Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Критическая уязвимость в Wasmtime, runtime для WebAssembly-приложений"	+/–
Сообщение от opennews (?), 10-Мрт-23, 18:12
В корректирующих обновлениях Wasmtime 6.0.1, 5.0.1 и 4.0.1 устранена уязвимость (CVE-2023-26489), которой присвоен критический уровень опасности. Уязвимость позволяет организовать запись  данных в области памяти вне границы, допустимой для изолированного WebAssembly-кода, что потенциально может быть использовано атакующим для организации выполнения своего кода вне изолированного окружения WASI... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58775
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Иваня (?), 10-Мрт-23, 18:12	+20 +/–
Смысл было писать это на Rust? От уязвимостей он не спасёт...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12, #20, #40

2. Сообщение от Аноним (2), 10-Мрт-23, 18:13	+31 +/–
" запись данных в области памяти вне границы " " на языке Rust " ну дык! на C писать надо было!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #7

6. Сообщение от Аноним (26), 10-Мрт-23, 18:18	+2 +/–
С си такое не могло случиться, потому что там никто не верит в обещания.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #98

7. Сообщение от Аноним (7), 10-Мрт-23, 18:18	+6 +/–
Переполнение то в машинном коде, генерируемом кодом на Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #31, #64

10. Сообщение от AKTEON (?), 10-Мрт-23, 18:23	+4 +/–
Выбери что-то одно : производительность, безопасность , работу с не доверенными источниками
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33, #48, #143, #228

11. Сообщение от annonn (?), 10-Мрт-23, 18:29	+/–
логическая ошибка, печально, но хорошо что заметили возможно в будущем научатся и их отлавливать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

12. Сообщение от annonn (?), 10-Мрт-23, 18:30	–2 +/–
а он обещал спаси от логических ошибок? или ты это сам придумал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39, #77

15. Сообщение от Аноним (15), 10-Мрт-23, 18:44	+1 +/–
Не научатся. Кодогенератор очень сложный, в нем легко сделать ошибку
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17, #121

17. Сообщение от anonimusIII (?), 10-Мрт-23, 18:58	+/–
ну в 60х годах прошлого века про интернет только задумывались видеозвонки были в научной фантастике наравне с телепортом и фазером VR, машинное обучение, распознавание образов - думаю тоже только в фильмах и книгах кто знает что будет через лет 20-30 и это без учета того, что уже сейчас некоторые инструменты могут находить некоторые логические ошибки - например копипаста в условиях if
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #21, #120

19. Сообщение от Рустик (?), 10-Мрт-23, 19:06	+/–
Какая-то лоускильная байда. Сишный код в чужую память не залезает и проверка делается бесплатно на уровне mmu, а эти получается, в рантайме чекают каждое обращение к памяти? Должно тормозить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50, #87

20. Сообщение от Аноним (20), 10-Мрт-23, 19:07	–3 +/–
если бы писали на другом языке, то уязвимостей было бы сильно больше и да, раст не серебрянная пуля
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #24, #25

21. Сообщение от Аноним (26), 10-Мрт-23, 19:07	+/–
Люди пытаются воплотит то, что уже было придумано. Если сейчас этого никто не видит, то это не случится через 20-30 лет. Кроме того, там ресурсы подходят к концу. Эффективные портативные источники энергии так и не изобрели -- натриевые аккумуляторы менее опасны, но и менее эффективны. Нанометры тоже невозможно уменьшать бесконечно, и уже сегодня они не настоящие.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #37, #142

24. Сообщение от Аноним (24), 10-Мрт-23, 19:11	+2 +/–
Серебряная пуля – Modula 2.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

25. Сообщение от Аноним (25), 10-Мрт-23, 19:14	+/–
>если бы писали на другом языке, то уязвимостей было бы сильно больше Какое сильное утверждение. Обосновывать его ты конечно же не будешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

26. Сообщение от Аноним (26), 10-Мрт-23, 19:18	+2 +/–
Там вроде Ada выбирают сегодня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

31. Сообщение от Аноним (39), 10-Мрт-23, 19:22	+2 +/–
А растаманы обещали, что все проверки границ будут в компилтайме...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #60

33. Сообщение от Аноним (39), 10-Мрт-23, 19:23	+4 +/–
> Выбери что-то одно Примечательно, что раста в этом списке нету.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

37. Сообщение от anon_III (?), 10-Мрт-23, 19:35	–2 +/–
> Люди пытаются воплотит то, что уже было придумано. давай стразу определимся - то что не противоречит текущей физике, возможно к воплощению а дальше как повезет - если откроем неизвестные законы физики, может и к звездам полетим из того что не противоречит физике и уже исследуется: - про батарейки ты и так написал, думаю в ближайшие лет 10-15 будут продолжать улучшаться - нанометры можно улучшать, новые материалы, более жесткий ультрафиолет, или пространственное размещение слоев (типа Gate-All-Around) - новые виды памяти (ReRAM, MRam) и прочие думаю еще имеют потенциал для развития, результатом которого может стать объединение оперативной и энергонезависимой памяти (идеально для реализации машины Тьюринга) - квантовые компьютеры (уже есть куча разных вариантов технологии, которые в итоге сведуться в нескольким под запросы пользователей) - оптоэлектроника (уже есть в каждом gpon терминале), возможно разовьется в полноценные транзисторные сборки или даже микроконтролеры - системы соединения нервов и електроники, уже есть прототипы - электростанции и фабрики в космосе - одноступенчатые корабли на орбиту - ядерные реакторы и плазменные двигатели типа VASIMR - ... Если в ближайшие 30 лет не запустят управляемый термояд, тогда придется строить много ветряков, солнечных панелей и ядерных реакторов для базовой выработки. В общем есть куча всего интересного что можно сделать и есть куда стремится)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #41, #42, #119

39. Сообщение от Аноним (39), 10-Мрт-23, 19:36	+8 +/–
фигасе ошибочка - переполнение буфера на десятки гигабайт!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #47

40. Сообщение от eganru (?), 10-Мрт-23, 19:38	–2 +/–
[i]Смысл было писать это на Rust?[/i] - потому что кто-то любит rust и решил написать на нем свой проект. Вы почему-то рассматриваете, что альтернативой будет что-то лучше: по моему опыту в 9 случаях из 10 альтернативой было бы, что никто бы ничего делать не стал. Хотят - пусть пишут. Хоть на чем. Нравится rust? Пожалуйста. Хоть на чем пусть пишут, главное пишут и радуются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #44, #55

41. Сообщение от Аноним (39), 10-Мрт-23, 19:39	+1 +/–
> одноступенчатые корабли на орбиту Послать тебя почитать хотя бы Циолковского, что ли...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #45

42. Сообщение от Аноним (39), 10-Мрт-23, 19:42	+/–
> Если в ближайшие 30 лет не запустят управляемый термояд Дак Европе сейчас не до него... Так что про ИТЭР можно забыть, распилили там уже все средства и камеру тоже (гуглите про дыры в сварочных швах, даже это сделать не смогли).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #51

44. Сообщение от Аноним (39), 10-Мрт-23, 19:46	+1 +/–
> радуются В итоге, диапазон виртуальной памяти от 6 до 34 ГБ от базового адреса оказывался доступен для чтения и записи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #46

45. Сообщение от anon_III (?), 10-Мрт-23, 19:54	–2 +/–
DC-X, Skylon, Корона - да попытки оказались неудачные но если каждый раз при неудаче отказывались от идеи, то сегодня сидели бы в пещерах
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #53

46. Сообщение от eganru (?), 10-Мрт-23, 19:55	+/–
Вот эти программы без багов, они сейчас здесь, с нами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #56

47. Сообщение от anon_III (?), 10-Мрт-23, 19:57	–1 +/–
в Heartbleed можно было читать всего 64 килобайт памяти и от этого стало легче? напомни когда размер уязвимости начали мерять в Гб буфера?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #57

48. Сообщение от anon_III (?), 10-Мрт-23, 19:58	–3 +/–
но и С тоже
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

49. Сообщение от ChatGPT (?), 10-Мрт-23, 20:01	+3 +/–
>(rule 3 (amode_add (Amode.ImmReg off (valid_reg base) flags) >                   (uextend (ishl index @ (iadd _ _) (iconst (uimm8 >shift))))) >      (if (u32_lteq (u8_as_u32 shift) 3)) >     (Amode.ImmRegRegShift off base index shift flags)) запутались в _@_ ^-^
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52

50. Сообщение от ChatGPT (?), 10-Мрт-23, 20:02	+6 +/–
И будет тормозить, это же для веба
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #156

51. Сообщение от anon_III (?), 10-Мрт-23, 20:10	–1 +/–
до него или нет - посмотрим + не итером единым (есть тот же JET) кроме токамаков есть варианты со стеллаторами, эксперименты с пробкотронами (TAE, Hellion Energy, российский ГДМЛ), лазерные технологии (NIF) есть еще интересные идеи у Zap Energy и это без китайцев которые не сильно открыты в публикациях
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #54

52. Сообщение от Аноним (39), 10-Мрт-23, 20:15	+3 +/–
> запутались в _@_ безопасно запутались... всего-то на 28 гигабайт переполнили...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

53. Сообщение от Аноним (39), 10-Мрт-23, 20:16	+1 +/–
> каждый раз при неудаче отказывались от идеи до сих пор изобретаешь перпетум мобиле?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

54. Сообщение от Аноним (39), 10-Мрт-23, 20:18	+/–
> кроме токамаков есть варианты ... ... расширения угольных разрезов в ЕС.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

55. Сообщение от Аноним (55), 10-Мрт-23, 20:20	+1 +/–
>никто бы ничего делать не стал. Так было бы лучше. Меньше всякого культистского дерьма, к тому же уязвимого, людям бы приходилось использовать (есть альтернативно одарённые, предлагающие все программы компилировать в wasm и так распространять).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40

56. Сообщение от Аноним (39), 10-Мрт-23, 20:21	+/–
растаманы обещали справиться с переполнением буфера на этапе компиляции, а тут вона как неожиданно получилось...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #59

57. Сообщение от Аноним (39), 10-Мрт-23, 20:23	+/–
с того самого, когда переполнение в 1 байт и в 1 ГБ - вещи, мягко сказать, совсем разные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

59. Сообщение от Аноньимъ (ok), 10-Мрт-23, 20:29	+1 +/–
Вы новость вообще читали? Раст тут причём? Ошибка в генерированном программой коде. Генератор написан с логической ошибкой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от Аноньимъ (ok), 10-Мрт-23, 20:30	+3 +/–
Так они все в компайлтайме для кода на раст и выполняются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31 Ответы: #66

62. Сообщение от НяшМяш (ok), 10-Мрт-23, 20:38	+2 +/–
Опять местные кексперты показали уровень кекспертности. В пулике ни строки на расте не пофиксили, а код на ISLE - чёто типа ассемблера. Хотя чего это я, ни один кексперт и строки кода в своей жизни не написал, он асм от хтмля не отличит.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109, #131

64. Сообщение от ИмяХ (?), 10-Мрт-23, 20:45	+2 +/–
Хорошую отмазку придумали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

66. Сообщение от Аноним (39), 10-Мрт-23, 20:49	+/–
> все в компайлтайме критическая уязвимость с тобой не согласна.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #72, #110

72. Сообщение от Аноньимъ (ok), 10-Мрт-23, 21:15	+/–
>> все в компайлтайме > критическая уязвимость с тобой не согласна. Переполнение буфера не в раст коде происходит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #99, #107, #234

77. Сообщение от trdm (ok), 10-Мрт-23, 21:24	+2 +/–
> а он обещал спаси от логических ошибок? си не за это же распинают? глючит человек, а страдает репутация языка. это тупо...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

87. Сообщение от Вы забыли заполнить поле Name (?), 10-Мрт-23, 21:43	+5 +/–
"Программа на С выходит за границы массива" - ааа! уязвимость! дырявая сишка! "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #88, #97, #112

88. Сообщение от Аноним (88), 10-Мрт-23, 21:50	+1 +/–
> "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо! Где ты там видишь программу на расте, выходящую за границы массива, о Воен Супротив Раста?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #118, #190

89. Сообщение от VoiD (?), 10-Мрт-23, 21:56	+3 +/–
Каким же раздутым и абсурдным стал современный web.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #93, #117

93. Сообщение от Аноним (39), 10-Мрт-23, 22:36	+1 +/–
особенно когда "Инструментарий написан на языке Rust".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

96. Сообщение от раст переусложнён (?), 11-Мрт-23, 00:12	+4 +/–
надо усложнить язык Rust так, чтобы в нём было невозможно допустить логические ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #124

97. Сообщение от Аноним (98), 11-Мрт-23, 00:13	+/–
"Программа на С выходит за границы массива" - ааа! уязвимость! дырявая сишка! Именно так "Программа, сгенеренная программой на rust, выходит за границы массива" - сама программа на расте никуда не вышла. Жаль что ты такой особенный, что не понимаешь разницы. Даже удивительно, что ты в состоянии писать на си.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87

98. Сообщение от Аноним (98), 11-Мрт-23, 00:15	+3 +/–
Угу, в си оно бы получило рут еще на этапе генерации кода))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #133

99. Сообщение от Аноним (99), 11-Мрт-23, 00:27	+2 +/–
>>уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift Cranelift (formerly known as Cretonne) is an optimizing compiler backend that converts a target-independent intermediate representation into executable machine code. It is written in Rust... ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #100

100. Сообщение от Аноньимъ (ok), 11-Мрт-23, 00:59	+/–
И?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #101

101. Сообщение от Аноним (99), 11-Мрт-23, 01:14	+2 +/–
Буфер переполняет код, сгенерированный кодом, написанном на расте Сгенерированный код руками не правится и не проверяется Конечно, это другое, но переполнение буфера можно считать результатом работы раст-программиста) Безо всяких unsafe справились)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100 Ответы: #108, #111

103. Сообщение от Аноним (103), 11-Мрт-23, 01:41	+3 +/–
"а уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift, транслирующем независимое от аппаратных архитектур промежуточное представление в исполняемый машинный код для архитектуры x86_64." Больше оберток и разных. Больше абстраций кем-то придуманных и не всеми понимаемых. Долой простоту Си.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #116

104. Сообщение от Аноним (103), 11-Мрт-23, 01:44	+1 +/–
А где гарантия что это последняя логическая ошибка? Язык уже сложен? Сложность превалирует над безопасностью?
Ответить | Правка | Наверх | Cообщить модератору

107. Сообщение от Аноним (107), 11-Мрт-23, 01:51	+/–
Чел, зачем ты пишешь, если ты не профик? Приходи в треды по своей профессии и там общайся. Смысл то какой белый шум генерить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

108. Сообщение от Аноньимъ (ok), 11-Мрт-23, 01:53	+2 +/–
Да, логическая ошибка в коде допущенная программистом. Раст не защищает от логических ошибок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #123, #140

109. Сообщение от Аноним (107), 11-Мрт-23, 01:55	–1 +/–
Логическая ошибка. АСМ от хтмл отличить очень просто - первый не является ЯВУ, а второй является языком разметки. Логичней было бы сказать "С от Bliss не отличит". Впрочем я сильно сомневаюсь, что ты знаешь что такое bliss..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

110. Сообщение от Олексий (?), 11-Мрт-23, 02:06	–1 +/–
А ничо что бага в асме и раст тут вообще не причём? Или "не читал, но осуждаю"? Понабежало школьников опять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66 Ответы: #141

111. Сообщение от Олексий (?), 11-Мрт-23, 02:09	+/–
Ну раст это хотя бы лучшее что у нас есть, на с/с++ проблемы бы вылезли ещё на этапе считывания файла с диска или парсинга :) А так у ребят будет раз в 10 меньше секьюрити багов (согласно статистике типов уязвимостей). Учите матчасть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

112. Сообщение от Олексий (?), 11-Мрт-23, 02:13	+/–
`subprocess.run(sys.argv[1])` А! Питон позволяет запустить любую команду без проверок! Питон насквозь дырявый! А! А, нет, стоп, это же то, что я хотел. Язык никогда не ограничивает разработчика в той логике, которую он может реализовать, только в инструментах для этого. Вы хоть одну строку кода в своей жизни написали? :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #129, #150, #205

116. Сообщение от uis (??), 11-Мрт-23, 02:50	+/–
Не, это как раз нормально, именно так компиляторы и делают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103

117. Сообщение от uis (??), 11-Мрт-23, 02:51	+1 +/–
Rust.js
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

118. Сообщение от uis (??), 11-Мрт-23, 02:55	+1 +/–
https://github.com/bytecodealliance/wasmtime
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #188

119. Сообщение от uis (??), 11-Мрт-23, 03:11	+1 +/–
>квантовые компьютеры Им до сих пор применение не нашли. Кроме взлома шифров, да и то теперь пост-квант есть. >оптоэлектроника (уже есть в каждом gpon терминале), возможно разовьется в полноценные транзисторные сборки или даже микроконтролеры ... >возможно разовьется в полноценные транзисторные сборки О нет, раскопали мумию. FYI микросхемы существуют уже лет... 50? 60? >системы соединения нервов и електроники, уже есть прототипы Боюсь спросить "електроники" или твоих невов? Когда ожидать сложных структур из нервов? Как скоро выйдет прототип мозга? >ядерные реакторы В планах? Беру свои слова назад, микросхемы появятся только через 15-20 лет. >тогда придется строить много ветряков, солнечных панелей и ядерных реакторов для базовой выработки. Когда появится прототип мозга, попробуй им понять, что ты тут сгенерировал. Твой прототип вообще понимает, что такое базовая выработка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

120. Сообщение от Аноним (120), 11-Мрт-23, 04:29	+/–
> видеозвонки были в научной фантастике В 60-х годах-то? К этому времени они уже давно вышли из области фантастики, просто, как бы так выразиться, были не особо доступны массово.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

121. Сообщение от Аноним (121), 11-Мрт-23, 05:44	+/–
Уже научились, формальное доказательство корректности кода, и языки с зависимыми типами, позволяющие записать доказательство средствами самого языка - Idris, например. Но это очень трудоемко. Для кода управления ядерным реактором или системами жизнеобеспечения затраты приемлемы, для этих ваших вебов - нафиг не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #144

123. Сообщение от Sw00p aka Jerom (?), 11-Мрт-23, 06:38	+/–
>Раст не защищает от логических ошибок. Раст написанный на расте защитит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108

124. Сообщение от Sw00p aka Jerom (?), 11-Мрт-23, 06:44	+2 +/–
Зачем так сложно, отключите логику и делов то :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96 Ответы: #200

125. Сообщение от нуда (?), 11-Мрт-23, 07:18	+1 +/–
Чьто такое runtime? Время выполнения?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #173

129. Сообщение от Аноним (39), 11-Мрт-23, 08:13	+/–
> subprocess.run(sys.argv[1]) проблемка в том, что "sys.argv[1]" - творение растаманов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #146, #162

131. Сообщение от Аноним (131), 11-Мрт-23, 10:44	+3 +/–
Так ты сам за всю жизнь ни одной строки кода не написал, чего выпендриваешься?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #134

133. Сообщение от Аноним (26), 11-Мрт-23, 10:45	+/–
Уязвимости в коде, генерируемом тем же, bison не шутка, но поэтому и нет доверия. Ничему. Когда ты ожидаешь, что кто-то уже позаботился об определённых вещах за тебя (ведь в рекламе не будут врать), ты расслабляешь булки. Это нормальное и ожидаемое поведение для приматов, как по мне, грязно только эксплуатировать природные особенности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

134. Сообщение от НяшМяш (ok), 11-Мрт-23, 11:29	–1 +/–
Значит знаю о чём говорю xD
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #131

140. Сообщение от uis (??), 11-Мрт-23, 12:20	–2 +/–
Если отстутствие проверки жоступа к памяти - логическая ошибка, то в расте по заявлением создателей не бывает логических ошибок. Тут как обычно: если это происходит на си, то сишка плохая, а если на расте, то программист
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #153, #196

141. Сообщение от Аноним (141), 11-Мрт-23, 13:19	–1 +/–
Они думают, что чем больше бреда напишут - тем больше их будут слушать. Необучаемые)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

142. Сообщение от anonymous (??), 11-Мрт-23, 13:20	–2 +/–
>"Нанометры тоже невозможно уменьшать бесконечно, и уже сегодня они не настоящие. " Ага вот эти ребята. Для вас уродов не имеющих даже массового надежного производства хотя бы 120нм хорошая отмазка, все же хорошо микроэлектроника российская давно не нужна (уперлись в нанометры) надо петон ИИ худи с какртинкой в комплекте, штурмовать и закупать дроны дижиай ссылка в описании. Собрать бы вас на одном параходе. И похрен что размер атома известен и можно тупо посчитать школьнику 2 класса сколько их вмещается в канавы 3 нм размером а говорят уже и к 2 нм подбираются в массовом производстве. Ненене уперлись в нанометры ололо я читалс татью уперлись дутые они дутые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #151

143. Сообщение от Аноним (141), 11-Мрт-23, 13:21	+1 +/–
Производительность может быть безопасной. В ваше ЦПШ об этом не рассказывали? Ну так ты в вуз поступи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #158, #210

144. Сообщение от Аноним (141), 11-Мрт-23, 13:22	+/–
Профаны не понимают этого, бро.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #121

146. Сообщение от Аноним (146), 11-Мрт-23, 13:38	+/–
В растений вроде os.argv ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129 Ответы: #147

147. Сообщение от Аноним (146), 11-Мрт-23, 13:42	+/–
Прошу прощение, не уследил за автоподстановкой. Не растение, а расте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #146

150. Сообщение от Аноним (146), 11-Мрт-23, 13:58	+/–
Многие языки позволяют запустить процесс по строке имени, если есть собственная реализация exec или доступ к системным вызовам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

151. Сообщение от Аноним (26), 11-Мрт-23, 14:01	+1 +/–
Я искренне надеюсь, что тебя тоже "денафицируют" (желательно свои же, для отельных лулзов).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #142

153. Сообщение от Анонимусс (?), 11-Мрт-23, 14:35	+1 +/–
Как ты вообще живешь с таким мозгом? > отстутствие проверки жоступа к памяти где произошло? В раст коде? Нет, не в раст коде, там все ок. Или ты предлагаешь раст-проверки еще и в другой генерированный код добавлять? > если это происходит на си, то сишка плохая, а если на расте, то программист Если взять питон и написать кодогенератор для си и там будет такая проблема - то тоже будет виноват программист (хотя при кодогенерации раст-кода, раст бы спас ситуацию)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

154. Сообщение от Аноним (154), 11-Мрт-23, 14:41	–1 +/–
В привиденном линке код не на расте написан, а на ассемблере. И фикс на нем. https://github.com/bytecodealliance/wasmtime/commit/63fb30e4... Ахаха, растохейтеры не читают новость, а сразу комментировать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #181, #214, #223

156. Сообщение от trdm (ok), 11-Мрт-23, 14:45	+/–
а-ха-ха... традиция такая....
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

158. Сообщение от AKTEON (?), 11-Мрт-23, 14:50	+4 +/–
Кричали выпускники провинциальных вузов, пока не приехал spectre
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

161. Сообщение от kusb (?), 11-Мрт-23, 15:59	–1 +/–
Я попросил OpenAI, что нужно делать, чтобы выполнить мечту многих на Опеннете. - [ ]  Провести исследование о причинах популярности языка Rust - [ ]  Подготовить аналитический отчет на основе проведенного исследования - [ ]  Разработать стратегию по уменьшению числа проектов, использующих Rust - [ ]  Создать блог, посвященный проблемам, связанным с использованием Rust - [ ]  Организовать кампанию в социальных сетях для привлечения внимания к проблемам использования Rust - [ ]  Провести обучающие курсы по альтернативным языкам программирования - [ ]  Поддерживать контакт с сообществом разработчиков и продолжать продвижение альтернативных языков - [ ]  Создать петицию с требованием ограничения использования Rust в крупных проектах - [ ]  Подготовить материалы для конференции, посвященной проблемам Rust, и выступить с презентацией - [ ]  Создать альтернативный инструмент, который позволит использовать другие языки программирования вместо Rust - [ ]  Провести интервью с разработчиками, которые используют Rust, и выяснить, почему они выбрали именно этот язык - [ ]  Спонсировать разработку альтернативных языков программирования и создание инструментов для их использования - [ ]  Провести рекламную кампанию, направленную на привлечение разработчиков в сообщество альтернативных языков программирования - [ ]  Организовать хакатон, посвященный разработке проектов на альтернативных языках программирования - [ ]  Вовлечь в кампанию компании, предоставляющие услуги программирования и производство программного обеспечения, чтобы они использовали альтернативные языки программирования - [ ]  Создать открытый проект, где разработчики могут делиться своим опытом использования Rust и альтернативных языков программирования - [ ]  Провести опрос разработчиков, чтобы выяснить, какие языки программирования они предпочитают, и на основе этого разработать стратегию дальнейшего продвижения альтернативных языков - [ ]  Создать образовательную программу для студентов и начинающих разработчиков, где они могут изучать альтернативные языки программирования и получать сертификаты - [ ]  Выступить на международных конференциях и выставках, чтобы привлечь внимание к проблемам использования Rust и продвижению альтернативных языков программирования - [ ]  Участвовать в разработке стандартов, которые будут регулировать использование Rust и других языков программирования в крупных проектах - [ ]  Создать онлайн-курсы и видеоуроки по альтернативным языкам программирования, чтобы разработчики могли изучать их в любое время и в любом месте
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #174, #179, #184, #208, #220

162. Сообщение от Аноним (162), 11-Мрт-23, 16:05	+/–
Это python
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

173. Сообщение от Аноним (173), 11-Мрт-23, 17:44	+/–
Точнее этап выполнения, чтобы не путать с тем сколько времени выполняется программа. )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

174. Сообщение от Аноним (173), 11-Мрт-23, 17:50	+/–
Чек-лист, когда комьюнити недовольно растом. )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

179. Сообщение от Аноним (179), 11-Мрт-23, 18:28	+2 +/–
> по альтернативным языкам программирования Zig выглядит очень хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

180. Сообщение от Аноним (98), 11-Мрт-23, 18:29	+/–
Если был бы код на си - была бы такая же дырень. Как в TPM, хардблид, или ядре... тысячи их
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #200 Ответы: #186

181. Сообщение от Аноним (181), 11-Мрт-23, 19:36	+3 +/–
А ещё ОС не на расте, процессор не на расте, и, говорят, сами программисты тоже не на расте, а с помощью дырявой ДНК написаны. Вот когда вселенную перепишут на расте - вот тогда не будет уязвимостей, а до тех пор никакие претензии не принимаются.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154 Ответы: #202

184. Сообщение от Аноним (184), 11-Мрт-23, 20:10	+1 +/–
> Участвовать в разработке стандартов, которые будут регулировать использование Rust и других языков программирования в крупных проектах Для начала, неплохо бы, сам язык стандартизировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #185

185. Сообщение от Аноним (131), 11-Мрт-23, 20:16	+1 +/–
Как это сделать если у них цель сложность ради сложности. Как только ты что-то стандартизировал ты сразу снизил сложности и прекратил дальнейшее усложнение в рамках версии. Это недопустимо.  Сложность должна быть сложной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #184 Ответы: #195

186. Сообщение от Аноним (131), 11-Мрт-23, 20:17	+/–
Если бы это было написано на расте там было бы столько же дыреней, но стоил бы этот код в 10 раз дороже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #180

188. Сообщение от Аноним (88), 11-Мрт-23, 21:57	–1 +/–
> https://github.com/bytecodealliance/wasmtime Настоящие Воены не читают дальше заголовка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118

190. Сообщение от Вы забыли заполнить поле Name (?), 11-Мрт-23, 22:30	+/–
>> "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо! > Где ты там видишь программу на расте, выходящую за границы массива, о > Воен Супротив Раста? Уже не в состоянии в код посмотреть? Растоман во всей красе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88 Ответы: #194

194. Сообщение от Аноним (88), 12-Мрт-23, 00:18	–3 +/–
>>> ;   movl    %esi, %ecx ;   movq    -1(%rdi,%rcx,8), %rax ;   movq    %rsi, %rdx ;   shll    $3, %edx, %edx ;   movq    -1(%rdi,%rdx,1), %rax >>> "Программа на rust выходит за границы массива" - это не уязвимость, а логическая ошибка, понимать надо! >> Где ты там видишь программу на расте, выходящую за границы массива, о >> Воен Супротив Раста? > Уже не в состоянии в код посмотреть? Растоман во всей красе. Газификаторы луж^W^W Воены Супротив Раста во всей красе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #190 Ответы: #236

195. Сообщение от Аноним (195), 12-Мрт-23, 00:54	+1 +/–
> сложность ради сложности Три слова и ты описал всё современное IT.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #185

196. Сообщение от Аноним (196), 12-Мрт-23, 03:22	+/–
>  то в расте по заявлением создателей не бывает логических ошибок. с дуба рухнул? От логических, как эта, ничего не спасает. Только в твоих влажных мечтах создатели раста могли такое заявлять. Раст спасает от ошибок работы с памятью, коих под 70% от всех ошибок в типичном си-коде. От того, что ты там знаки больше-меньше перепутаешь или умножишь вместо деления ничто не спасет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #140

200. Сообщение от Tron is Whistling (?), 12-Мрт-23, 09:25	+/–
Поздно :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124 Ответы: #180

202. Сообщение от Аноним (131), 12-Мрт-23, 09:53	+/–
Всё равно будут уязвимости, так то можно даже не напрягаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #181

204. Сообщение от Аноним (205), 12-Мрт-23, 10:53	+/–
> запись данных в область памяти вне границы, > допустимой для изолированного WebAssembly-кода, > Инструментарий написан на языке Rust Но как же так, Холмс?! :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #207, #238

205. Сообщение от Аноним (205), 12-Мрт-23, 10:55	+/–
> А! Питон позволяет запустить любую команду без проверок! Питон насквозь дырявый! А! А за эттим в соседнюю новость, где питоняши не слышали что входные данные еще и проверять надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112

207. Сообщение от Аноним (88), 12-Мрт-23, 11:42	+1 +/–
>>> а уязвимость вызвана логической ошибкой при определении правил линейной адресации памяти в генераторе кода Cranelift, транслирующем независимое от аппаратных архитектур промежуточное представление в исполняемый машинный код для архитектуры x86_64. ... >>> This commit removes two incorrect rules as part of the x64 backend's computation of addressing modes. These two rules folded a zero-extended 32-bit computation into the address mode operand, but this isn't correct as the 32-bit computation should be truncated to 32-bits - ;   movl    %esi, %ecx - ;   movq    -1(%rdi,%rcx,8), %rax + ;   movq    %rsi, %rdx + ;   shll    $3, %edx, %edx + ;   movq    -1(%rdi,%rdx,1), %rax >> запись данных в область памяти вне границы, >> допустимой для изолированного WebAssembly-кода, >> Инструментарий написан на языке Rust > Но как же так, Холмс?! :) Элементарно Ватсон! Настоящие опеннетные Воены Супротив Раста не читают дальше заголовка и не умеют в ЯП ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #204

208. Сообщение от Аноним (-), 12-Мрт-23, 12:26	+/–
> Я попросил OpenAI, что нужно делать, ChatGPT залогинься! И базу русского подгоните ему нормальную, ну что за позор то, alicebot лучше чатился.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161 Ответы: #209

209. Сообщение от kusb (?), 12-Мрт-23, 12:36	+/–
А что не так с его словами?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #208

210. Сообщение от Аноним (-), 12-Мрт-23, 12:51	+/–
> Производительность может быть безопасной. ...так появился САБЖ :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #143

214. Сообщение от Аноним (214), 12-Мрт-23, 15:29	–1 +/–
Вот что бывает, когда свой ЯП узковат для замысла программиста. Они лезут туда чем пользоваться не умеют.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

220. Сообщение от Аноним (220), 12-Мрт-23, 17:56	+/–
То самое чувство, когда ИИ написал в сто раз более полезный комментарий, чем любой из критиков этого языка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

223. Сообщение от Аноним (223), 12-Мрт-23, 18:46	+/–
> В привиденном линке код не на расте написан, а на ассемблере. И фикс на нем. "на расте написан ЧПУ, это он намотал токаря на вал а не раст!"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

228. Сообщение от Енот Берт (?), 12-Мрт-23, 23:44	+/–
Wasmtime is a fast and secure runtime for WebAssembly. Это лол...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

234. Сообщение от Аноним (234), 13-Мрт-23, 08:01	–1 +/–
Конечно, код на расте - это же буквы и цифры. Какое там может быть переполнение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

236. Сообщение от Аноним (236), 13-Мрт-23, 11:01	+/–
> ;   movq    -1(%rdi,%rcx,8), %rax > ;   movq    %rsi, %rdx > ;   shll    $3, %edx, %edx > ;   movq    -1(%rdi,%rdx,1), %rax > Газификаторы луж^W^W Воены Супротив Раста во всей красе. Ты сам то посмотри, что копируешь. Два чтения из памяти в аккумулятор. Подряд. Ты пялился в код и  тебя не смутило, что первое чтение не имеет смысла? На само деле вот: - ;   movl    %esi, %ecx - ;   movq    -1(%rdi,%rcx,8), %rax + ;   movq    %rsi, %rdx + ;   shll    $3, %edx, %edx + ;   movq    -1(%rdi,%rdx,1), %rax Удалённый вариант адресовал без ограничений. Новый вариант сбрасывает старшие 32 разряда rdx, поскольку операндом команды shll является edx. https://github.com/bytecodealliance/wasmtime/commit/63fb30e4...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #194 Ответы: #239

238. Сообщение от Аноним (-), 14-Мрт-23, 14:45	+/–
Внезапно оказывается, что полагаться на безопасные язычки не стоит и надо учиться кодить безопасно самому, да ещё и с ресурсами работать. Никогда такого не было и вот опять. ...А потом ещё окажется, что безопасные язычки отучают думать о ресурсах и безопасности - вот вою-то на болотах прибавится!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #204

239. Сообщение от Аноним (239), 18-Апр-23, 15:57	+/–
> Ты сам то посмотри, что копируешь. Два чтения из памяти в аккумулятор. > Подряд. Ты пялился в код и  тебя не смутило, что первое чтение не имеет смысла? > На само деле вот: > - ;   movl    %esi, %ecx > - ;   movq    -1(%rdi,%rcx,8), %rax > + ;   movq    %rsi, %rdx > + ;   shll    $3, %edx, %edx > + ;   movq    -1(%rdi,%rdx,1), %rax Ну ты вон пялился в код и писал разоблачительный коммент, при этом тебя не смутило, что цитированный код идентичен твоему - за исключением плюсиков и минусиков (которые в новой-модной верстке не в каждом браузере копируются)?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #236

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема