Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Раздутый отчёт об уязвимости вынудил разработчика node-ip перевести репозиторий в архивный режим" | +/– | |
Сообщение от opennews (??), 01-Июл-24, 10:00 | ||
Фёдор Индутный (Fedor Indutny), автор платформы Io.js (форк Node.js), входящий в технический комитет, управляющий разработкой Node.js, попытался привлечь внимание к проблеме с назначением CVE-идентификаторов некорректным отчётам об уязвимостям, не соответствующим действительности или неадекватно представляющим уровень опасности. Номер CVE, применяемый для идентификации уязвимости, присваивается без должной проверки и без консультации с разработчиками уязвимых программ, что приводит к появлению злоупотреблений, в которых под видом опасных уязвимостей преподносятся несущественные ошибки, на деле не представляющие угрозу безопасности... | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения | [Сортировка по времени | RSS] |
1. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –15 +/– | |
Сообщение от Аноним (1), 01-Июл-24, 10:00 | ||
фёдор не прав, неизвемстно откуда будут данные, не ему судить как применяется библа | ||
Ответить | Правка | Наверх | Cообщить модератору |
3. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +7 +/– | |
Сообщение от Аноним (3), 01-Июл-24, 10:08 | ||
Проверять корректность данных должно приложение, а не библиотека. То что при обращении к библиотечному вызову не была использована функция приведения IP к нормальной форме - проблема разработчика приложения. | ||
Ответить | Правка | Наверх | Cообщить модератору |
5. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –3 +/– | |
Сообщение от Аноним (5), 01-Июл-24, 10:13 | ||
И зачем такая библиотека, которая может вернуть что-то не предсказуемое? | ||
Ответить | Правка | Наверх | Cообщить модератору |
33. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –2 +/– | |
Сообщение от нах. (?), 01-Июл-24, 11:25 | ||
для того чтобы люди, умеющие валидировать юзерские данные на стадии их ввода - могли пользоваться этой библиотекой. Им-то она вернет - предсказуемое. | ||
Ответить | Правка | Наверх | Cообщить модератору |
66. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +3 +/– | |
Сообщение от Аноним (66), 01-Июл-24, 12:47 | ||
> люди, умеющие валидировать юзерские данные на стадии их ввода - могли пользоваться этой библиотекой. Им-то она вернет - предсказуемое | ||
Ответить | Правка | Наверх | Cообщить модератору |
73. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –5 +/– | |
Сообщение от нах. (?), 01-Июл-24, 13:11 | ||
> Чел, айпишники вида "0x7f.1", и "127.1" валидны согласно RFC. | ||
Ответить | Правка | Наверх | Cообщить модератору |
75. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (66), 01-Июл-24, 13:33 | ||
> но я не буду тратить время на написание предупреждения пользователю [...]. И тем более не буду такое передавать в библиотечную функцию в режиме "авось прокатит". | ||
Ответить | Правка | Наверх | Cообщить модератору |
79. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от нах. (?), 01-Июл-24, 13:59 | ||
необучаемы те кто не фильтруют все эти прекрасные ../../.. на этапе получения ввода и только там. И наивно пытаются "соблюдать стандарты" там где этого делать вообще не надо. | ||
Ответить | Правка | Наверх | Cообщить модератору |
90. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (5), 01-Июл-24, 14:29 | ||
> на этапе получения ввода и только там. | ||
Ответить | Правка | Наверх | Cообщить модератору |
77. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (66), 01-Июл-24, 13:40 | ||
> Не все стандарты (и тем более - "rfc") надо соблюдать побуквенно. | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
80. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от нах. (?), 01-Июл-24, 14:00 | ||
>> Не все стандарты (и тем более - "rfc") надо соблюдать побуквенно. | ||
Ответить | Правка | Наверх | Cообщить модератору |
93. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от 1 (??), 01-Июл-24, 15:01 | ||
А как ты проводишь валидность e-mail адреса ? По RFC 822, 5321, 5322 ? Или тупо на наличие @ и домена в MX записи ? | ||
Ответить | Правка | К родителю #77 | Наверх | Cообщить модератору |
94. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:14 | ||
Незнание закона не смягчает вины. Вроде всем известная ещё с детства фраза. Вполне переносима на любую сферу деятельности и правила/стандарты, которые в ней установлены. | ||
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору |
156. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от bergentroll (ok), 06-Июл-24, 07:46 | ||
Нет таких правил принимать значение в любых нотациях. Достаточно в док-ции к функции написать допустимый формат. И желательно давать отлуп, если передано неожиданное значение. | ||
Ответить | Правка | Наверх | Cообщить модератору |
111. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +4 +/– | |
Сообщение от YetAnotherOnanym (ok), 01-Июл-24, 16:13 | ||
> валидны согласно RFC | ||
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору |
115. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 16:31 | ||
> И что с того? RFC - это для взаимодействия чужого с чужим. | ||
Ответить | Правка | Наверх | Cообщить модератору |
9. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от pofigist (?), 01-Июл-24, 10:20 | ||
Первое что должна сделать любая функция - убедитьсячто ей переданны корректные данные. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
18. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +2 +/– | |
Сообщение от Аноним (18), 01-Июл-24, 10:38 | ||
Это если нет статической типизации. Если библа принимала "любую строку", то проверять должна. Если библа принимала свой же тип IPv4Address и явно прописывала это в доках или в d.ts, то проверять уже не должна. Второе предпочтительнее, так как рантайм-проверки небесплатные. | ||
Ответить | Правка | Наверх | Cообщить модератору |
112. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от ОШИБКА Отсутствуют данные в поле Name (?), 01-Июл-24, 16:16 | ||
Так он сделает тип string и скажет, что валидация не его проблема. | ||
Ответить | Правка | Наверх | Cообщить модератору |
25. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (25), 01-Июл-24, 10:55 | ||
> Первое что должна сделать любая функция | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
101. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (101), 01-Июл-24, 15:27 | ||
В ещё более нормальных проектах не нужны эти костыли с двумя функциями и контракты можно описать системой типов и проверить на этапе клмпиляции | ||
Ответить | Правка | Наверх | Cообщить модератору |
107. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 15:58 | ||
> контракты можно описать системой типов и проверить на этапе клмпиляции | ||
Ответить | Правка | Наверх | Cообщить модератору |
135. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (135), 01-Июл-24, 23:01 | ||
Жабаскриптер в треде? Система типов как раз и нужна, чтобы большинство рантаймовых проверок делать проверками при компиляции. Единственная рантаймовая проерка нужна во время создания объекта, а дальше всё уже проверено компилятором. | ||
Ответить | Правка | Наверх | Cообщить модератору |
131. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Akteon (?), 01-Июл-24, 22:22 | ||
Робастная функция.Робастность подразумевает накладные умственные и организационные расходы и деградацию производительности. | ||
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору |
63. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 12:42 | ||
> То что при обращении к библиотечному вызову не была использована функция приведения IP к нормальной форме - проблема разработчика приложения. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
87. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (87), 01-Июл-24, 14:11 | ||
> IP в виде "0x7f.1" - это нормальная форма согласно RFC. | ||
Ответить | Правка | Наверх | Cообщить модератору |
72. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 13:03 | ||
> Проверять корректность данных должно приложение, а не библиотека. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
81. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Сталин (?), 01-Июл-24, 14:00 | ||
127.1 — это (сюрприз!) корректный адрес. попробуйте его пингануть, например. | ||
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору |
97. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:19 | ||
С открытием Вас! | ||
Ответить | Правка | Наверх | Cообщить модератору |
6. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –2 +/– | |
Сообщение от Аноним (5), 01-Июл-24, 10:14 | ||
> В CVЕ проблеме был присвоен критический уровень | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
99. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:21 | ||
И что в этом смущает? Поведение библиотеки не может быть названо предсказуемым, если для одного и того же адреса в разной нотации будет возвращен различный результат проверки. | ||
Ответить | Правка | Наверх | Cообщить модератору |
50. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (50), 01-Июл-24, 12:17 | ||
Нет, прав. Если требование функций библиотеки - "очищенные" данные на входе, то незачем нагружать данные функции дополнительными проверками, раздувающими код и снижающими быстродействие. | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
71. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 12:55 | ||
> Нет, прав. Если требование функций библиотеки - "очищенные" данные на входе, то незачем нагружать данные функци | ||
Ответить | Правка | Наверх | Cообщить модератору |
130. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Akteon (?), 01-Июл-24, 22:18 | ||
Ну, напишем в документации, например | ||
Ответить | Правка | Наверх | Cообщить модератору |
147. Скрыто модератором | +3 +/– | |
Сообщение от Аноним (1), 02-Июл-24, 14:51 | ||
Ответить | Правка | Наверх | Cообщить модератору |
70. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (66), 01-Июл-24, 12:51 | ||
> фёдор не прав, неизвемстно откуда будут данные, не ему судить как применяется библа | ||
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору |
82. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +2 +/– | |
Сообщение от Аноним (1), 01-Июл-24, 14:01 | ||
их минусы проходят сквозь меня и не могут мне навредить | ||
Ответить | Правка | Наверх | Cообщить модератору |
2. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +3 +/– | |
Сообщение от КО (?), 01-Июл-24, 10:00 | ||
Обиделся, но исправил, лол | ||
Ответить | Правка | Наверх | Cообщить модератору |
67. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Гнутый (?), 01-Июл-24, 12:49 | ||
Глянул код, это в целом смузи-библиотечка, строчечки петушатся регэкспами на каждом шагу. | ||
Ответить | Правка | Наверх | Cообщить модератору |
85. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (87), 01-Июл-24, 14:06 | ||
Вы вот прям уверены, что в жс развилка в цикле будет быстрее регекспа? Или у вас прувы есть? | ||
Ответить | Правка | Наверх | Cообщить модератору |
89. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Гнутый (?), 01-Июл-24, 14:28 | ||
Будут ли быстрее три ифа чем движок регэкспов? | ||
Ответить | Правка | Наверх | Cообщить модератору |
100. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:27 | ||
Так и ифы не нужны, когда case/switch ещё быстрее пройдет ветвление. | ||
Ответить | Правка | Наверх | Cообщить модератору |
102. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (87), 01-Июл-24, 15:29 | ||
Мы всё ещё про яваскрипт говорим? Можете как-то подтвердить, что парсинг, интерпретация и выполнение вложенного ифа физически сводится только к трём ифам в бинарном коде? | ||
Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору |
113. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Гнутый (?), 01-Июл-24, 16:20 | ||
Теперь я понимаю, что это был не юмор, но от этого менее смешно не становится)) | ||
Ответить | Правка | Наверх | Cообщить модератору |
103. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:30 | ||
Не поленитесь хоть раз написать тестовый код и с регексом и с ветлением, и самостоятельно убедиться насколько медленный первый. | ||
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору |
114. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Гнутый (?), 01-Июл-24, 16:25 | ||
Да понятно же, что "писать" он умеет только ручкой на бумаге. Сравнивать работу движка регэкспов который по сложности О-большое (если брать самую существенную операцию для этого алгоритма - сравнение символов) переплюнет любые ифы в цикле уже на этапе парсинга самого регэкспа - это даже для троллинга слишком толсто. | ||
Ответить | Правка | Наверх | Cообщить модератору |
141. "Раздутый отчёт об уязвимости вынудил разработчика..." | +/– | |
Сообщение от arisu (ok), 02-Июл-24, 03:31 | ||
справедливости ради — современные движки обычно препарзят это всё на горячем пути. | ||
Ответить | Правка | Наверх | Cообщить модератору |
4. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +17 +/– | |
Сообщение от Аноним (18), 01-Июл-24, 10:09 | ||
> 0x7f.1, и 127.1 вместо 127.0.0.1 | ||
Ответить | Правка | Наверх | Cообщить модератору |
11. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +5 +/– | |
Сообщение от onanim (?), 01-Июл-24, 10:25 | ||
это да, рофлец. | ||
Ответить | Правка | Наверх | Cообщить модератору |
104. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –3 +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:34 | ||
А что мешает использовать ([0-9]{1,3}\.){3}[0-9]{1,3}, сугубо незнание или любовь к гуавно-коду | ||
Ответить | Правка | Наверх | Cообщить модератору |
136. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (136), 01-Июл-24, 23:16 | ||
этот регексп тоже не найдёт IP 1234567890 | ||
Ответить | Правка | Наверх | Cообщить модератору |
91. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +4 +/– | |
Сообщение от Аноним (91), 01-Июл-24, 14:49 | ||
"Диды" для людей писали и заботились об удобстве. Они не думали, что спустя годы появится целая индустрия уродов, павнящихся друг с другом в бэкдоры за деньги и портящих всем жизнь. А общество будет их разрушительную деятельность терпеть и вознаграждать. | ||
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору |
98. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +5 +/– | |
Сообщение от Аноним (18), 01-Июл-24, 15:19 | ||
> заботились об удобстве | ||
Ответить | Правка | Наверх | Cообщить модератору |
105. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (94), 01-Июл-24, 15:50 | ||
Бывают случаи, когда ip адрес должен быть записан в decimal без разделителей. Бывают и когда требуется heximal формат. Как пример, кодировка в ASN.1 для дальней космической связи. Октальная запись в таком случае оказывается избыточной. Деды с академическим подходом, то как раз молодцы, что предусмотрели многое. Проблема в смузи-поколении, что ограничены знаниями не дальше собственного носа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
108. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (94), 01-Июл-24, 16:01 | ||
Деды с академическим подходом, как раз думали о многом. В том числе о том, что может потребоваться десятичная запись без разделителей. И что может потребоваться шестнадцатиричная. И может быть выполнена оптимизация путем удаления назначимой части. Как пример, кодировка в ASN.1 для дальней космической связи. Где октальная запись избыточна. | ||
Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору |
132. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Akteon (?), 01-Июл-24, 22:36 | ||
И о том, что потомки могут один раз написать конвертер , чем переписывать поддержку всех форматов , во всех функциях, всех библиотек. | ||
Ответить | Правка | Наверх | Cообщить модератору |
146. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от onanim (?), 02-Июл-24, 08:40 | ||
> Деды с академическим подходом, как раз думали о многом. В том числе | ||
Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору |
142. "Раздутый отчёт об уязвимости вынудил разработчика..." | +/– | |
Сообщение от arisu (ok), 02-Июл-24, 03:33 | ||
выше — отличный пример того, почему современный софт весь гуано. | ||
Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору |
7. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (7), 01-Июл-24, 10:15 | ||
> загружалась примерно 30 млн раз в неделю | ||
Ответить | Правка | Наверх | Cообщить модератору |
8. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (18), 01-Июл-24, 10:18 | ||
Они нехило законтрибьютили в его резюме своей статистикой скачиваний. Эйчары точно текут с таких чисел. | ||
Ответить | Правка | Наверх | Cообщить модератору |
10. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +8 +/– | |
Сообщение от Аноним (10), 01-Июл-24, 10:22 | ||
Да нифига. Тут где-то была новость про чувака-автора подобной либы с миллионами скачиваний, который полгода сидел и не мог работу найти. | ||
Ответить | Правка | Наверх | Cообщить модератору |
12. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (18), 01-Июл-24, 10:26 | ||
Чего-то он недоговаривает. Может он на собесы в шортах приходил? Иметь неплохое резюме -- лишь пол-дела. В любом случае, скинь ссыль. | ||
Ответить | Правка | Наверх | Cообщить модератору |
13. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +7 +/– | |
Сообщение от Аноним (10), 01-Июл-24, 10:28 | ||
>Может он на собесы в шортах приходил? | ||
Ответить | Правка | Наверх | Cообщить модератору |
17. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (17), 01-Июл-24, 10:37 | ||
Попробуй в сторону цветных слово публично скажи ты и год ничего не найдешь. | ||
Ответить | Правка | Наверх | Cообщить модератору |
148. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (148), 02-Июл-24, 20:58 | ||
Вот и я как-то прихожу как-то на собес в Apple, а там на ресепшене этот... Трансформатор, да ещё и в цвете. Стоит такой на каблуках, мускулами играет, серёжки аж потрясываются. Он меня спрашивает: вы кудааамммм? Я задумался куда, сдержал улыбку и говорю: я автор ядра linux, меня тут парнишка такой, русый онлайн собеседовал. Видимо в этот момент сработал regexp в голове у красотки, потому что следующее что я увидел - это струю из баллончика... А я так старался, писал для вас линукс | ||
Ответить | Правка | Наверх | Cообщить модератору |
29. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +7 +/– | |
Сообщение от нах. (?), 01-Июл-24, 11:10 | ||
Нынче толерантность - можешь хоть в шортах. Главное чтоб все знали что ты этот...трансформер, во. | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
129. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Вы забыли заполнить поле Name (?), 01-Июл-24, 20:54 | ||
>>Может он на собесы в шортах приходил? | ||
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору |
119. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (119), 01-Июл-24, 16:37 | ||
>с миллионами скачиваний | ||
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору |
15. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (15), 01-Июл-24, 10:35 | ||
Эйчары не знают о такой статистики, пока ты сам явно не пропишешь в резюме. Впрочем, при первичном отборе резюме, всё зависит только от того, чешется левая пятка у эйчара или правая. Изредка смотрят смузихлёб или нет, вторых не берут. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
40. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +2 +/– | |
Сообщение от bdrbt (ok), 01-Июл-24, 11:46 | ||
> Они нехило законтрибьютили в его резюме своей статистикой скачиваний. Эйчары точно текут | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
118. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (66), 01-Июл-24, 16:35 | ||
> Они нехило законтрибьютили в его резюме своей статистикой скачиваний. Эйчары точно текут с таких чисел. | ||
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору |
43. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от r1 (?), 01-Июл-24, 11:57 | ||
А потом 17 млн в неделю... | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
59. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +3 +/– | |
Сообщение от нах. (?), 01-Июл-24, 12:38 | ||
> А потом 17 млн в неделю... | ||
Ответить | Правка | Наверх | Cообщить модератору |
51. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (50), 01-Июл-24, 12:19 | ||
Судя по первому комментарию Анонима(1), еще и облаяли, указав, что не ему решать и т.п. | ||
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору |
14. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (14), 01-Июл-24, 10:34 | ||
> Суть уязвимость в использовании по умолчанию настройки libCurl (CURLOPT_SSL_VERIFYPEER=0), отключающей проверку сертификатов при загрузке внешних ресурсов по HTTPS, например, указанных в документе внешних изображений. | ||
Ответить | Правка | Наверх | Cообщить модератору |
45. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (45), 01-Июл-24, 12:08 | ||
А браузерах точно так же, если трафик подписан сертификатом прокси, это не будет показано нигде. А вот курл при включённой этой опции выдаёт ошибку. Я отключал только потому, что значительно увеличивает время каждого запроса (или пользовался "впн", подглядывающими в трафик). | ||
Ответить | Правка | Наверх | Cообщить модератору |
21. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +3 +/– | |
Сообщение от Golangdev (?), 01-Июл-24, 10:50 | ||
> Ложные CVE | ||
Ответить | Правка | Наверх | Cообщить модератору |
28. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +2 +/– | |
Сообщение от Аноним (28), 01-Июл-24, 11:00 | ||
Ты прав в том что у настоящих уязвимостей которые в использовании нет никаких све и о них никто кроме специальных людей не знает и не узнает. А све присваивают всякому шлаку потому что на них есть план или надо отчитаться перед начальством. | ||
Ответить | Правка | Наверх | Cообщить модератору |
22. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (22), 01-Июл-24, 10:52 | ||
Все правильно ему указали. | ||
Ответить | Правка | Наверх | Cообщить модератору |
30. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от нах. (?), 01-Июл-24, 11:12 | ||
Ну да, то что альтернативно-одаренный разработчик любую хрень из юзеринпут (потому что больше ей такой неоткуда браться - системные вызовы ТАК не работают) сует в эти методы - это безусловно не баг. Это фича. | ||
Ответить | Правка | Наверх | Cообщить модератору |
48. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (-), 01-Июл-24, 12:13 | ||
> Разумеется библиотеки должны тратить миллионы циклов процессора на проверку того что ты должен был проверить еще при вводе. А то вдруг. | ||
Ответить | Правка | Наверх | Cообщить модератору |
74. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от нах. (?), 01-Июл-24, 13:18 | ||
А он валидный. Согласно реэфсям. | ||
Ответить | Правка | Наверх | Cообщить модератору |
92. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (-), 01-Июл-24, 14:49 | ||
> Отдельный привет как ты собираешься в своей статической типизации утрамбовать dotted decimal, partial dotted decimal и integer варианты в один тип. | ||
Ответить | Правка | Наверх | Cообщить модератору |
117. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от нах. (?), 01-Июл-24, 16:35 | ||
> Но забавна постановка вопроса: хранить ip-адрес в текстовом представлении... | ||
Ответить | Правка | Наверх | Cообщить модератору |
133. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (-), 01-Июл-24, 22:41 | ||
> прости, ты их побитово ключом набираешь или как большие дяди - переключателями на пульте консоли? | ||
Ответить | Правка | Наверх | Cообщить модератору |
125. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (125), 01-Июл-24, 19:20 | ||
Локалхостный код какой-то. Мне что, надо ещё как-то заранее угадать, что айпишник v4, а не v6? Спасибо, мне тпкие библиотеки даром не натть и за деньги не нать. Вот фигня, которая должна быть айпи-адресом, ты её проверь, разбери, и верни мне в удобоваримом виде, либо кидай исключение. И смотри не вывались нигде за границы массивов, а то знаю я вас! | ||
Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору |
126. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от нах. (?), 01-Июл-24, 19:42 | ||
> Локалхостный код какой-то. Мне что, надо ещё как-то заранее угадать, что айпишник v4, а не v6? | ||
Ответить | Правка | Наверх | Cообщить модератору |
154. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (125), 04-Июл-24, 00:53 | ||
Какой AF_, дорогой? Я пользовательский ввод пытаюсь разобрать, мне туда «умудрённые» «опытом» «системные» «администраторы» и «программисты» не могут с первого раза валидный CIDR из циски скопировать. | ||
Ответить | Правка | Наверх | Cообщить модератору |
134. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (-), 01-Июл-24, 22:43 | ||
> Локалхостный код какой-то. Мне что, надо ещё как-то заранее угадать, что айпишник v4, а не v6? | ||
Ответить | Правка | К родителю #125 | Наверх | Cообщить модератору |
155. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (125), 04-Июл-24, 00:55 | ||
Меня теория интересует только в контексте практики. Без практики — это всё болтовня в пользу бедных. Как говорится, talk is cheap. | ||
Ответить | Правка | Наверх | Cообщить модератору |
106. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (18), 01-Июл-24, 15:56 | ||
> который не позволяет статически запретить передавать в функцию | ||
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору |
109. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 16:05 | ||
> Разумеется библиотеки должны тратить миллионы циклов процессора на проверку того что ты должен был проверить еще при вводе. | ||
Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору |
32. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +4 +/– | |
Сообщение от Аноним (32), 01-Июл-24, 11:20 | ||
Никто не утверждал, что это не баг. | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
37. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +3 +/– | |
Сообщение от bdrbt (ok), 01-Июл-24, 11:32 | ||
Что правильно? Почитай новость внимательнее, там не юзеринпут юзается,а результат сисколов. | ||
Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору |
83. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (66), 01-Июл-24, 14:04 | ||
> Что правильно? Почитай новость внимательнее, там не юзеринпут юзается,а результат сисколов | ||
Ответить | Правка | Наверх | Cообщить модератору |
24. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –3 +/– | |
Сообщение от iCat (ok), 01-Июл-24, 10:53 | ||
Честная конкуренция? Это только в теории... | ||
Ответить | Правка | Наверх | Cообщить модератору |
26. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +5 +/– | |
Сообщение от Аноним (18), 01-Июл-24, 10:57 | ||
Читай внимательнее. Зарепортивший -- не конкурент, а просто хотел по-быстрому срубить баблишка за выявленный CVE. | ||
Ответить | Правка | Наверх | Cообщить модератору |
57. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от n00by (ok), 01-Июл-24, 12:37 | ||
Мог бы джва года писать такую библиотеку, а захотел по-быстрому. Вполне "конкурент". | ||
Ответить | Правка | Наверх | Cообщить модератору |
149. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (148), 02-Июл-24, 21:04 | ||
На какой такой практике? В универе что ли? | ||
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору |
35. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +2 +/– | |
Сообщение от Ося Бендер (?), 01-Июл-24, 11:27 | ||
Пора заводить черные (ок, сомнительные) списки для таких "репортеров", которые за баблишко людей отвлекают от работы. И как только такой спец нашел "уязвимость" сразу мордой его об черный список. | ||
Ответить | Правка | Наверх | Cообщить модератору |
47. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (47), 01-Июл-24, 12:13 | ||
Затрахать мозг разработчику -> стать мейнтейнером проекта -> внедрить троян. Что-то такое недавно было. | ||
Ответить | Правка | Наверх | Cообщить модератору |
60. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +2 +/– | |
Сообщение от Аноним (60), 01-Июл-24, 12:39 | ||
Вообще-то у автора библиотеки классическая уязвимость: сделано допущение ошибки, в расчёте, что третья сторона никогда не вернёт неверные данные. | ||
Ответить | Правка | Наверх | Cообщить модератору |
64. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от n00by (ok), 01-Июл-24, 12:45 | ||
А если будешь проверять, то подгрузят руткит по LD_PRELOAD в конце концов. А если соберёшь статически, то... ;) | ||
Ответить | Правка | Наверх | Cообщить модератору |
139. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Ivan_83 (ok), 01-Июл-24, 23:27 | ||
Не нравится - пиши всё своё. | ||
Ответить | Правка | К родителю #60 | Наверх | Cообщить модератору |
150. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (150), 02-Июл-24, 21:16 | ||
Вообще-то речь про другое. | ||
Ответить | Правка | Наверх | Cообщить модератору |
151. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Ivan_83 (ok), 03-Июл-24, 03:05 | ||
Там фикс одна строчка в реадми: подавайте на вход IP адреса в виде как они получаются на выходе системных функций. | ||
Ответить | Правка | Наверх | Cообщить модератору |
157. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от _kp (ok), 09-Июл-24, 09:10 | ||
Большие конторы подобные баги "устраняют" проще: | ||
Ответить | Правка | Наверх | Cообщить модератору |
55. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +1 +/– | |
Сообщение от Аноним (60), 01-Июл-24, 12:35 | ||
Насколько помню/понимаю, такой подходд вообще характерен для репов Ноды, и ещё раньше - для Пипа. | ||
Ответить | Правка | Наверх | Cообщить модератору |
58. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (58), 01-Июл-24, 12:38 | ||
Для любые репов даже для репы дистра. | ||
Ответить | Правка | Наверх | Cообщить модератору |
61. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (60), 01-Июл-24, 12:40 | ||
Эти-то выделялись своей культурой. На фоне остальных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
86. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (86), 01-Июл-24, 14:06 | ||
Ты за каждый васянодистр говоришь или за все? | ||
Ответить | Правка | Наверх | Cообщить модератору |
96. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (60), 01-Июл-24, 15:17 | ||
Смысл у слова "остальные" однозначно отвечает на твой вопрос. | ||
Ответить | Правка | Наверх | Cообщить модератору |
121. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (86), 01-Июл-24, 17:07 | ||
Так там все плохо лучше нпм и пупи. | ||
Ответить | Правка | Наверх | Cообщить модератору |
124. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Аноним (60), 01-Июл-24, 17:24 | ||
NPM и PyPi выделялись своей культурой в худшую сторону. На фоне остальных. | ||
Ответить | Правка | Наверх | Cообщить модератору |
78. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +3 +/– | |
Сообщение от Вы забыли заполнить поле Name (?), 01-Июл-24, 13:41 | ||
> но за 5 месяцев число загрузок снизилось до 17 млн в неделю | ||
Ответить | Правка | Наверх | Cообщить модератору |
88. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | –1 +/– | |
Сообщение от Аноним (88), 01-Июл-24, 14:14 | ||
>В частности, для совершения атаки необходимо добиться передачи своего значения в функции isPublic() и isPrivate(), в то время как информацию об IP-адресе подключающегося клиента, как правило, получают из системных функций или переменной окружения web-сервера, которые изначально выдают только корректные значения. | ||
Ответить | Правка | Наверх | Cообщить модератору |
137. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Ivan_83 (ok), 01-Июл-24, 23:22 | ||
Да болт с вами, не нравится - присылайте пулл регвесты с фиксами. | ||
Ответить | Правка | Наверх | Cообщить модератору |
143. "Раздутый отчёт об уязвимости вынудил разработчика..." | +/– | |
Сообщение от arisu (ok), 02-Июл-24, 03:40 | ||
действительно. ишь, хам какой: работает бесплатно и не хочет при этом по щелчку пальцев подпрыгивать. он Обязан Же! | ||
Ответить | Правка | К родителю #88 | Наверх | Cообщить модератору |
116. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Kuromi (ok), 01-Июл-24, 16:33 | ||
Так он психанул и полностью снес свою разработку в стиле "Пошил вы все на"? | ||
Ответить | Правка | Наверх | Cообщить модератору |
120. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от нах. (?), 01-Июл-24, 16:40 | ||
> Так он психанул и полностью снес свою разработку в стиле "Пошил вы | ||
Ответить | Правка | Наверх | Cообщить модератору |
128. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Вы забыли заполнить поле Name (?), 01-Июл-24, 20:50 | ||
> на время заблочил | ||
Ответить | Правка | Наверх | Cообщить модератору |
138. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Ivan_83 (ok), 01-Июл-24, 23:25 | ||
Автор несколько уныл. | ||
Ответить | Правка | Наверх | Cообщить модератору |
140. "Раздутый отчёт об уязвимости вынудил разработчика node-ip пе..." | +/– | |
Сообщение от Вы забыли заполнить поле Name (?), 02-Июл-24, 01:20 | ||
Почему вообще в nodejs в стандартной бибилиотеке нет этого функционала? | ||
Ответить | Правка | Наверх | Cообщить модератору |
144. Скрыто модератором | –1 +/– | |
Сообщение от arisu (ok), 02-Июл-24, 03:43 | ||
Ответить | Правка | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |