдeптов хруста пока ничего не получилось.
Даже вон консерво - и тот уже более 10 лет делают, а никто так и не юзает это нигде. Уж мозилла всех мегадевов уволила на мороз. И браузер вот-вот сдохнет. А консерв так до сих пор и не готов.
Галочка, ты не поверишь! (с)
github.com/your-tools/rusync - Rust 99.1%
И еще куча других.Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.
Половины функционала нет?
На мотив бардовской песни:
... есть только C0C - за него и держись;-)
Ага. А то, что есть - ну вот по ключам не совместимо, ага. Шо тот ripgrep, да. Имел я пару годиков назад внезапный сЭкас с продуктами пионЭрского труда, "заменившего" одно на другое...
Все, как мы любим, в общем.
То есть со скиллами настолько всё плохо, что пусть лучше дырявые сервисы, лишь бы ничего не меняеть, а то тестировать на кошках не умеете, и не дай бог что-то сломается, чинить тоже некому, у всех лапки.Надо вместе с ответственностью программистов заодно ответственность сисадминов и пользователей ввести за эксплуатацию дырявого софта дольше 24 часов после выпуска фикса. А для эксплуатируемых RCE — дольше 2 часов. Ну чтобы точно безопасно было.
Чувак, прежде чем что то там вводить - заплати бабло.
А то ты халявщик какой то, который хочет чтобы было как ему надо но ничего за платить не готов.rsync делает своё дело и в 99% случаев у того кто его запускает есть полный доступ к обоим концам.
Ты бы ещё пожаловался что rm -rf не должен удалять нужные тебе файлы, а только ненужные.
> 99% случаев у того кто его запускает есть полный доступ к обоим концамА на 1%,который доступа не имеет, нам плевать. Да? И неважно, что можем все файлы потерять, которые, если удачно сложится, сможем за неделю из бекапа восстановить потом.
> То есть со скиллами настолько всё плохо, что пусть лучше дырявые сервисы,
> лишь бы ничего не меняетьУ того пионэра, который grep удалил и симлинк на rg сделал? Да, ниочень. И у того, который "на rust'е переписывал" предполагаю, с пониманием юзкейса поделки тоже не всё хорошо.
И нет, _я_ вслед за нитакусиками переписывать дозвизды чужого, прежде всего, кода - желанием не горю. Был бы "майнтейнером на зарплате" - пришлось бы, наверное. А так - не-а ищите желающих на арчевики.
rsync часто юзают локально или через ssh, там до перечисленных уязвимостей дела никому нет вообще, ибо на обоих концах rsync~а твои собственные хосты.
Указанные проблемы касаются только режима когда rsync работает демоном и сам слушает порт, там никакой аутентификации нет и даже TLS не договорились как прикрутить - потому что опять же не особо надо.
> Но их естественно не будут использовать в дистрибутивах - тут важна дырявость и бекдоры.Но вы то можете всех обломать - и поюзать это. Правда, не забудьте проверить кто там в совете директоров Хруст Файндейшн
> Чего ты на раст то не переписал?А раст тут причем?
Зачем вы его приплетаете в тему про Rsync, который на си написан?
И как наличие или отсутствие раста оправдывает такие глупые ошибки?
Зачем приплетать дыряшечность? Которой нет.
В смысле нет?
Уязвимости есть? Есть.
Исполнение кода злоумышленника есть? Есть!
"позволяет добиться выполнения своего кода на сервере"Вот тебе и дырявость, как у шерета.
Никакой связи уязвимость есть уязвимость она может быть где угодно.
"запись за пределы выделенного буфера" не может быть где угодно
Если очень захотеть, то можно всё!https://github.com/Speykious/cve-rs
;)
Обозначу сразу, что я не занимаю какую либо позицию в дискуссии, а просто прикалываюсь
Тем более, что в основном я пишу на (языкк (скобочек))
> Если очень захотетьДа! На Расте для этого надо сделать много нетривиальных приседаний, на Си все сильно проще.
Наверно это имеют ввиду, когда пишут что Си - простой язык.
Просто есть любители свободы которые за то чтобы каждый ходил со стволом и мог его применять когда потребуется без последствий.
И есть любители рабства, которым надо чтобы их жизнью кто то управлял.
А есть любители и стволов, и безопасности.
Которые сами носят ствол, но и требуют чтобы его давали только после получения справочки.А чтобы совсем без законов - то это бандустаны вроде Сомали получаются.
Ствол - инструмент для самозащиты, все имеют право на самозащиту.
> Просто есть любители свободы которые за то чтобы каждый ходил со стволом
> и мог его применять когда потребуется без последствий.
> И есть любители рабства, которым надо чтобы их жизнью кто то управлял.При том в данном случае управлять будет амазон, гугл и майкрософт, перехватившие управление хрусь фаундейшном. А заодно и репами с крейтами. И, кстати, кто гарантирует что вся эта шушера не отгрузит бэкдор?
> Зачем приплетать дыряшечность? Которой нет.Как это нет???
Язык разработки - дыряшка.
(Тупые) уязвимости с памятью есть? Есть.Так что тут дыряшечность на все 100%)))
Вы так старались, но у вас никогда нет ответа: сколько ущерба это принесло.Мне это принесло скорее всего 0 ущерба, хоть у меня rsync и торчит наружу доступный для чтения уже лет 15.
Но я так и быть подумаю на досуге над тем чтобы возможно порезать возможности демона rsync по доступу к файлам, а пока просто потушил его пока обновления не прилетят.
— Билл?
— Да, Гарри?
— Что это было, Билл?
— Это был Неуловимый Джо, Гарри.
— А почему его зовут Неуловимым Джо, Билл?
— Потому что его никто ещё не поймал, Гарри.
— А почему его никто ещё не поймал, Билл?
— Потому что он нафиг никому не нужен, Гарри.
> но у вас никогда нет ответа: сколько ущерба это принесло.Конечно, потому что этим нормальные люди не пользуются.
А ущерб васянам никто считать не будет.Вот другие типикал дырени вполне себе посчитали.
Напр. для того же хадблида - 400к в месяц на перевыпуск сертов + реальные взломы гос структур и сервисов.
И ведь ты просто не знаешь, вдруг последние доки из Алмаз-Антея уперли из-за схожей проблемы))> Мне это принесло скорее всего 0 ущерба
Прости, но на тебя как-то по...
Ты уже рассказывал в других тема, что у тебя на компе нет ничего ценного, нет никакой фин информации и так далее.
400к в месяц - это ниочём для планеты, намного больше легко прокекается на электричестве при обновлении любого популярного дистра.
А исправления вида поменять open() на openat() тебя радуют?
Или гниль с крестами сами такое делают, магически угадывая заранее?https://github.com/RsyncProject/rsync/commit/b4a27ca25d0abb6...
кто-нибудь может объяснить, зачем рсвинк вообще лезет раскрывать симлинки?По-моему это поведение что для сервера, что для клиента, должно быть затребуемо двумя разными неудобонабираемыми ключами, отключено в configure и на всякий случай обнесено #if 0
Потому что нужно примерно никому и никогда. Если в рсинкаемом лежит симлинк - вероятнее всего его надо просто скопировать как - симлинк, и никогда не надо по нему ничего проверять,и уж тем более копировать ВМЕСТО.
Я конечно понимаю что это кенгуру хвостом писали, но все же?
Так оно и определяется ключами при вызове.
ну то есть чтоб получить увизгвимость - надо самому старательно ее попросить?
Тогда расходимся, не на что тут смотреть.(а так, между нами - на рсвинке основан дебмиррор - т.е. все зеркала дебианов и убунт)
ЕМНИП, пейсатели имели непосредственное отношение к самбе. Что немного объясняет проф. деформацию.
Когда несколько лет назад заглядывал в код, там проверка КС (для пересылки только изменённых блоков, например) выполнялась через хэши MD4. И каша в ключах CLI — туда же.С другой стороны, "better then nothing". Инструмент позволяет (после вдумчивого траха, но позволяет же!) делать довольно причудливые вещи. Про альтернативы я что-то пока не слышал. ("Поляна загажена." Можно хоть упереписываться, но попробуй убеди остальных что твоё — лучше.)
Чтобы не быть голословным. Вот полный клон ФС "куда-то ещё". На стороне "инициатора":
rsync -axHAXS --numeric-ids --delete --info=progress2 --bwlimit=131072 "${tmp}/" "rsync://${target}/${uuid}/"А так примерно настраиваем "таргет" (чтобы rsync безопасТно не подропал всё вкусное):
[${uuid}]
use chroot = yes
munge symlinks = no
uid = root
gid = root
numeric ids = yes
path = /tmp/instances/${uuid}/./
list = yes
read only = no
max connections = 16
hosts allow = ${peer}
hosts deny = *Понятно (надеюсь), что так делаем внутри доверенной сети.
* Можно померяться олдскульностью и забацать примерный аналог на (tar + netcat + pv + …). Но зачем?
В MD4 нет ничего плохого, они его не для крипты юзают.
Нынче лучше бы sha2-256 ибо есть оффлоад в виде SIMD но полагаю либо не хотят ломать совместимость либо просто пофиг - нет желающих запилить.Каша в ключах - так там столько опций и столько лет развития.
Вообще сделать качественный GUI/TUI довольно не тривиальная задача.
У меня давно торчит наружу сервер (хотя я не уверен что там сервер а что клиент, полагаю внутри сервером считается источник откуда файлы люьтся, а на то кто к кому подключился и как просто пофиг) и это прекрасно работает для раздачи портов, исходников фри, моих конфигов и заливки бэкапов.
Судя по вашему конфигу мне пора добавить в свой новые ключики :)
Учитывая что у вас там chroot - то я бы не парился совсем по поводу доверенная или нет сетка.
> В MD4 нет ничего плохого, они его не для крипты юзают.Имянно. В том же самом файле не может оказаться блока с таким же md4, потому что такой блок даже если чудесным образом зародится - ну совсем не похож на осмысленные данные. Т.е. если md4 не различается - это ТОЧНО не изменившийся.
> Нынче лучше бы sha2-256 ибо есть оффлоад в виде SIMD
и опять будет работать на полутора процессорах "intel v3" ? Вот поэтому и не хотят - это не linoops only поделка. К тому же вряд ли он окажется на самом деле быстрее - сложность вычисления гораздо выше. Скорее окажется не фатально медленнее.
Аппаратный SHA есть во всех AMD ryzen, и полагаю в интелах не старше пары лет.
Работает оно быстро, весьма. У rsync обсновной упор был на диски, хотя конечно с nvme и хэш может стать узким местом.
> "Запись за пределы выделенного буфера"
> "Утечка содержимого неинициализированных данных из стека"Hardened систему надо использовать, она отлавливает переполнения и утечки вовремя исполнения.
И почему люди настолько упрямые, ака ослики, что не хотят просто использовать нормальные языки программирования.
Например С++.
Там есть и RAII, и умные указатели, и range-based for (в последних редакциях).Но нет "будем использовать кривую эскопету и продолжать овнокодить" ((
В любой язык вставят точно такую же уязвимость причем тут язык?
> В любой язык вставят точно такую же уязвимость причем тут язык?А ты уверен
1. что эту уязвимость встроили
2. что в любом другом языке она была такой же незаметной
?Мне оно больше кажется банальной ошибкой.
И если использовать нормальные инструменты: ЯП, стат.анализаторы, санитайзеры и тд, то их появление можно значительно уменьшить.
Это кто тебе такую глупость вообще сказал? Что за нормальные инструменты?
хз. сишка быстрее компиляется, на этом её достоинства по сравнению с плюсами заканчиваются
Тьфуй! Если тебе нужен ЯП высокого уровня (а не Си), ну там - прилады какие насрябать ... то и бери высокоуровневый, а не смесь бульдога с удавам! :)
Сишка простая и не перегруженная сахаром, научится писать на ней можно довольно быстро.
По крайней мере этого умения будет хватать чтобы прочитать и понять код, а так же внести простые правки в него.
В крестовом месиве такое и близко не прокатывает.
+
А если включать голову и проверять код всякими там анализаторами то и уязвимостей таких не будет.
Не надо анализаторов и ничего включать, достаточно следовать простому правилу: везде где имя файла/папки принимается по сети или от потенциально враждебного источника нужно использовать openat() вместо open() и прочие ***at() функции для работы с файлами и папками.
Этому правилу уже лет 15 как минимум, все вебсервера прошлись по этому, как и сервера некоторых других протоколов.
> достаточно следовать простому правилуА можете еще "озвучить простое правило" как перестать выходить за пределы буфера?
И заодно, как не переполнять инты и не делать даблфри?Потому что проблемы с open() встречаются чуток реже чем предыдущие)))
> А можете еще "озвучить простое правило" как перестать выходить за пределы буфера?Использовать функции, в которых явно задаёшь максимальный объём обрабатываемых данных. Обрабатываешь данные в фубере циклом этой функцией и каждый раз вычитаешь объём обработанных данных.
> И заодно, как не переполнять инты и не делать даблфри?
Перед free() проверять, что указатель не NULL.
>> И заодно, как не переполнять инты и не делать даблфри?
> Перед free() проверять, что указатель не NULL.Перед free() вообще не нужно проверять, что указатель не NULL.
Господи, ты хоть разберись с С и сутью double free, прежде чем советы тут давать.
Проверяешь, что указатель не NULL, делаешь free() и делаешь указатель NULL. Помоему рабочая схема.
Рабочая только если у тебя лишь одна копия конкретного указателя на всю программу, чего в софте больше "Hello, world" не бывает.
Ну тогда передавай указатель на указатель, чтобы не делать копии.
Да, то самое "простое правило" против double free - передавать указатель на указатель 🤦Сишочники с одним не могут справиться, лол, давай им еще двойные подсовывать на каждый чих.
> Проверяешь, что указатель не NULL, делаешь free() и делаешь указатель NULL. Помоему рабочая схема.Боже! *facepalm*
У тебя есть два разных указателя, которые указывают на один объект.
Ты делаешь free одному, после этого делаешь указатель NULL.А потом весело и задорно делаешь free() другому! Который ВНЕЗАПНО не NULL))
Зачем тебе 100500 копий одного и того же указателя, который ты даже менять не собираешься? Указатели и нужны, чтобы ссылаться на те же самые данные, а не просто одинаковые значения.
> Зачем тебе 100500 копий одного и того же указателя, который ты даже менять не собираешься?А передавать ты его никуда не собираешься, или что?
> Указатели и нужны, чтобы ссылаться на те же самые данные
Он ровно об этом и написал, если ты не понял.
Ой, а кто же это наделал? В смысле, такую систему управления памятью, что двойной free() что то портит? Наверное, авторы системных библиотек, да? Тогда, причём тут язык?
Да, да. Как раз сейчас смотрю на функцию копирования строк побайтно через буфер фиксированного размера. Всё же прекрасно в этой идее, что могло пойти не так? Вычитали кусочек, преобразовали, вычитали второй, преобразовали. Кто сказал "многобайтные символы"?
Это уже другая проблема.
> Это уже другая проблема.Вы не понимаете! это другое!
Ты сказал как "решить" проблему с буфером.
Тебе привели контр пример.
Ты сливаешься.Что-то я нифига не удивлен (с)
Ну проблема с выходом за пределы буфера решена. А ты привёл уже другую проблему, которая проявится только, если попытаться прочитать данные двухбайтной кодировкой.
free() сам проверяет на NULL, поэтому такие проверки я из своего кода давно вычистил.
А вот занулить указатель после free() - да, часто бывает полезно не забывать.
Так достаточно вместе с указателем на буфер хранить размер буфера и размер данных в нём.
Дабл фри не будет если чётко отслеживать жизненный цикл выделенной памяти на уровне архитектуры приложения.
Переполнение интов - местами нужно, я лично не помню чтобы встречался в своей практике с переполнением на уровне арифремити.
> Дабл фри не будет если чётко отслеживать жизненный цикл выделенной памяти на уровне архитектуры приложения.Действительно: не хотите дабл фри - не делайте дабл фри! Просто и чётко!
Да ты просто кладезь перлов! Жги еще!
В архитектуре где память не выделяется на каждый чих и где есть чёткое помание где она должна быть освобождена никаких даблфри не случается и случится не может.Но вам надо чтобы компелятор пол дня грел воздух и потом обматерил вас что вы написали какую то хрень и вы потом её непонятно как переписали чтобы он не ругался.
В моей личной практике даблфри и юзафтерфри случался редко.
>В архитектуре где память не выделяется на каждый чих и где есть чёткое помание где она должна быть освобождена никаких даблфри не случается и случится не может.А такие есть в природе, или просто у вас фантазия очень богатая?
>Но вам надо чтобы компелятор пол дня грел воздух и потом обматерил вас что вы написали какую то хрень и вы потом её непонятно как переписали чтобы он не ругался.
Что значит "непонятно как"? Вы или читаете документацию по языку программирования и ПОНИМАЕТЕ, что вы делаете, или тыкаете пальцем в небо.
И да, гораздо лучше, если об ошибке вам скажет компилятор, а не обозленный покупатель (пользователь) вашего поделия.
> Сишка простая и не перегруженная сахаром
> Сишка простая
> простаяdouble (*(*(*test(float(*a)(void)))(char))(long))(int)
{
printf("кровь из глаз\n");
}
Потому что кресты не нормальный язык, а очень перегруженный.
По сути вы предлагаете заменить английский на китайский.
> Потому что кресты не нормальный язык, а очень перегруженный.Да у тебя любой язык, кроме С, перегружен, потому что кроме С и Lua ты ничего не осилил 😂
Конечно!
Любой язык, где больше чем около 30 ключевых слов, как в сишечке, - просто невероятно сложный и перегруженный. Это же придется учиться, доку читать! А она большая, скучная и без картинок!А на сишечке любая обезьяна кодить может научиться. Некоторые даже самостоятельно.
Результаты чего мы сейчас собственно и наблюдаем.
В любом ЯП примерно одинаковое количество ключевых слов: условия, циклы, классы, функции, константы, переменные, указатели...
> В любом ЯП примерно одинаковое количество ключевых словТипичный кексперт в треде...
Ну и зачем ты так себя позоришь?Открой хотя бы википедию en.wikipedia.org/wiki/Reserved_word
The number of reserved words varies widely from one language to another: C has about 30 while COBOL has about 400А вот список слов по языкам
https://github.com/e3b0c442/keywordsANSI C89 (32 keywords)
C17 (44 keywords)
C++20 (92 keywords)
Fortran 2008 (103 keywords)
Потому что практика показывает что сложные языки плохо распространяются, ведь цель не знать язык а использовать его для выражения своих мыслей и чтений мыслей других.Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое я могу сделать на массе других более простых языков?
> Потому что практика показывает что сложные языки плохо распространяютсяС++, вытеснивыший сишку практически отовсюду с тобой не согласен.
> Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое
> я могу сделать на массе других более простых языков?Чтобы писать надежные и быстрый софт, а не вот такое как новости.
Для тебя это конечно не причина, но для других людей - еще как.
Не вытеснивший, даже дескптопные окружения далеко не все на крестах.
gnome, xfce по прежнему на С.У меня rsync без проблем отработал лет 15, считаю его вполне надёжным, к скорости тоже претензий не было ибо он по сути упирается в сисколы которые упираются или в диски или в сеть.
> Не вытеснившийНеа
> gnome, xfce по прежнему на С.
Пффф... мы про норманый софт говорим, а не про эти васяноподелия от четырехпроцентников.
Хотя даже тут не все однозначно: единственное нормальное DE - KDE - написано на плюсах.Браузеры (хром, лиса) на каком языке написаны? На плюсах.
Офисные пакеты (ms, libre) на каком языке написаны? На плюсах.
Графические редакторы (фотошоп, крита) на каком языке написаны? На плюсах (а вот такая ошибка природы как гимп - на сишке, да)))
Кады (AutoCAD, CATIA, даже freecad) на каком языке написаны? На плюсах.
Игровые движки на каком языке написаны? На плюсах.
Компиляторы на каком языке написаны? Тоже плюсах!Мне продолжать или ты уловил суть?
Меня последний пункт больше всего радует - что компилятор си gcc пишут на плюсах)))
Хотя не помню до какой версии он был чисто на си.Сишка сейчас осталась
или в очень больших проектах, которые исправлять экономически нецелесообразно,
или в дремучем легаси, которое исправит могила,
или где аймфинниш уперся рогом и не хочет признавать свои ошибки молодости
(хотя частично таки признал то что си убог и добавил раст).
> Компиляторы на каком языке написаны? Тоже плюсах!Далеко не все.
В остальном - да, не мало юзерского софта на крестах, но и С софта не меньше, просто он обычно в виде консольных утилит и демонов, коих по количеству сильно больше.
Так пафосно начал с "практика показывает, плохо распространяется", и так жидко закончил "консольными утилитками".Вань, поменяй репертуар уже - надоело уже смотреть на твои унылые срывы покровов с языка с 40й историей.
А мне то какая разница где сколько лет?
Я высказал своё мнение и его обоснование.Моё мнение появилось тоже не на пустом месте, я лично проходил через разные этапы пограмизма, в том числе и полный велосипедизм когда у меня даже strlen(), memcpy() и тп были свои.
В какой то момент программы на С превратились в программы на каком то своём языке с синтаксисом С.
Я проходил через С с классами - вот эти кресты с кучей геттеров-сеттеров (на самом деле эта фигня даже в С трудно искоренима :) ).
Попутно я успел посмотреть и на GObject и всё вот это сектанство в glib на чистом С.
Потом я увидел софт на чистом С, который поразил меня тем как чётко, компактно выразительно там реализованы изначальные идеи автора.Пусть я лично никто и достижений у меня на публику никаких нет, но моё мнение что кресты, раст - это путь не туда, Страуструп и мозиловцы не правы. И вероятно кто то ещё кто создавал ЯП с кучей сахара.
Язык должен оставатся простым и минималистичным, в противном случае его забросят, а то что на нём написано не будут развивать, просто потому что человеку со стороны не хватит мотивации (и способностей) строить в голове огромный контекст ради понимания все той пурги что накодили.
>Язык должен оставатся простым и минималистичнымПрежде всего, язык должен гарантировать качество (корректность) получаемого кода. При нынешней аппаратной архитектуре это невозможно без всякой навороченной семантики. Поэтому и появились сначала Плюсы, а потом и Rust.
В идеале, конечно, чтобы компьютер умел читать мысли и предугадывать их. Но до этого ещё далеко.
> Прежде всего, язык должен гарантировать качество (корректность) получаемого кода. При нынешней аппаратной архитектуре это невозможно без всякой навороченной семантики. Поэтому и появились сначала Плюсы, а потом и Rust.Не соглашусь.
До СИ была куча классных языков: Фортран, Лисп, Simula.
А моменту выхода стандарта - уже была создана Ада.
Просто СИшка была максимально простая и не требовала думанья.> В идеале, конечно, чтобы компьютер умел читать мысли и предугадывать их. Но до этого ещё далеко.
А может не надо? (с)
От мелькнет у разработчика в процессе программирования
"да пошло оно в опу!", а потом всякие роботу будут над людьми непотребства творить))
> Потому что практика показывает что сложные языки плохо распространяютсяЧья практика, лол. Тебя - человека, который осилил лишь сишку для своих личных хэлоуворлдов, и теперь искренне недоумевает, отчего же с плюсах и других языках появились разные фичи?
> не знать язык а использовать его для выражения своих мыслей и чтений мыслей других.
Да, чуть выше в обсуждении там как раз сишочные мысли с обнулением указателей на уаказатели. Осталось еще тему goto поднять - и вообще лчпота будет.
> Я уже много раз спрашивал: зачем мне учить кресты когда тоже самое я могу сделать на массе других более простых языков?
Ты свои личные хэлоуворлды можешь хоть на Brainfuck писать, серьезно.
Мировая практика.
Посмотри на английский где и буков мало и слова коротки и какойнибудь китайский где на каждый чих свой иероглиф.
У меня нет потребности изучать ЯП, мне нужно доносить мои мысли до компа, для этого подходит любой ЯП.goto - вполне годный инструмент в умелых руках, я им пользуюсь.
> goto - вполне годный инструмент в умелых руках, я им пользуюсь.Ахаха, да я и не сомневался! 😂 Мои "умелые руки" vs их "кривые грабли".
И?
Изначальные претензии к goto были из за его чрезмерного употребления и снижения читабельности кода.
Я ровно тоже самое могу сказать и про все эти классы и правило делать функции на 3 строчки, где вместо явного goto приходится прыгать по куче функций чтобы понять что там реально происходит.goto отлично подходит для того чтобы вываливатся в кусок функции где освобождаются все выделенные ресурсы в случае ошибки. Иногда без него не обойтись чтобы попасть на нужный кусок кода внутри функции. И я не вижу смысла извращатся над переписыванием логики или разбивания единой логичной функции только для того чтобы там не было goto.
Раньше я тоже думал что goto плохо, просто принимал это как догму, пока не увидел код фряхи.
> Иногда без него не обойтись чтобы попасть на нужный кусок кода внутри функцииНу естественно, дружок. Это только сишочные программисты могут, взяв недоязык из 70х, буквально 10-15 сторк кода превратить в адскую мешанину, навалив в одну кучу основную логику, у правление ресурсами и обработку ошибок, а потом у нас goto - "вполне годный инструмент". Да и как иначе-то из получившейся лапши вылезти? 😂
И он еще будет рассказывать о простоте, читаемости и, прости господи, архитектуре. 🤦 Ваня, ну серьезно, тебе пора уже поменять реаертуар - вообще не вспечатляет.
Читаемость как раз и будет страдать если всё что вы перечислили растащить по функциям.
Читаемость это когда понятно что и как делается, а не когда по выдуманному феншую сделано.
"Я уже говорил тебе, что такое безумие? Безумие - это точное повторение одного и того же действия, раз за разом, в надежде на изменение."Раз за разом повторяя одни и те же ошибки в мириадах вариаций, они продолжат писать также уже больше 30 лет. Почему?
"Вот я точно такую не допущу"?
"Это в не настоящие программисты, а вот я"?
Или может есть какие-то другие оправдания?Почему они не хотят изменить свой же инструмент, чтобы перестать делать ошибки раз за разом? Почему они при этом так сильно противятся появлению других инструментов?
пхпшники и сишники - одного поля ягоды, только могила исправит
> Почему они не хотят изменить свой же инструментПотому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?
Не балоболы написали с нуля rclone, а другие только указывают на каком "правильном" языке надо переписать, но сами при этом - потребители...
> Потому что нет желающих спонсировать переписывание довольно большой кодовой базы, написанной задолго до появления "безопастных" языков, 3 декады назад. Это правда так тяжко воткнуть?Вот только "воткнуть" не смог ты(((
Какое отношение имеет имеющаяся кодовая база к языку как инструменту?
Они не в состоянии улучшать язык без слома обратной совместимости?> а другие только указывают
А другие уже написали аналог на нужном языке. И не на одном.
> но сами при этом - потребители...
Но-но, ЭТИМ я не пользуюсь!
> Они не в состоянии улучшать язык без слома обратной совместимостиДа, сделать его полностью безопасным, значит сломать совместимость. А так его улучшают, как могут.
> Какое отношение имеет имеющаяся кодовая база к языку как инструменту?Ты сам то понял, что сейчас сказал? :)))
Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?
> Они не в состоянии улучшать язык без слома обратной совместимости?А ты поробуй, - улучши то, что являестя дефакто стандартом почти пол столетия низкоуровнего ЯП. Его не надо улучшать. С должен именно оставаться таким, как он есть, - скальпелем, микроскопом, чтобы можно было выкручивать на нем все, что только может ЛЮБАЯ хардварь и любая ОСЬ (а то и вообще без ОСи), без ограничений со стороны языка, типа мы лучше знаем что вам надо и сделаем за вас.
Если ты не заметил, то С уже улушили, С++ называется, в котором достаточно таких же плюшек как и в новомодном расте, а также улучшатели подняли планку чтоб воткнуть в язык и знать наизусть 1000+ страниц спецификации языка, чтоб его изпользовать на всю задуманную мощь.
Странно, что столько народу здесь не могут воткнуть в простую вещь - что во время написания rsync, тогда не было таких заморочек с секьюрностью, достаточно было дописать в конец .ехе или .сом файла пэйлоад, запатчить старт и вперед вирусня. И "С" был единоличным королем среди языков на то время и для той задачи что он выполняет - это был самый правильный выбор, т.к. С++ только стандартизировался. "С" и сейчас остается одним самых эффективных и сливает разве что только ассемблеру и в лоб опкодам. Да, требует однозначно большого внимания и наказывает сильно за ошибки, но микроскопом и не надо гвозди забывать... сейчас, а не 30 лет назад.
Сейчас есть новые инструменты, которые можно и нужно изпользовать, если не надо докапываться слишком далеко до сердца (привет ракетостроителям и всем кто в ring0).
Но тогда, когда появился rsync, - этого не было, поэтому не надо гнать на "С" дедушку, - он дал жизнь молодежи и это будет хамством гнать на родителей сейчас ...
> Кодовая база на языке, на котором написанно приложение rsync. Мы же про сабж, нет?Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером, чтобы просто не писать мимо, как 30 лет назад? И в новом коде rsync использовать ее?
> Его не надо улучшать.
Угу, на нем лучше вообще не писать. А еще лучше - запретить законодательно)))
Как вредную, небезопасную вещь. Как в свое время запретили бенз со свинцом, асбест и фенольную изоляцию. Ну а про старый код говорить - не пользуйтесь им, а дидов сильно не ругайте))> что во время написания rsync, тогда не было таких заморочек с секьюрностью
Еще как заметили. Но как писал какой-то анон - сейчас уже не 70е.
> он дал жизнь молодежи и это будет хамством гнать на родителей сейчас
Браво! Какая речь, какая речь!
Аж прослезился)))А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.
> Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буферомА что если технически **надо** писать за пределы буфера?
Так сильно в бараний загон хочется спрятатся от волков?
>Угу, на нем лучше вообще не писать.
Так и не пиши, кесарю кесарево...
> А теперь спустить на землю и посмотри даты добавления омнокода из перечисленных уязвимостей.
И? Ты такой крутой что ошибок не делаешь, - никогда?
Выстави фотку, я ее на работе повешу, всем в пример
>> Именно так. Что мешало за N лет в С добавить какую-то абстракцию над буфером
> А что если технически **надо** писать за пределы буфера?Значит бери старый механизм и пиши.
Ты где прочитал "и запретим старый вариант"?> Так сильно в бараний загон хочется спрятатся от волков?
Надеюсь ты не соблюдаешь глупые ПДД, бегаешь через дорогу на красный свет и если пахнет газом просто зажигаешь спичку подсветить)
>>Угу, на нем лучше вообще не писать.
> Так и не пиши, кесарю кесарево...А овнокодеру овнокодерово.
> А что если технически **надо** писать за пределы буфера?То ты глушишь ворнинг и используешь старый механизм.
И возможно пишешь большой развернутый комментарий с ччего это вдруг так было **надо**.> Так сильно в бараний загон хочется спрятатся от волков?
Нет, хочу просто очистные сооружения вынести за пределы города.
А рядом бигборд "осторожно, тут нечистоты".> Так и не пиши, кесарю кесарево...
Так и не пишу много лет. И только рад что свалил на нормальные языки.
Но каждый раз противно в нем ковыряться, когда приходится.> И? Ты такой крутой что ошибок не делаешь, - никогда?
Ну раз ты перешел на личности - то обсуждение можно сворачивать.
Хотя даже немного удивлен, что это произошло настолько быстро))А ведь это просто показательно, что "во время написания rsync" это совсем не 30 лет назад. И что они одинаково фигово пишут код что давно, что сейчас.
> Ну раз ты перешел на личности - то обсуждение можно сворачивать.Где это я на личности переходил???
Просто спросил, что правда, никогда не делаешь ошибок? Не, ну правда? Просто пересел на "правильный" ЯП и все, сразу все работает с первого разу? Предвижу ответ - "нет, но зато по крайней мере не надо парится думать про какие то там выхода за буфер".
Но разговор не об этом !
Разговор о том, что тогда такого тулза не было.
И разговор о том, что есть отвертка и только ей можно подлезть, какая бы разчудесная дрель не была бы в наличии.
Разные инструменты, и каждый по своему хорош. Я тоже не буду приложуху писать сейчас на Ц, а скорее на расте или чтоб побыстрей на Го, но есть области где на С будет ковырятся значительно интересней, чем бороться с накрученными абстракциями
> что "во время написания rsync" это совсем не 30 лет назад
рсинк был впервые выпущен оффициально в 1996, так что как раз получается 30 лет (мы ж не будем бюракратить в один-два года?)
> Где это я на личности переходил???Ну, я как-то в диалоге твои достижения не обсуждал, фотку не просил.
Если ты считаешь, что это все еще не переход на личности... ну ок, учту.> "нет, но зато по крайней мере не надо парится думать про какие то там выхода за буфер".
Не, чувак. Посли сишки на расте вообще вначале писать сложно. Потому что тот омнокод, который сишный компилятор спокойно хавал (а потом где-то оно падало с бедаксесом), тут просто не компиляется. И за недельку две ты просто отлично сам на автомате следишь за всеми лайфтаймами и размерами буфера, просто зная что компилятор меня подстарахует, если я буду где-то невнимательным. А это когда-либо таки случается.
> Разговор о том, что тогда такого тулза не было.
ИМЕННО! Я все время про это и говорю! Тогда не было, а сейчас есть!
Вот как раз в этом и проблема!!!Что продолжают используют старый хреновый инструмент. Хотя уже появилось куча других, намного лучших. Ну хотя бы на с++ перешли бы, там не так много отличий от сишки. И новый код писали бы на плюсах.
> И разговор о том, что есть отвертка и только ей можно подлезть
Нет, нет и еще раз нет. С чего вдруг в рсинк можно подлезть исключительно ответкой?
> рсинк был впервые выпущен оффициально в 1996, так что как
> раз получается 30 лет (мы ж не будем бюракратить в один-два года?)Так вопрос был не когда рсинк был начат. А когда были добавлены строчки этих CVE.
И это было не 30 лет назад. И даже не 20.Назови хоть одна причину, почему его нельзя перенести на современные плюсы, хотя бы C++11 (на раст даже не предлагаю, просто не верю что они осилят).
На плюсы переводили намного большие и сложные проекты, GCC отличный пример.Единственную причину которую я могу придумать - разрабам просто поx, и они просто хотят продолжать бракоделить как и 30 лет назад.
> Ну, я как-то в диалоге твои достижения не обсуждал, фотку не просил.
> Если ты считаешь, что это все еще не переход на личности... ну ок, учту.Если обидел, искрине - сорри, согласен, сарказм в тех.обсуждениях штука может и полезная и опасная, но подрузумевался просто риторический вопрос, что нет пока что людей, не делaющих ошибок... даже на супер новых инструментах.
И да, атмосфера на опеннете портит, не эксьюз конечно, но...
> ИМЕННО! Я все время про это и говорю! Тогда не было, а сейчас есть!
> Вот как раз в этом и проблема!!!Есть такая хорошая пословица - "даренному коню в зубы - не смотрят". Ты правда предлагаешь Андрюхе взять, бросить работу и заняться переписыванием на новый язык? Если тебя так раздражет, и ты считаешь что это так просто, - попробуй, перепиши. Не устраивает - напиши свое, в свободное время, а потом отдай пользоваться и будь готов к куче предьяв и новых хотелок от халявщиков.
> Ну хотя бы на с++ перешли бы, там не так много отличий от сишки. И новый код писали бы на плюсах.
А ты - попробуй, попробуй и возвращайся с результатами. Советовать - все мастера, а как до дела доходит, так никого нет.
> С чего вдруг в рсинк можно подлезть исключительно ответкой?Еще раз, он был написан изначально - на С, и менять коней на переправе, учитывая популярность рсинка - это найти себе ОЧЕНЬ большую головную боль... безплатно причем.
Неужели это правда так тяжело догнать?> Назови хоть одна причину, почему его нельзя перенести на современные плюсы, хотя бы C++11(на раст даже не предлагаю, просто не верю что они осилят).
> На плюсы переводили намного большие и сложные проекты, GCC отличный пример.Да причина всего одна, - кто будет за это платить??? Это куча времени, а время = жизнь !
Почему ты требуешь от других тратить на твои хотелки свою жизнь???
И да, посмотри кто переводил ГСС... грасноглазики готовые работать за корочку хлеба?Все эти разговоры от того, что не ты, не другие здешние специалисты никогда не имели своих, больших и популярных опенсоурсных проектов. Ты попробуй сперва, а потом суди, когда нагрянет куча советчиков, и безмозглых "а как енто сделать?", где куча народа с какого-то испуга решили что им кто-то что должен БЕЗПЛАТНО.
Тебя не устраивает на чем написан рсинк, ну так проспонсируй или перепиши с нуля, покажи пример. Как ответишь не словами а делом, - возвращайся, поговорим. Если получится, я первый задоначу (хотя меня вполне rclone устраивает как замена).
Блин, какие-то в натуре - детские разговоры...
> Если обидел, искрине - сорри,Не обидел, не парься.
> сарказм в тех.обсуждениях
Достаточно ставить скобочки))
Потому что по видоизмененному закону По уже не понятно где сарказм, а где нет.> Еще раз, он был написан изначально - на С, и менять коней
> на переправе, учитывая популярность рсинка - это найти себе ОЧЕНЬ большую
> головную боль... безплатно причем.Про бесплатность не нужно тут заливать. Если чел столько лет бесплатно тянет этот проект - тратит свое личное время (а как ты ниже пишешь - жизнь одна), то у него и так с головой не всё в порядке. А для "бешеной собаке семь вёрст не крюк")))
> Да причина всего одна, - кто будет за это платить???
А кто сейчас платит за исправление таких характерных багов?
> Ты попробуй сперва, а потом суди, когда нагрянет куча советчиков, и безмозглых "а
> как енто сделать?", где куча народа с какого-то испуга решили что
> им кто-то что должен БЕЗПЛАТНО.Хаха, к сожалению я знаю. И периодически пишут тут про "благодарное сообщество™".
Но т.к. я анон, то пруфов не будет.> Тебя не устраивает на чем написан рсинк, ну так проспонсируй или перепиши
> с нуля, покажи пример.Так его и переписывают. На раст например. Там тоже проблемы ресурсами - временем и людими.
Но добавляются еще и другие - набегают хейтеры с криками "а зочем вы переписываете то что работает!!!111"А потому что оно работает хреного и это травма проекта "бай дизайна" на уровне выбора языка. Но "коней на переправе" менять не хотят.
> Блин, какие-то в натуре - детские разговоры...
Это не детсткие разговоры - это детские ответы.
Вас спрашивают: вот вы стабильно делаете одни и те же ошибки, которые приводят к уязвимостям. Как вы планируете с этим бороться.А в ответ начинается:
- "ваш раст нинужоН!!!" (хотя причем тут раст, я вообще плюсы предлагаю?)
- а кто платить будет?? (т.е. вы предлагаете продолжить бракоделить как раньше?)
- перепешите сами (ну, типа так и делаем, но речь же не про другой проект - вы с багами в этом вы что делать планируете?)
и так далее
> Это не детсткие разговоры - это детские ответы.Согласен, - это больше похоже на "умный" сход бабушек на кухне для обсуждения глобальных проблем, когда спорющие люди ни коим боком не относятся к сабжекту, но усиленно спорят - "как оно надо" и "почему так а не так"
> Что мешало за N лет в С добавить какую-то абстракцию над буфером, чтобы просто не писать мимо, как 30 лет назад?Ваше невежество.
Языку это не нужно.
Для желающих таких абстракций скорее всего сотни, её пишет каждый велосипедист для себя по несколько раз за жизнь.
Есть готовые в разных либах.
> Угу, на нем лучше вообще не писать. А еще лучше - запретить законодательно)))Сразу видно деформированную психику.
Нормальные люди в жизнь других не лезут, чтобы по мордам не получить.
> Но как писал какой-то анон - сейчас уже не 70е.И что?
rsync прекрасно работает. Лично для меня уже лет 15.
> посмотри даты добавления омнокода из перечисленных уязвимостей.Как то так вышло что за все годы этот несовершенный код проявился только где то в лабе и причинил моральные страдания полутора анонимам.
Да и фиг с ними.
Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написали, всё остальное интересно мало.
Только фрикам интересен не функционал программы а язык на котором оно написано и чтобы обновление было сегодняшнее, потому что недельной давно уже жуткое легаси и там страшные уязвимости сами по себе завелись.
> Чувак, людям надо чтобы оно выполнило вот то действие ради которого его написалиЭто "привет из 80х" просто)))
Чувак, людям надо чтобы оно не просто выполнило нужные действия, но чтобы еще их не взломали при этом. Я понимаю, что тебе не понять такую простую вещь, но просто прими как есть - у людей бывает на компе важная и ценная информация. И если таких людей стало достаточно много, то появляется запрос от общества.> Только фрикам интересен не функционал программы а язык на котором оно написано
К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
Пишут же на упаковке с продуктами состав, чтобы каждый потребитель мог увидеть что там пальмовое масло вместо нормального животного жира, шкуры и жир вместо мяса, сахорозаменители, ммо и так далее.
Как раз чтобы у потребителя бы выбор - есть это или не есть.Поэтому я за ввод маркировки для софта!
"Осторожно! в̶н̶у̶т̶р̶и̶ ̶г̶о̶в̶н̶о̶ внутри код написанный на макроасме из 70х"
> К сожалению, некоторые языки и погромисты, на них пишушие, крайне
> склонны к тем или иным ошибкам. Просто статистически.Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом.
>> К сожалению, некоторые языки и погромисты, на них пишушие, крайне склонны к тем или иным ошибкам. Просто статистически.
> Объяви им бойкот, перейди на редокс, и не пользуйся неправильным софтом.Это страусиная позиция - делать вид что проблемы нету.
Мое решение:
- рассказывать всем, что такие языки опасны для использования, как пистолет без предохранителя, машина без тормозов или торстер в ванной
- рассказывать что есть такие замечательные вещи, как стат.анализаторы, санитайзеры и тд. И если вы видите проект без них - значит автору на пользователей просто плевать
- голосовать за депутатов и партии, которые продвигают административное наказание бракоделов - например Cyber Resilience Act
- добиться законодательного запрета использования дырявых языков в софте который пишется за налоги и/или государственных учреждениях
- сильнее наказывать корпов за утечки данных - пусть пользуются нормальными инструментамиСейчас же никого не удивляет новости "наказали фабрику сыр, за то что сотрудники купались в сырье", "посадили в тюрьму производителя паленного сидра".
Надеюсь я доживу до новостей "аффтор кривой библиотеки получил штраф в Nк денег и год запрета писать код".
Только первая же подобая новость убьёт опенсорц.И да, она применима только к коду без лицензии, потому что в популярных лицензиях есть пункт что автор отвественности не несёт.
> Только первая же подобая новость убьёт опенсорц.Ну, бывает. Что дальше? Будешь кодить для себя любимого.
> И да, она применима только к коду без лицензии, потому что
> в популярных лицензиях есть пункт что автор отвественности не несёт.Это пока не применима. Но уверен, что ты знаешь, что любой договор - а лицензия это договор - не может быть выше законодательства страны.
А я и пишу для себя, просто одно время решил что стоит делится так тоже юзаю чужие плоды бесплатно.Так закон обратной силы не имеет, поэтому всё что выпущено не подпадает под него.
И законы локальные, так что одна долбанутая страна просто полуит премию дарвина от опенсорца после его принятия, а остальные не станут в это лезть.
Да в общем страна принявшая такой закон и так видимо долбанутая, ибо слишком много лезет в жизнь граждан/резидентов.
PS: просто появится лицензия в которой будет написано что выложенный текст - это произведение исскуства которое автор выложил на обозрение общественности и не возаржает чтобы общественность это использовала как ей вздумается.
Поэтому можешь подтерется своим законом уже сейчас.
> Так закон обратной силы не имеет, поэтому всё что выпущено не подпадает под него.А вот не знаю, не знаю. Если с точки зрения юристов, каждый раз как ты выкладываешь новую версию, будет считаться новым продуктом - то еще как подпадает.
> И законы локальные
До тех пор пока их не принимает ЕС и/или Штаты. Или даже вместе))
А за ними подтянется какая-то Автралия и прочие сателитты.> Поэтому можешь подтерется своим законом уже сейчас.
На каждый хитрую гайку найдется свой болт.
Учти, что попытки нае... законодателей почему-то их очень злят.Кроме того, ты сейчас говоришь про всяких частников вроде тебя.
Но есть же конторы, которые пишут опенсорс и получают за него деньги.
А некоторые еще и умудряются его государству продавать.
Достаточно будет вздрючить их... и этого уже будет достаточно, т.к. они гененрируют спрос на сотрудников. А всякие васяны роли не играют.
Говорю же - упоротых нет.
Даже вон санкции не сильно старались делать, а там то материальный товар который в два клика никуда не переместится и не исчезнет.Новые версии и новый код - станут произведением исскуства, потому начинай подтиратся уже сейчас.
И попутно уедут во всякие нигерии где такой дичи в законах нет.Потому начинай подтиратся, твоей фантазии ничего не светит.
Ну если каким то людям что то надо - то пусть сами и делают или заплатят за это.
А опенсорц пишется в основном для себя.В остальном складывается ощущение что у вас в жизни других проблем нет.
> А опенсорц пишется в основном для себя.Правильно.
Для себя можно что угодно делать.
А как только хотя бы копейку за код получил - уже должно быть хорошо.> В остальном складывается ощущение что у вас в жизни других проблем нет.
У меня есть много пробелем. И я хочу чтобы их стало меньше.
Например чтобы я был уверен, что с моего телефона не сворую карточки из банковского приложения. Или из браузера.
Копейкой - подотритесь.
Даже у венды и прочих продающих софт за деньги корпораций написан отказ от отвественности.И чтобы вы понимали тот софт который я выложил на гитхуб должен был бы стоить от 5к баксов за пользователя, ну чтобы мне как то на жизнь типа хлеба с водой хватало, ибо пользователей мало.
Но раз вы не обеспечиваете мою жизнь а пользуетесь бесплатно или за донаты в виде "на чашку кофе" то: "спасибо что пользуетесь, удачи вам и хорошего настроения!" и ничего более.
> А опенсорц пишется в основном для себя.Ну да, ну да. Ядро линя сейчас пишется прям для себя, десятки проектов сидящих на донатах тоже для себя, но главое никто ни за что не отвечает.
> В остальном складывается ощущение что у вас в жизни других проблем нет.
Ну, есть такое.
Живу в спокойной стране с неплохой зп айтишника, сюда прихожу когда скучно))
Но это же не повод не пытаться сделать мир лучше!
Лучшесть мира не в отсутствии редких баго в коде.
На ржавом наверное уже переписали... Хотя подождите, нужно же сначала написать конкурентый прогрессбар и раскраску для консоли, а это подождет. Бонусом можно будет стебать си.
а эмодзи для ридми кто будет выбирать?
На ржавом действительно уже написали, 5 лет назад. Дропбокс библу выложил для всех желающих. Но вот командлайн похоже никто не сделал. И я даже знаю почему: нах потому что рсинк никому не нужен, кроме редких случаев. А для редких и сишный есть. А если прям очень надо ржавый - то тоже есть, встраивай только сам.
Напрягает, что автор этих ляпов rsync попутно является лидером Samba. А в том коде черт ногу сломит.
> Напрягает, что автор этих ляпов rsync попутно является лидером Samba.Ваще ни разу не удивлен.
opennet.ru/opennews/art.shtml?num=56615
"Удалённая root-уязвимость в Samba"
CVE-2021-44142 позволяет удалённому атакующему выполнить произвольный код с правами root на системе с уязвимой версией Samba. Проблеме присвоен уровень опасности 9.9 из 10.opennet.ru/opennews/art.shtml?num=57978
"Уязвимости в Samba, приводящие к переполнению буфера и выходу за границу базового каталога"
CVE-2022-3437 - переполнение буфера в функциях unwrap_des() и unwrap_des3()
CVE-2022-3592 - возможность выхода за границы экспортируемого каталога ... через манипуляции с символическими ссылками."Уязвимость в Samba и MIT/Heimdal Kerberos, приводящая к переполнению буфера"
opennet.ru/opennews/art.shtml?num=58135"Уязвимость в модуле ksmbd ядра Linux, позволяющая удалённо выполнить свой код"
https://www.opennet.dev/opennews/art.shtml?num=58377
А... т.е. типикал сишник-омнокодер решил одаривать людей своими выдающимися "талантами" не в одном проекте, а сразу в нескольких?Похвально, похвально!
Наверное у АНБ расценки упали, ну или может все дело в инфляции и госдолге, раз ему приходится в поте лица трудиться на благо всего сообщества)))
это всё фичи были. кто ж знал что вы так внять будете и придёться их прикрыть
Напрягает - не пользутесь.
Имеются сомнения в чистоте релиза.Andrew Tridgell последние 20 лет не релизил rsync, а ключ, которым подписан релизный коммит нигде не опубликован.
Есть и другие нестыковки, которые напоминают ситуацию с xz.
> а ключ, которым подписан релизный коммит нигде не опубликован.Это то, о чем я твержу второе деятилетие, что подписи GPG/PGP - это как страус прячется в песок.
Абсолютно любой, может пойти и выпустить свой ключ под чужим именем. Нет верификации - нет доверия, хоть чем подписывай. Даже очень крупные проекты не имееют кросс подписей на ключах, типа - "верьте нам все на слово, что это правда те за кого мы себя выдаем", мы ж там на сайтике ХЗ выложили подписи, вот и верьте. Веботраст как не работал так и не работает, для цивилизованных, а вот засранцы-вредители, очень даже верифицируют друга друга, при личной встречи и из рук в руки.
Так и что дальше?
Ходить в интернет по паспорту?
Заверять ЭЦП microsoft или apple жи! Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...
> Заверять ЭЦП microsoft или apple жи!
> Что вы все в коротких штанишках-то бегаете? Большие дяди давно уже порешали...- А чего вы звоните в службу газа?
- А куда еще, если тут столкнулись скорая, пожарные и полиция?!В смысле, в соседней новости нагамнякал - сотрудник майкрософт.
> Так и что дальше?
> Ходить в интернет по паспорту?Тебе в баре просто наливают или могут доки спросить? А на кассе Красное&Белое или любого аналога бухло-ленда?
В магазе я могу попросить посмотреть доки на мясо/молочку, да на все что захочу.
И мне обязаны их показать.Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.
Если тебя норм ситуации с ЖинТянʼами - то ок.
Но как только большинству такое станет не норм, то ты останешься в меньшинстве и общество тебя просто заставит.
Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)
> Введут закон что программы с кол-во скачек больше 5000 обязаны подписываться госуслугами)И работать это все будет примерно как все остальное, типа законов о блоггерах и чего там еще. Т.е. кто-то уйдет в подполье, кто-то переедет в менее геморную юрисдикцию, а суммарно - 90% софта продолжит делаться в америке и толку будет - буй. И, конечно, у себя они все это делать не будут. А вам то можно и пролоббировать. Попутно выписывая другой рукой H1B, конечно.
> а суммарно - 90% софта продолжит делаться в америке и толку будет - буй. И, конечно, у себя они все это делать не будут.Ты уверен?
Вон была новость "Предложение по перекладыванию ответственности за ошибки в открытом коде" от ВНЕЗАПНО чувака из ИБМ.
Кто бы мог подумать!А вот бракоделы из Дебиана выступают против "Разработчики Debian опубликовали заявление, связанное с законопроектом Cyber Resilience Act" [2]
> А вам то можно и пролоббировать. Попутно выписывая другой рукой H1B, конечно.
хаха, вот нам уж точно никто лоббировать не будет.
Т.к их устраивает чтобы у нас был дырявый код с бекдорами[1] opennet.ru/opennews/art.shtml?num=60273
[2] opennet.ru/opennews/art.shtml?num=60358
У меня доки давно не спрашивали.
А в локации где я щас вино считается пищевым продуктом и на него нет возрастных ограничений - те его и детям продавать обязаны.
> Даже если ты раздаешь что-то бесплатно, то оно тоже должно быть надлежащего качества.Не должно.
Об этом прямо написано в любой популярной лицензии.
Не равится - не используйте.
PS: вы там у себя вводите что угодно, я сменил юрисдикцию и не собираюсь в этот унылый цирк возвращатся.
> PS: вы там у себя вводите что угодно, я сменил юрисдикцию и не собираюсь в этот унылый цирк возвращатся.Так речь про европу и штаты.
Куда поедешь дальше, в Сомали?
Во всякие южные америки как вариант.
Похоже есть ещё года 4 на сборы а может 8 :)
>Ходить в интернет по паспорту?Паспорта не достаточно. Надо еще теоретический и практический экзамен сдать, как на права вождения автомобиля.
И обязательные справки из психо и нарко диспансеров!
> Паспорта не достаточно. Надо еще теоретический и практический экзамен
> сдать, как на права вождения автомобиля.Что особенно угарно - все это предлагают, почему-то, анонимы. А как же паспорт?! Можете начать с себя, например.
>Что особенно угарно - все это предлагают, почему-то, анонимыЗабыл добавить. Помимо экзамена и справок из диспансеров обязательно сдавать тест на IQ. Если < 50 в интернет не пускать.
PS Пока еще пускают c IQ<50 поясню, анонимность (приватность, конфиденциальность) не имеет ни какого отношения к экзаменам на пригодность - угарай и дальше.
> Пока еще пускают c IQ<50И все эти дауны дальше социалки и месенжера не выходят.
Раньше ТП малолетки сидели в мейл агенте но камвохровость не преодолима и они уползли вкунтакт и одноглазники, а потом и телегу с вайбером/вацапом.Пользователи аськи на их фоне были просто гениями, ведь там для регистрации требовалось больше мозговых усилий чем вбить номер телефона.
> Так и что дальше?
> Ходить в интернет по паспорту?И причем здесь ходить по интернету и верификация индивидума который взял на себя ответственность за свое детище?
21 век, спаммеры и маркетологи и то лучше идентифицируют, чем эта фикция.
Люди пишут серьезные логические инструменты, но в банальную логику, что король то голый - не втыкают.
Вы тоже не втыкаете: зачем это авторам?Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов, вы серьёзно думаете что при таком уровне оплаты я не пошлю куда подальше всех желающих мне навязать что то делать?
Основная причина по которой я не послал гитхуб с их мультифактором - возможность писать багрепорты. Не основная - там был TOTP который можно считать даже в скриптах прикрученных в гут пуш хукам.
> Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксовЭто как бы показатель нужности и важности сабжа.
Потому что за хороший продукт и донатят, и деньги за фичи платят, ну и корпы могут скидываться.
Нуда нуда, и сколько таких проектов от общего числа? 0,0001% - так же как знаменитых художников, артистов и прочих целебрити.
> Нуда нуда, и сколько таких проектов от общего числа? 0,0001%думаю просто 0 будет точнее.
Все более-менее коммерчески успешные проекты - на деньги корпораций. Потому что у тех их - вагоны. И совершенно не жаль.
Напомнить отношение автора паленой луны к донатикам? Даже он со своими тремя пользователями в них совершенно не нуждается - ему от поисковых систем в сто раз больше перепадает.
А если ты не можешь своих пользуемых перепродать кому-то - расслабься, миллионером тебе не быть.
Да ладно, у меня куча всего стоит в системе сделанного без корпораций.
дык - и ты заплатил аффтырям вот ровно $0
Вот я и говорю что это куда лучшее приближение чем даже 0.0001о чем и речь. взять-взять-взять мы все горазды, а оплачивать - а банально деньгов не хватит. При всем желании. Чтобы автырь кода жил не хуже меня - мне надо ему все свои деньги и отдать. А жрать я чего буду после этого? Вот именно.
С одной стороны да, с другой нет.
Я вот посчитал примерно сколько я в mpv плеер прокоммитил, там кажется чуть ли не неделя рабочего времени в сумме, при моей скромной оплате это 750 баксов.
Таких денег ни один проигрыватель не стоит, и можно было бы кучу софта накупить даже у огрызка с его зашкварными ценниками.
э, нет, ты ж свои хотелки понакомитил.
Такое купить нельзя, только заказать. А заказной товарчик - того-с, огого стоит-то. За неделю, пожалуй, не заработать столько.
Даже когда из шкуры заказчика. А у нас тут шкура от mpv, которую отдельно к оплате предъявят.
Я допиливал работу с DVB тюнерами и перепиливал OSS зуковой бэкенд (да ещё и sndio кажется - что то от netbsd).
Сказать что такое нужно мне одному - несколько преувеличено, как минимум 1-2 десяткам :)
> Вы тоже не втыкаете: зачем это авторам?Т.е. вам будет абсолютно пофиг если ваш проект будет скомпроментирован, сворован, обкакан ?
> Мне за последние 10 лет за мой опенсорц задонатили меньше 100 баксов,
> вы серьёзно думаете что при таком уровне оплаты я не пошлю
> куда подальше всех желающих мне навязать что то делать?Да при чем здесь это? Я говорю о безполезности ГПГ подписей. Люди по какой-то странной логике думают что они подписали свой проект и никто не может создать точно такое же имя, но с другим, своим ключом. Нет абсолютно никакой гарантии перепроверить кто есть кто. Я лет 15 назад был левым "секьюрити офицер" Фряхи и никто даже не чухнулся, написано же что "секьюрити офицер", значит офицер. Все аргументы против, - "да вон там же мы на веб сайте свои ключи для верификации положили". И чем это тогда отличается просто проверки по хэшу? Сама идея верификации идентичности - нигде не работает, даже хотя бы концепт кросс подписей, теми же ГПГ ключами, так нет же нигде
> Основная причина по которой я не послал гитхуб с их мультифактором -
> возможность писать багрепорты. Не основная - там был TOTP который можно
> считать даже в скриптах прикрученных в гут пуш хукам.Причем здесь гитхуб - вообще, если мы про концепт подписи ГПГ ?
У гитхаба по крайней мере хоть там можно сделать привязку к емайлу, к телефону (который кстати уже верифицирован по паспорту). Разглашений личных данных нет для паблика, и если кто то ломанет то по крайне мере можно доказать и выйти с чистой рожей, вместо того чтоб заработать авторитет гавнючка
> Т.е. вам будет абсолютно пофиг если ваш проект будет скомпроментирован, сворован, обкакан ?Это не совсем корректная формулировка.
Своровать его нельзя - он доступен всем. Коммунити там нет - его тоже не угнать.
Компроментация - это проблема пользователей.
Последнее - я вообще не понял про что.
> Я говорю о безполезности ГПГ подписей.В целом да.
> Причем здесь гитхуб - вообще, если мы про концепт подписи ГПГ ?Вы почему то считаете что авторы опенсорца вам/кому то что то должны.
Это не так.
Я вам и остальным ещё раз повторяю: то что я или кто то ещё выкладывает свой код куда то и позволяет им пользоватся другим - исключительно наша (авторов) добрая воля.
Мы (авторы) тратим на это (выкладывание в общий доступ) своё время, силы и деньги. Для большинства из нас это не оплачиваемая работа. Не оплачиваемая во всех/любом смыслах.Все проблемы с нашим (авторов) выложенным кодом - это большей частью ваши личные проблемы, которые нас (авторов) вообще мало интересуют.
Всё что мы делаем - это можно сказать чистая благотворительность.Поэтому когда вы чего то хотите от авторов - помните что вы требует от людей работать бесплатно для удовлетворения ваших хотелок.
> телефону (который кстати уже верифицирован по паспорту)
Только в отдельных локациях, подозреваю в вашей локации с такими правилами проживает всего 1-2% населения планеты из которых участников опенсорца меньше 1%.
В моей локации симки продаются в ларьках, идентификация себя там строго добровольная и нужна для того чтобы можно было симку восстановить, ну и бонусами в виде 40гб/мес стимлируют.
> Своровать его нельзя - он доступен всем.Но проект можно заменить, добавить малварь и все это будет висеть на вашем имени.
> Коммунити там нет - его тоже не угнать.
А кто же задонатил $100 ? Или мелочь - не в счет?
> Компроментация - это проблема пользователей.
С таким подходом, напрашивается вопрос, а зачем тогда публиковать для всех, если на всех - наплевать? Типа хавайте с нашего барского плеча и не гавкайте и пофиг если там что-то завелось...
Что то мне не верится, что вы из такой категориии людей> Вы почему то считаете что авторы опенсорца вам/кому то что то должны.
Да при чем здесь - кто кому должен???
Я говорю о безполезности подписей ГПГ которые вообще никак не верифицируются, а вы своим гитхабом и вашим отношением к тем кому вы открыли свои наработки...Ну, вообще не в тему !
И раз уж про гитхаб, где вы увидели что я считаю что кто-то кому-то что-то должен?
Наплевать на свое собственное имя, ну так у каждого свой выбор, up to you...У меня тоже есть открытые проекты, и открываю я их не для того чтобы ублажить свое эго, а для того, чтобы люди, которые увидели проект полезным, смогли указать на баги, подсказать новые идеи и фичи, чтобы совместно улучшать и развивать проект, который полезен всем. Сила в толпе, а не в одиночках, даже если они гении
> Я вам и остальным ещё раз повторяю: то что я или кто то ещё выкладывает свой код куда то и позволяет им пользоватся другим - исключительно наша (авторов) добрая воля.
Вы что этим хотите сказать? Вам поклонится? На доску почета поставить? Или намеки на бабло подогнать?
Если вы выложили что то, значит была причина - зачем "Мы (авторы) тратим на это (выкладывание в общий доступ) своё время, силы и деньги."
> Всё что мы делаем - это можно сказать чистая благотворительность.
Т.е. если вы выложили вкусню булочку и на нее налетел народ, а там по пути кто-то отраву подложил - вам глубоко пофиг и никакй отвественности? Хотя можно было бы на свою уникальную булочку добавить пакетик со своей торговой маркой, которую невозможно подменить , чтоб было видно, где булочка ваша, а где тоже самое но с дерьмцом и не от вас, но с вашим именем.
Вообщем, короче - "Спасибо вам" и другим (кто так думает) за такую благотворительность ! :)
Хочется гадость, сказать, но пожалуй - не стоит... надеюсь вы сами поймете, что с таким подходом - вы не правы. За настоящей благотворительность должна стоять еще и ответственность, а то так можно любую малварь тоже считать благотворительностью
> Поэтому когда вы чего то хотите от авторов - помните что вы требует от людей работать бесплатно для удовлетворения ваших хотелок.
Неужели так переработаетесь, подписав с SSH или PGP релизы, подвердив, что это правда автор а не засланный казачок? Если проект на гитхабе хоть чуть чуть популярен, то двухфакторка будет обязательна, и не для того, что бы гонятся за неуловимым автором Джо, а просто предотвратить инекции малвари.
И при чем здесь должен - не должен, это ваше лицо, ваш брэнд ! Пофигу?
Ну так и добавьте в ридми, что мне на вас, на пользователей - глубоко пох... Ну, чтоб донаты увеличились, хорошая такая реклама /s> В моей локации симки продаются в ларьках, идентификация себя там строго добровольная
В моей локации тоже можно купить такие симки, но проблема в том, что через две -три недели такой номер будет признан как не достоверный для аутентификации со всеми вытекающими.
И кстати, раз уж разговор о гитхабе, то для 2FA достаточно TOTP без телефона, и уж точно - добавить это, чтоб потом можно было хоть как то заверять подписи, занимает меньше минуты
> Но проект можно заменить, добавить малварь и все это будет висеть на вашем имени.И чо?
Мне от этого меньше заплатят? Меньше нуля?)
> А кто же задонатил $100 ? Или мелочь - не в счет?Час даже так себешного в так себешных локациях и то стоит 10-20 баксов, а в хороших локациях час от 50 баксов стоит.
Даже простая утилита (из тех что у меня выложены) заняла часа 4 на всё вместе.
А более сложные мои проекты сожрали как минимум недели а то и месяцы человека часов.
> С таким подходом, напрашивается вопрос, а зачем тогда публиковать для всех, если на всех - наплевать? Типа хавайте с нашего барского плеча и не гавкайте и пофиг если там что-то завелось...
> Что то мне не верится, что вы из такой категориии людейХочу - публикую :)
Для красивой ссылки в линкеде, для привлечения бесплатной силы для доработки, потешить ЧСВ.
Я уже пояснил: мне не нравится когда некто с кем у меня нет никаких договорных отношений (кроме пользуйся на свой страх и риск тем что я выкатил) начинает качать права что я чего то там должен.
> Я говорю о безполезности подписей ГПГС этим я не спорю.
Они полезны только когда ты сам лично ими обменялся.
> У меня тоже есть открытые проекты, и открываю я их не для того чтобы ублажить свое эго, а для того, чтобы люди, которые увидели проект полезным, смогли указать на баги, подсказать новые идеи и фичи, чтобы совместно улучшать и развивать проект, который полезен всем.Ко мне вот в issues китайцы понабежали и пишут мне там какие то иероглифы. Такова реальность.
> Вы что этим хотите сказать? Вам поклонится? На доску почета поставить? Или намеки на бабло подогнать?Я уже всё сказал по несколько раз.
> Т.е. если вы выложили вкусню булочку и на нее налетел народ, а там по пути кто-то отраву подложил - вам глубоко пофиг и никакй отвественности? Хотя можно было бы на свою уникальную булочку добавить пакетик со своей торговой маркой, которую невозможно подменить , чтоб было видно, где булочка ваша, а где тоже самое но с дерьмцом и не от вас, но с вашим именем.Какая глупость.
Мне проще выкинуть продукт чем тратить время и деньги.
> За настоящей благотворительность должна стоять еще и ответственность, а то так можно любую малварь тоже считать благотворительностьюМалварь приносит реальные деньги, в отличии от опенсорца.
А некоторые (типа мс, огрызка, гугла) свою малварь ещё и за деньги продают, и "пользоватся нашей малварью большая честь, только избранные могут себе это позволить".
> Неужели так переработаетесь, подписав с SSH или PGP релизы, подвердив, что это правда автор а не засланный казачок?Какие ещё релизы!?
Может тебе ещё и бинарники под разные платформы собрать!?
Скажите спасибо что потратили время на этот ваш гит а не выложили по старинке зип архив с проектом и всем мусором что там накопился в папке.
> Если проект на гитхабе хоть чуть чуть популярен, то двухфакторка будет обязательна, и не для того, что бы гонятся за неуловимым автором Джо, а просто предотвратить инекции малвари.Да вот только автор кроме неудобств с этого как правило ничего не получает.
А 2FA уже давно обязательна для всех.
> И при чем здесь должен - не должен, это ваше лицо, ваш брэнд ! Пофигу?Если бренд приносит 0 то и цена ему такая же.
> Ну так и добавьте в ридми, что мне на вас, на пользователей - глубоко пох...Так и добавлено давно везде, просто вы читать не умеете.
Попробуйте хотя бы с гугло переводчиком почитать популярные лицензии на опенсорс.
> что через две -три недели такой номер будет признан как не достоверный для аутентификации со всеми вытекающими.Нету тут у меня такого. Пока платишь - оно работает. По дефолту преступника всех не считают.
> И кстати, раз уж разговор о гитхабе, то для 2FA достаточно TOTP без телефона, и уж точно - добавить это, чтоб потом можно было хоть как то заверять подписи, занимает меньше минутыДа вы какой то теоретег.
Давно уже гитхуб вынудил сделать 2FA всех. Да, я сделал себе TOTP который обычно считаю консольной утилитой. Да и мне пофиг что шаредкей остаётся в истории комманд оболочки и что оно на одном устройстве, и даже шаредкей валяется в одном текстовом файле с паролем, чтобы два раза не искать.
В остальном вопрос тот же: мне не платят за те неудобства которые причиняют, а наоборот, плачу я своим временем.Сейчас вся эта фигата нужна корпам чтобы они не потеряли бабло, репутацию и прочее на том что поюзают протрояненый компонент коих они себе в коммерческий проект натащили тоннами.
А расходы за это всё и неудобства перекладывают на разработчиков, которые всё сделали, выложили в открытый бесплатный доступ.Поэтому все эти увещевания про то что угонят акк, подменят и прочее - мне глубоко фиолетовы, мне за это всё было перечисленно 0 денег. Это сильно меньше даже одного часа работы специалиста моего уровня в любой локации.
Хотите вот это всё - платите лично мне.
Не хотите платить - я не буду ничего делать или будут саботировать.
Да блин проще продать акк всяким мутным личностям, хоть какие то деньги и избавление от чудаков с их хотелками.
Я понял из разговора что это совсем не о том, с чего я начал (про ГПГ), а что вы сильно разочарованны своим опенсырцом. Скажу честно, я - услышал.Я эту веру потерял очень, очень давно. Много халявщикиков, да, причем иногда очень наглых, которые требуют как будто ты им обязан, которые отбивают все желания что либо делать вообще "во благо общества". Поэтому у меня с появлением гитхаба и не было никаких надежд в "светлое будующее". Мне он нужен и это так, как я вижу его исключительно с точки зрения улучшения проекта который нужен мне и другим и сообща делать это еще лучше. Есть люди и компании которые понимают прекрасно, что это безплатный дар и помогают как могут, хотя я гитхаб никогда не рассматривал как источик хоть какого то дохода, - это не реально. На наезды типа "ты нам должен" я давным давно забил и они у меня даже не вызывают никаких эмоций, - тратить врема на дебилов, это значит самому до них опускаться. Ответ всем прост: - нравится, хочется? Добро пожаловать с ПР и то без гарантии что все бросим и начнем пир-ревью. Надо срочно, - переходим на коммерцию. Нет - идут лесом. Но при всем при этом, проект остается публичным лицом и должен быть защищен от подонков.
как будто имя что-то значит само по себе?
И как будто даже если имя подтверждено паспортом и сканом радужки, это может помешать человеку быть казачком засланным?И даже если имя подтверждено, человек хороший и проверенный, как это может помешать ему просто быть раздолбаем и забыть свой ключ на шаредпомойке?
Подпись gpg - это просто подпись. Хорошо если есть, если нет - тоже не катастрофа, потому что ничего не обеспечивает и ничего не гарантирует.
Всё нормально, весной прошлого года Tridgell вернулся в проект https://www.opennet.dev/60941 Это его первый релиз, после возвращение в сопровождающие, поэтому и ключ новый.
Пока что за программы на Си дают деньги, но недалек тот час, когда за программы на Си начнут давать по морде.
Очевидно, что такие вещи нельзя выкидывать в инет. Или запускать в докере на худой конец.
Жесть похоже серъезная. Мне обновление rsync даже в proxmox вчера прилетела
Похоже это жж не спроста.
А кому вообще в голову может придти использовать rsynс для публичного анонимного доступа?
Это же утилита для синхронизации папок между двумя своими компьютерами.
rsync://mirror.yandex.ru/
Скачка по rsync есть в Debian, Ubuntu, Gentoo, Fedora, Arch, CentOS, openSUSE, FreeBSD. При этом во многих случаях публичной доступный rsync используется на первичных серверах для синхронизации зеркал.
Так и не понял.
А почему там хотябы статическим анализом не обвешали всё, раз уж руки из ж и тесты писать не хочется?
да, я тоже не понял, почему ты такой умный и талантливый не сделал это все.