Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в GnuPG, позволяющие обойти верификацию и выполнить свой код "	+/–
Сообщение от opennews (?), 28-Дек-25, 13:21
На проходящей в Германии конференции 39C3 (Chaos Communication Congress) раскрыты детали о 12 ранее неизвестных и остающихся неисправленными (0-day) уязвимостях в инструментарии GnuPG (GNU Privacy Guard), предоставляющем совместимые со стандартами OpenPGP  и S/MIME утилиты для шифрования данных, работы с электронными подписями, управления ключами и доступа к публичным хранилищам ключей. Наиболее опасные уязвимости позволяют обойти проверку по цифровой подписи и добиться выполнения кода при обработке  шифрованных данных в ASCII-представлении (ASCII Armor). Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64517
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 28-Дек-25, 13:25	–1 +/–
>Рабочие прототипы эксплоитов и патчи обещают опубликовать позднее. CVE-идентификаторы пока не присвоены. Еще не все, кто надо, воспользовались :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #135

4. Сообщение от Аноним (5), 28-Дек-25, 13:28	+2 +/–
Вот это случайность так случайность. Никто не виноват. У всех коммитов есть автор и описание, но имя героя мы никогда не узнаем, потому что он не виноват, серьёзные люди его попросили чуть-чуть ошибиться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #9, #12, #47, #60, #180

5. Сообщение от Аноним (5), 28-Дек-25, 13:29	+8 +/–
Они уже, который десяток пользовались. Просто подключились пользователи из другой страны и отверстие приходится закрывать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:33	+/–
"Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE")," И "Возможность подстановки своих вторичных ключей (subkey) без их авторизации с использованием приватного компонента мастер-ключа". Я смотрю что у них ни модульного ни интеграционного тестирования с упором на безопасность не проводится... . Поделие какое то на коленке а не надежное ПО. Мдя... Особенно первая уязвимость меня убивает. Это на этапе модульного или интеграционного тестирования проверить можно.  Как минимум так это выглядит по тексту.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #71, #133

8. Сообщение от Бжежко (ok), 28-Дек-25, 13:36	+1 +/–
Усложняешь, серьезные люди это плод твоей фантазии. Очевидная причина - на Си невозможно писать сложные программы, не допуская ошибок по работе с памятью. Си устарел, он не отвечает требованиям современных вызовов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #10, #16, #23, #52, #85, #108, #115

9. Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:37	–3 +/–
Если можно списать проишествие на безолаберность и залатность, то скорее всего так и есть, а не злой умысел. Но если автор хочет везде найти чей то умысел то конечно да, он его найдет и в программе "Hello World!".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #18

10. Сообщение от Аноним (5), 28-Дек-25, 13:38	+4 +/–
Ну конечно же Си виноват, а не Анб. Анб выдумал подмосковный сумасшедший Эдик сноуден. Зачем этот выдуманный Анб навязывает Раст никому неизвестно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #38, #104

11. Сообщение от Аноним (5), 28-Дек-25, 13:39    Скрыто ботом-модератором	+4 +/–
Просто назови автора коммита. Выйди из комнаты и соверши ошибку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #15, #88

12. Сообщение от Аноним (38), 28-Дек-25, 13:44	+/–
>серьёзные люди его попросили чуть-чуть ошибиться Если возможной причиной проблемы может быть либо дурость, либо целенаправленный саботаж, то в 99,9% случаев это дурость.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #64

15. Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:49	+1 +/–
Так просто все. Иди на гит этого проекта и посмотри кто писал, кто одобрил. Все открыто же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #26

16. Сообщение от Аноним на удаленке (?), 28-Дек-25, 13:54	–5 +/–
Ага ага невозможно на си писать не выщывая проблем. Гы гы. Писать надо уметь а не обмазаться фреймворками и синтаксическим сахаром и всяким разными ржавчинами и сидеть брызгать слюной. Ну Си требует высокой квалификации и стройной системы разработки которая предотвращает такие ошибки, но это дорого, очень дорого. Реально проще взять что-то побезопасней и по современней и кучи ошибок обойти, только вот и там надо уметь писать. А то можно и на пайтоне получить утечку памяти ечли говнокодить. Но на Си можно писать зороший качественный код. Это п сложноконечно, но можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #42, #72, #80

18. Сообщение от Аноним (18), 28-Дек-25, 13:57	–1 +/–
>залатность Ну вот и большинство афторов так же считают: быстро залатанное дырявым не считается. Ы! :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

22. Сообщение от Аноним (22), 28-Дек-25, 14:03	+1 +/–
> в цикле "for" - несмотря на указание "n++" в самом цикле, счётчик увеличивается и в теле цикла О Боже, это же классика индусского кода, зачем так делать… А потом на Си гонят, якобы «язык плохой»..
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #93, #178

23. Сообщение от Аноним (23), 28-Дек-25, 14:03	+/–
Перепишут на Algol68.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

26. Сообщение от Аноним (5), 28-Дек-25, 14:08	+/–
Вот видишь у тебя а голове стоит блок на мыслепреступление. Ты не имеешь права сомневаться в большом брате.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #30

28. Сообщение от Фнон (-), 28-Дек-25, 14:09	–1 +/–
Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить? Или на крайняк компилятор должен ругаться "тут какое-то др-мо написано!" Правдо в подобных проектах обычно warning'и выключают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31, #44, #92

29. Сообщение от Аноним (5), 28-Дек-25, 14:14	+7 +/–
И это не просто ошибка в калькуляторе или там в рисоваке кнопочек и не в приложении по запросу котиков из интернета. Это библиотека по шифрованию, шифрованию Карл с 1999 года, Карл! Неожиданная неожиданность. Даже у нас все шифрование должно проходить через три буквы, а тут просто бац и "случайная" ошибка, Карл!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32, #35, #37

30. Сообщение от анонимно2 (?), 28-Дек-25, 14:14	+/–
Какой блок, если подробностей нет то и не известно где в коде проблемы. Будут опубликованы исправления можно будет смотреть чьи ошибки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #33, #123

31. Сообщение от Аноним (5), 28-Дек-25, 14:16	–3 +/–
Нет таких языков. Но есть нейросеть, чтобы проверять чужой заведомо малварный код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #163

32. Сообщение от Аноним (32), 28-Дек-25, 14:20	–4 +/–
Вы пострадали от > И это не просто ошибка в калькуляторе ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #34

33. Сообщение от Аноним (5), 28-Дек-25, 14:20	+/–
Отмазы для бедных. Просто никому невыгодно раскрывать крота. И нельзя чтобы пролы начинали задавать вопросы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

34. Сообщение от Аноним (5), 28-Дек-25, 14:21	+6 +/–
Почитай как разные либы занимаются операциями с плавающей точкой. Познаешь дзен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от Аноним (35), 28-Дек-25, 14:36	+/–
Все мы помним кто у сабжа автор и что он говорил не так давно. Бэкдорчики никого смущать не должны в такой ситуации. Глупо было бы их там не иметь при таких раскладах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43, #94

36. Сообщение от Аноним (43), 28-Дек-25, 14:37	+2 +/–
1. там в анонсе ещё секвоя была заявлена: >When looking into various PGP-related codebases for some personal use cases, we found these expectations not met, and discovered multiple vulnerabilities in cryptographic utilities, namely in *GnuPG*, *Sequoia PGP*, *age*, and *minisign*. 2. Но тут админ вообще пушку не запостил как новость: https://fahrplan.events.ccc.de/congress/2025/fahrplan/event/... Bunn1e & Xobbs запустили на TSMC производство своего RISC-V во многом опенсорсного чипа (System Verilog-код на гитхабе), спроектированного под запуск их операционки, отгрузка во втором квартале 2026.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51

37. Сообщение от Аноним (23), 28-Дек-25, 14:39	+/–
У нас-то оно должно проходить через три буквы, чтобы быть шифрованием - для кого надо "шифрованием".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

38. Сообщение от Аноним (38), 28-Дек-25, 14:39	+3 +/–
>Анб навязывает Раст У DARPA получилось "навязать" Интернет всему миру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #56, #120, #169

39. Сообщение от Аноним (43), 28-Дек-25, 14:41	+1 +/–
>Ошибка в коде парсера зашифрованных данных, распространяемых в формате ASCII-Armor (текстовые файлы с блоком "BEGIN/END PGP ARMORED FILE"), приводящая к записи в область памяти вне границы буфера Тут ещё всякие нас много лет убеждали "TLS не нужен, есть же GPG-подписи!" - но мы не верили. Некоторые корпорации принципиально не вешали TLS на сервера обновлений пакетных менеджеров. Даже после того, как их в открытую обвинили в саботаже и сотрудничестве с гебнёй.
Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Аноним (38), 28-Дек-25, 14:43	+4 +/–
>обрезка данных по границе 20000 символов при вычислении хэша Закладки так не делают. Такое можно сделать только по исключительной тупости.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #46, #50

41. Сообщение от localhostadmin (ok), 28-Дек-25, 14:44	–2 +/–
Никогда не понимал, почему всех возмущает переусложнённость systemd, но никто упорно не замечает такого слона, как gpg? Хотя он стоит по умолчанию в целой куче дистров
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #59, #98

42. Сообщение от Бжежко (ok), 28-Дек-25, 14:45	–1 +/–
Cи не столько требует высокой квалификации, сколько предельной внимательности. На Си в теории можно написать хороший, качественный код, но как ты сам выразился это дорого и долго. Таких программистов исчезающе мало, и их квалификация - это дроч с заморочками Си а не какие-то там сверхумения в алгоритмах итд. Если есть инструменты, которые позволяют сделать дешевле и быстрее, зачем тогда Си? Дрочить на инструмент - это не инженерный подход, это из разряда религий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #58

43. Сообщение от Аноним (43), 28-Дек-25, 14:46	+/–
Что конкретно вы имеете в виду? Я вот помню, что сравнительно недавно был какой-то разлад между разрабами GnuPG и стандартизаторами OpenPGP, в результате чего появились 2 стандарта, друг другу противоречащих, один в GnuPG, а другой - в других реализациях, и мне, не специалисту, не понятно, какой из них с бэкдором, вероятно что оба.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #53, #55

44. Сообщение от Аноним (44), 28-Дек-25, 14:48	+1 +/–
> Возможно в нормальном языке был бы какой-то итератор, не позволяющий овнокодить? А у скрипача должна быть скрипка, не позволяющая плохо играть?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #48, #65, #164

46. Сообщение от Аноним (46), 28-Дек-25, 14:50	–1 +/–
Закладки именно так делают. Всегда можно тыкнуть в текст лицензии, где отказ от ответственности, тыкнуть в исходник, где явно всё закодено, потом тыкнуть в морду пострадавшему и намекнуть, что он б**ло, которое не читает исходники, жрёт, что дают, и вообще не учит криптографию, не учит практики кодинга криптографии, и не пишет свою реализацию, и поэтому сам во всём виноват. Закладки - они бывают ведь разные. Одни - от б**ла, а другие - от иранских ядерных центрифуг.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #68

47. Сообщение от timur.davletshin (ok), 28-Дек-25, 14:52	+/–
У GnuPG с кодописателями вообще исторически туго. Посмотри, кто туда коммитит, сам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #130

48. Сообщение от Бжежко (ok), 28-Дек-25, 14:56	+/–
Скрипач не может навредить если сфальшивит. А вот программист может натворить дел, ценой ошибки может являться человеческая жизнь или здоровье. Ответсвенный инженер должен понимать цену ошибки и выбирать инструменты минимизирующие ее возможность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #54, #57

49. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:01	+/–
Какой-то совсем уж жёсткий набор дыр, а вот это вот - "из-за обрезки данных по границе 20000 символов при вычислении хэша" - вообще сказка. Где голова у того, кто это писал?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #174, #189

50. Сообщение от Аноним (5), 28-Дек-25, 15:02	+/–
Вот поэтому ты и не специалист по закладкам. Прятать лучше всего на самом видном месте. А в случае чего всего можно сказать что это чудовищная "случайность".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #62

51. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:02	+/–
(2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #96, #179

52. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:04	+2 +/–
Вот к этой обрезке хеша по 20000 символов C вообще отношения не имеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

53. Сообщение от Аноним (5), 28-Дек-25, 15:04	+/–
Как говорится не дайте себя обмануть в другом месте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

54. Сообщение от Tron is Whistling (?), 28-Дек-25, 15:05	+/–
Поверь, к оборудованию, "где ценой ошибки", 99% погромистов просто не подпустят, и подходы там совершенно другие. Да, проблемы бывают и там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #105

55. Сообщение от Аноним (35), 28-Дек-25, 15:05	+1 +/–
Я имею в ввиду его нытьё по поводу недостаточного признания, вечные попытки уничижать гпл, и болтология на тему прямолинейности Столлмана. Всё это позволяет составить достаточно целостную картину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

56. Сообщение от Аноним (56), 28-Дек-25, 15:06	+8 +/–
Вместо mesh-сетей, у которых нет рубильника.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #76, #114, #119

57. Сообщение от Аноним (5), 28-Дек-25, 15:07	+4 +/–
Может. Запорит концерт. Особенно если много раз сфальшивит. Потеряет репутацию свою и оркестра и никто не пригласит из на настроили и не даст денег и оркестр будет есть сухари. И да скрипач может быть засланным казачком из другого оркестра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

58. Сообщение от Аноним (5), 28-Дек-25, 15:09	+/–
Я тебя сейчас удивлю, готовься, набери воздуха в грудь. Все языки требуют предельной внимательности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #77

59. Сообщение от Фнон (?), 28-Дек-25, 15:15	+/–
Как можно не понимать такие простые вещи?? systemd делалось по заказу корпораций для угнетения админов, а gpg пишут мальчики-зайчики из проекта ГНУ!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #73

60. Сообщение от Аноним (60), 28-Дек-25, 15:15	+1 +/–
А какие у вас будут доказательства что человек специально написал уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #63, #126

62. Сообщение от Аноним (60), 28-Дек-25, 15:19	–1 +/–
Какие доказательства есть что это закладка а не человеческая ошибка?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

63. Сообщение от Фнон (?), 28-Дек-25, 15:24	–2 +/–
Э... т.е человек чисто случайно не приходя в сознание написал код? Который чисто случайно оказался овнокодищем? И совершенно случайно и совсем не специально привел к уязвимости? Звучит логично! Особенно для #define MAX_LINELEN 20000
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #75, #91, #131

64. Сообщение от 12yoexpert (ok), 28-Дек-25, 15:25	+/–
ты реально думаешь, что вяленый, пулса, раст, телеграм, gimp и cloudflare, - это всё дурость, а не целенаправленный саботаж?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #79

65. Сообщение от Анонимусс (-), 28-Дек-25, 15:25	+1 +/–
> А у скрипача должна быть скрипка, не позволяющая плохо играть?)) У скрипача должна быть скрипка, а не табуретка к которой прифигачили несколько кусков медного провода. Так и тут - у разработчика должен быть инструмент, а не древнее овно мамонта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #99

68. Сообщение от Аноним (38), 28-Дек-25, 15:30	+1 +/–
>Закладки именно так делают. Почитай разбор про выбор параметров таблиц замен в алгоритмах Стрибог и Кузнечик. Лучшие мировые криптоаналитики бились, но *доказать* неслучайность так и не смогли. В итоге предали анафеме исключительно на основе «highly likely» (часовню тоже я) Вот как делают закладки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #161

70. Сообщение от Аноним (70), 28-Дек-25, 15:31	+/–
Во-первых, на сайте я вижу 14 пунктов а не 12. Во-вторых, вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал" : https://openwall.com/lists/oss-security/2025/12/28/5
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #149

71. Сообщение от Аноним (71), 28-Дек-25, 15:32	–2 +/–
если что деды тесты не пишут
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

72. Сообщение от Аноним (72), 28-Дек-25, 15:41	+/–
Можно… но нужно ли? Так-то _можно_ и на ассемблере писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

73. Сообщение от Аноним (5), 28-Дек-25, 15:41	–1 +/–
Кто финансирует зайчиков? Кто у них тимлид, начальник, к т отдаёт им приказы, кто контролирует? Кто контролирует тех кто контролирует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #82, #101

75. Сообщение от Аноним (5), 28-Дек-25, 15:43	+/–
То есть Jia Tan не виноват, а хакеров выдумали массоны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #100, #187

76. Сообщение от Аноним (5), 28-Дек-25, 15:44	–1 +/–
Каждый роутер даже в меш сети рассадник уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #138

77. Сообщение от Бжежко (ok), 28-Дек-25, 15:44	+/–
Очевидно, что не все. Языки с автоматическим управлением памятью не требуют предельной внимательности именно в этой части - за GC/RAII/счётчики ссылок значительную долю рутины берёт на себя рантайм или стандартные абстракции. Из-за этого снижается когнитивная нагрузка, меньше нужно держать в голове жизненные циклы объектов, владение, корректность освобождения, риск use-after-free и double free. Высвобождённые ресурсы разработчик может направить на архитектуру, корректность бизнес-логики, тестирование, производительность на уровне алгоритмов итд
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #158

79. Сообщение от Бжежко (ok), 28-Дек-25, 15:49	–1 +/–
> это всё дурость, а не целенаправленный саботаж Можешь это доказать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

80. Сообщение от онанист (?), 28-Дек-25, 15:49	–1 +/–
невозможно на си писать не выщывая проблем. надо быть тока повнимательнее зороший качественный
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #140

82. Сообщение от онанист (?), 28-Дек-25, 15:51	+/–
никто базар же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #84

84. Сообщение от Аноним (84), 28-Дек-25, 16:06	–1 +/–
А я думал сова. Или китайцы или американцы или северные корейцы. Или все вместе взятые, но разных разрабов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82

85. Сообщение от Аноним (85), 28-Дек-25, 16:06	–1 +/–
Сложно — не значит не возможно. Все эти ошибки можно было бы отловить фаззингом. А часть — и статическим анализом. Но проект слишком стар, во время его появления таким не занимались. Почему до сих пор этого не сделали — большой вопрос, однако.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #128, #142

88. Сообщение от Аноним (85), 28-Дек-25, 16:10	+/–
А чего ты от других этого требуешь? Сам и назови, раз утверждаешь, что это один человек. И коммиты указать не забудь. Опровергать твои домыслы никто не обязан, бремя доказательства лежит на обвиняющем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

90. Сообщение от robot228 (?), 28-Дек-25, 16:12	+/–
Что вместо GnuPG использовать? Секвою какую-то рекомендовали кажись?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #147, #186

91. Сообщение от Аноним (85), 28-Дек-25, 16:14	+1 +/–
Дай угадаю: в твоём коде никогда не бывает ошибок, потому что ты за свою жизнь не написал ни строчки кода, достойной того, чтобы кто-то стал искать в нём ошибки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

92. Сообщение от Аноним (44), 28-Дек-25, 16:17	–2 +/–
> в нормальном языке Язык нормальный, просто плохому танцору вечно что-то мешает… И данный CVE это наглядно демонстрирует - язык тут вообще не при чём. Если уж компилятор должен такой «детский сад, штаны на лямках» фиксить, то это будет компилятор для дебилов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #125, #165

93. Сообщение от Аноним (85), 28-Дек-25, 16:19	+/–
Зачем так делать — понятно: надо перебирать символы, переменное число которых кодирует один байт. Но забывать про проверку на выход за границы при этом, конечно, нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #95, #134

94. Сообщение от Аноним (85), 28-Дек-25, 16:21	+1 +/–
> Все мы помним All generalizations are false. Просвети.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

95. Сообщение от Аноним (44), 28-Дек-25, 16:23	+/–
Всё-равно никогда не надо изменять переменную одновременно в объявлении и в теле цикла, это бред.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #141

96. Сообщение от Аноним (85), 28-Дек-25, 16:24	+/–
Мне.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #157

98. Сообщение от Аноним (85), 28-Дек-25, 16:34	+1 +/–
Подкину тебе ещё один повод для паранойи: а не является ли целью сей акции повсеместное пропихивание sequoia вместо gpg?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #107

99. Сообщение от Аноним (44), 28-Дек-25, 16:44	+/–
> а не древнее овно мамонта Т.е. скрипка, которая не претерпела изменений со времён средневековья, по-твоему «овно мамонта». Ок, понял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #102

100. Сообщение от Аноним (100), 28-Дек-25, 16:50	+/–
/s Ну очевидно же что это ложный китайский след чтобы очернить некорпоративных разработчиков
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #122

101. Сообщение от Фнон (-), 28-Дек-25, 16:53	+/–
Так никто не контролирует. Просто собрались васяны, устроили базар, пишут как могут и когда могут. Никакой ответственности.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73 Ответы: #127

102. Сообщение от Анонимусс (?), 28-Дек-25, 16:56	–2 +/–
> одно из самых ранних изображений скрипки (трёхструнной, по форме далёкой от классической) > в итальянской живописи — картина Гауденцио Феррари «Мадонна апельсиновых деревьев» (1529) Это уже не средние века, а Позднее Возрождение. Так что мимо. Но сишечка это даже не проскрипка. Это какая-то палка-копалка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #99 Ответы: #106

104. Сообщение от Аноним (104), 28-Дек-25, 17:02	+/–
Посмотрим, что это анб скажет на gccrs.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #111

105. Сообщение от RM (ok), 28-Дек-25, 17:06	+/–
> Но и оставшийся процент сможет нафакапить? > Therac-25 передает привет) справедливости ради предыдущий оратор указал, что "и там проблемы бывают" > Я уже молчу про менее смертельные, но неприятные ошибки, типа 1к пострадавших почтальонов (включая тюремные сроки) у Бриташек, которым [зря тут был эпитет] из Fujitsu написали овнокод. я так понял там честь красного мундира дефектифные манагеры до последнего защищали из свежего - пишут 7 не пережили ошибки https://sfconservancy.org/blog/2025/dec/23/seven-abbott-free.../ там статья в очень своеобразном стиле, но похоже датчик нормальный, а вот прилАжение на мабилу навайбыкодили
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #153

106. Сообщение от Аноним (44), 28-Дек-25, 17:07	+/–
> Это какая-то палка-копалка Ну конечно, рассказывай…)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102

107. Сообщение от localhostadmin (ok), 28-Дек-25, 17:17	+1 +/–
Лично я просто стараюсь избегать использования pgp вцелом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98 Ответы: #136

108. Сообщение от Аноним (146), 28-Дек-25, 17:20	+2 +/–
> не отвечает требованиям современных вызовов Неправильно, в Си отсутствует наличие соответствия нормам концептуальных требований современных вызовов дорожной карты устойчивого развития. А так-то да, если бы он постепенно превращался в D, ничего бы не было (а не "добавим VLA, уберём VLA; добавим Annex K, забудем Annex K; ой всё, мы уже целых 2 раза пытались язык улучшать, ни вышла").
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

109. Сообщение от Скотобаза (?), 28-Дек-25, 17:24    Скрыто ботом-модератором	–1 +/–
Тут буквально каждая дыра выглядит как полноценный бэкдор. И только одна чисто сишная и то сделанная дебилами. А то что дыры есть везде это прямо ололо. Сколько линуксов уже протроянили црушники
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #129

111. Сообщение от Аноним (111), 28-Дек-25, 17:48	+/–
Вечно отстающая реализация языка, где требовать вчерашнюю ночнушку в продакшен норма.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #117

114. Сообщение от penetrator (?), 28-Дек-25, 18:19	+/–
ой а чего это вы фидонет до сих пор не используете? дураку понятно, что это рынок, скорость и охват все решил
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

115. Сообщение от penetrator (?), 28-Дек-25, 18:21	+/–
учитывая культуру производства, там все равно какой язык, грабли - гарантированы, и чуть большая сложность си не так уж важна
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #118

117. Сообщение от Аноним (104), 28-Дек-25, 19:07	+1 +/–
В ядре самый свежий Rust не нужен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

118. Сообщение от Аноним (146), 28-Дек-25, 19:07	+/–
Но даже в системных языках надо сложность убирать под ковёр, чтобы без ошибок большие проекты писать. Отсюда деструкторы в Rust. Массивы, которые не забывают свой размер (= толстые указатели = слайсы, которые были в D и распиарились в Go).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #115

119. Сообщение от Аноним (-), 28-Дек-25, 19:13	+/–
> Вместо mesh-сетей Нежизнеспособная фигня. > у которых нет рубильника. Рубильник есть у всего. Если не физический, то в виде закона.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #132

120. Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:27	+/–
Ну отчасти да. Не факт, что конкретно им, но, в общем-то, да. "Интернет" - это, по сути, подобие торговой марки совершенно конкретной сети. А, в общем и целом, свои собственные сети были у многих, даже у франции была своя собственная( но в итоге прикрыли, заменив американским "интернетом" )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

122. Сообщение от Аноним (122), 28-Дек-25, 19:30	+/–
Раз ложный след значит просто ошибка? Понять и простить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #100

123. Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:31	+/–
Дык ведь палились уже "исследователи" с какого-то универа, которые целенаправленно в код опенсорсных проектов добавляли неявные дыры в рамках своих "экспериментов" Только те это делали слишком палевно и неумело - вот и попались. И то, далеко не сразу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

125. Сообщение от Аноним (122), 28-Дек-25, 19:34	+/–
То есть в продовом проекте который стоит на 90% серверов в мире детская "случайная" ошибка. Веры в это ровно нуль.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

126. Сообщение от Смузихлеб забывший пароль (?), 28-Дек-25, 19:38    Скрыто ботом-модератором	–1 +/–
Итак, вызывают руководителя конторы хмурые дядьки, имеющие дело с "нац. безопасностью сша" и спрашивают его - "Вот у нас тут несколько типов подозрительных ведут какие-то дела посредством вашего ПО всё это шифруют. Каким образом мы можем выяснить что там происходит ? Вы ведь не совсем идиот, чтобы предоставлять преступникам/террористам полностью защищённую от служб безопасности систему, лишённую каких-либо лазеек ? Или вы их, по сути, поддерживаете, предоставляя ПО, позволяющее обходить системы безопасности" Западные конторы западным же спец. службам и не так ж*пы подставляют без лишнего шума и вопросов, причём, регулярно и, порой, даже без требования - в "рамках жеста доброй воли" так сказать. Ну а другие - долго там не работают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

127. Сообщение от Аноним (122), 28-Дек-25, 19:38	+/–
То есть ты не думаешь что в этот базар волосатая рука рынка может занести за любое нужное ей изменение и дополнение в коде?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101

128. Сообщение от Аноним (128), 28-Дек-25, 19:39	+/–
Просто на сях надо писать так, чтоб это был безопасный код - оборачивать почти все опасные и потенциально опасные операции структурами и функциями, которые будут гарантировать правильность данных. Но это муторно и некрасиво выходит, что в тех же крестах может скрыто в методах и прочих оверрайдах(если сделано). Т.е. вместо простых: struct T* a = malloc(...); надо делать struct T* a = new_T(...); который будет и malloc/calloc, и проверку на выделение, и инициализацию. В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов, но такое даже в крестах ленятся делать. Итерации по указателям тупо делают p++, а не через спец функцию/метод next_, доступ к поинтеру тоже через функцию, доступ к элементу массива, тоже через функцию + не тупо malloc, а спец структура с ворохом функций, которые будут гарантировать выделение, размер и доступ. Да, это всё будет в результате жрать ресурсы, и программа будет работать +/- также медленно как и на всяких "безопасных" языках, но зато такой код будет сложно сломать логически ошибившись. А простой и прямой доступ оставлять только там где нужна явная производительность, и достаточно легко отследить что всё будет хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #144, #145

129. Сообщение от Аноним (122), 28-Дек-25, 19:39	+/–
> Тут буквально каждая дыра выглядит как полноценный бэкдор. И только одна чисто > сишная и то сделанная дебилами. > А то что дыры есть везде это прямо ололо. Сколько линуксов уже > протроянили црушники Да раз дыры везде можно их и не контролировать. Они же везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

130. Сообщение от Аноним (130), 28-Дек-25, 20:11	+/–
Одни и те же люди, с самого создания софта. Коммит, который сделал двойной инкремент, запатчил сам же автор, который эту ошибку допустил ещё в 1999 году: https://git.gnupg.org/cgi-bin/gitweb.cgi?p=gnupg.git;a=commi... Мб это дело всё же стоит форкнуть и переписать с нормальными стилем кода и названиями переменных.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #172, #185

131. Сообщение от Аноним (130), 28-Дек-25, 20:15	+1 +/–
Это остатки кода из 1999 года, когда в коммитах ещё встречаются рофлы вида -#if 0 +#if 1 Так что да, там большая часть кода - это старый хлам, который рефакторнуть забыли, иначе всё сломают. Проекту больше программистов нужно, но коммитов кот наплакал, хотя очевидно заинтересованные в софте хакеры и пользователи существуют в огромном количестве.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

132. Сообщение от Аноним (132), 28-Дек-25, 20:20	+/–
> Рубильник есть у всего. Если не физический, то в виде закона. Мало принять закон, нужно добиться его исполнения. Попробуй запретить людям дышать - запрещалку надорвёшь. К тому же, у закона есть условия применения и порядок исполнения. А вот замечательный Интернет запрещается, замедляется и ограничивается по щелчку пальцев, безо всякого закона, по произволу узкого круга лиц.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119 Ответы: #139, #146

133. Сообщение от Аноним (130), 28-Дек-25, 20:27	+/–
Код с этой ошибкой прямиком из 1999 года, там ещё переключения через '-#if 0' '+#if 1' в коммитах попадаются вместо выпиливания неработающего кода. Если бы в GNU было полегче присылать коммиты, может быть у них было бы меньше таких идиотских ошибок. А так вся надежда на то, что оригинальный автор пропатчит код, а то вдруг кусок функции которая буквы читает принадлежит кому-то ещё и не оригинальный лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #194

134. Сообщение от Аноним (130), 28-Дек-25, 20:30	+/–
Открой коммит и посмотри на этот код. Там буквально две строчки, мапящие буквы из одного буфера в другой, и он там лежал с 1999 года. Просто никто код не рефакторил, а точнее не имел возможности рефакторнуть не форкая проект, потому что в GNU свои патчи хрен отправишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #193

135. Сообщение от Аноним (135), 28-Дек-25, 20:34    Скрыто ботом-модератором	–2 +/–
> Уязвимости в GnuPG А в этой утилите уже есть расткод?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

136. Сообщение от Аноним (85), 28-Дек-25, 20:36	+/–
Лучше вообще криптографию избегать. Тогда точно не взломают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #159

138. Сообщение от Аноним (138), 28-Дек-25, 20:41	+/–
Не понял тут имеется меш сеть типа Yggdrasil? Они же распространены, и уязвимости 1 компьютер из миллиона не в счет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

139. Сообщение от Аноним (139), 28-Дек-25, 20:44	–1 +/–
Когда на это требуется 3-5 лет работы десятков тысяч людей, совершенно не честно называть это «по щелчку пальцев». А сломать можно всё. Без исключений. Если есть решимость и ресурсы на это — то будет сломано. Уверен, если бы интернет изобрели на 20 лет позже, ни о какой анонимности в нём речи бы не было. Каждый байт имел бы «изготовил-по заданию-проверил-выпустил».
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

140. Сообщение от Аноним (139), 28-Дек-25, 20:46	+/–
А? Что? Не слышно! Повторите, ничего не понятно!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

141. Сообщение от Аноним (85), 28-Дек-25, 20:47	+/–
А какая разница? Оба способа равноценны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #95

142. Сообщение от Аноним (139), 28-Дек-25, 20:47	+/–
Потому что само оно не делается, и делать это некому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

144. Сообщение от Аноним (85), 28-Дек-25, 21:00	+/–
Ну и на фига это делать на C тогда?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

145. Сообщение от Аноним (146), 28-Дек-25, 21:04	+/–
> В идеале вообще, делать базовую структуру, на основе которой делать все объекты, чтоб были поля "тип, количество ссылок, и т.д." для всех объектов И название обновить. В честь острова там какого-нибудь или количество плюсов диезом обыграть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

146. Сообщение от Аноним (146), 28-Дек-25, 21:24	+/–
> Попробуй запретить людям дышать С этим нет проблем, разве что постепенность требуется (нельзя запрещать всем сразу), но с интернетом ровно то же самое. https://en.wikipedia.org/wiki/Gas_chamber
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #132

147. Сообщение от morphe (?), 28-Дек-25, 21:25	+/–
Sequoia не имеет каких-то алгоритмов, но в целом полностью заменяет gpg. При этом набор алгоритмов там значительно меняется просто при смене бекенда, их там несколько, например nettle (привязка к смешной библиотеке) и rust-crypto (криптография через Rust библиотеки). Одновременно оба использовать нельзя.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90 Ответы: #152

149. Сообщение от Аноним (85), 28-Дек-25, 21:55	+/–
Всё правильно, 12 в GnuPG и 2 в minisign. > вы бы приложили хотя бы ответ из oss-security, где на 9 из них пишут "читайте полный вывод а не то что по итогу пишет терминал" Перечитал три раза, не нашёл таких слов. Там написано буквально: это давно известная проблема, для обхода которой при автоматическом разборе есть опция.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #70

150. Сообщение от Котик Биба (?), 28-Дек-25, 22:14	+/–
> Ошибка ... приводящая к записи в область памяти вне границы буфера. Проблема может привести к выполнению кода Эх, вот бы был язык, который не давал выходить за границы буферов)))
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #151, #160, #166

151. Сообщение от Аноним (152), 28-Дек-25, 22:26	+/–
И чтобы произошло? Он бы жрал как не в себя чтобы на каждый чих проверять весь мир?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150

152. Сообщение от Аноним (152), 28-Дек-25, 22:27	–1 +/–
В расте всегда можно словить малварь на уровне llvm. И ты его никогда не вычислишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147 Ответы: #155, #192

153. Сообщение от Tron is Whistling (?), 28-Дек-25, 22:40	+/–
>> Но и оставшийся процент сможет нафакапить? > справедливости ради предыдущий оратор указал, что "и там проблемы бывают" Вот да. Не нафакапить кмк может только тот, кто ничего не делает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105

154. Сообщение от Аноним (154), 28-Дек-25, 23:17	–1 +/–
И какой вывод из этого? 🤔
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #182, #184

155. Сообщение от morphe (?), 28-Дек-25, 23:28	+1 +/–
> В расте всегда можно словить малварь на уровне llvm. И ты его > никогда не вычислишь. Т.е теоретическая малварь в опенсорс компиляторе, при том что даже PoC подобной штуки (компилятор внедряющий закладку в компилируемый код) очень сложно делается, для тебя страшнее чем реально существующие уязвимости что встречаются каждый день, которые позволяют вытаскивать из процесса произвольные данные, и которые невозможно поймать до начала их активной эксплуатации всеми подряд? Чтож, поздравляю, клоун. Скажи ещё каким это боком gcc более безопасный чем llvm.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152 Ответы: #181

156. Сообщение от svpcom (ok), 28-Дек-25, 23:59    Скрыто ботом-модератором	+/–
Имхо этот gnupg это переусложненное говно, как и собственно сам формат контейнера PGP, основанный на ASN.1
Ответить | Правка | Наверх | Cообщить модератору

157. Сообщение от Аноним (157), 29-Дек-25, 00:38	+/–
И мне тоже.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

158. Сообщение от Буратино (?), 29-Дек-25, 00:52	+/–
Ну так чем дружелюбнее язык, тем больше м@к@к в него придёт. "Волшебных таблеток от всего" и "царского пути в математике" не бывает. Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули. Язык высокоуровневый и выразительный - будут путаться в своих <s>мудях</s> абстракциях. Примером те эпические дыры в десериализации Java и PHP, когда из снаружи пришедшего жсона десериализовывались объекты с разного рода активностями. И тоже - эта хрень висела чёрти сколько незамеченной.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #77 Ответы: #162

159. Сообщение от localhostadmin (ok), 29-Дек-25, 01:02	+1 +/–
Раскрою тебе секрет, пгп это не единственный способ шифровать и подписывать файлы
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #136

160. Сообщение от localhostadmin (ok), 29-Дек-25, 01:06	+1 +/–
Согласен, всем пора переходить на питон
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #175

161. Сообщение от Аноним (161), 29-Дек-25, 01:17	+/–
С чего ты взял, что бились над этими никому не нужными (для практического использования) криптосистемами? Тут же принцип "у меня в рукаве ничего нет", когда он не соблюдается - это повод просто выкинуть даже не разбираясь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

162. Сообщение от Прохожий (??), 29-Дек-25, 01:34	+/–
>Язык примитивный и слабовыразительный - будут выходить за буфера и разыменовывать нули. И каждый раз с нуля изобретать свои собственные абстракции, чтобы потом в них путаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #158

163. Сообщение от Прохожий (??), 29-Дек-25, 01:45	+/–
Языков с итераторами нет? Да вы тот ещё эксперд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

164. Сообщение от Прохожий (??), 29-Дек-25, 01:52	+/–
У скрипача как минимум должна быть скрипка, которая правильно настроена. В идеале и звучать должна хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

165. Сообщение от Прохожий (??), 29-Дек-25, 01:55	+/–
>Язык нормальный, просто плохому танцору вечно что-то мешает И так со всеми сколь-либо сложными проектами на этом языке. Постоянно танцоры плохие попадаются, просто проклятье какое-то. Может, пора что-то в консерватории менять? (c)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #177

166. Сообщение от 12yoexpert (ok), 29-Дек-25, 02:22	+2 +/–
в плюсах есть безопасная работа с памятью/массивами, больше вроде нигде нет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #150 Ответы: #183

169. Сообщение от Аноним (-), 29-Дек-25, 07:09	+/–
>У DARPA получилось "навязать" Интернет всему миру. Никто ничего не навязывал. Интернет стихийно распространился. Конкретно в России Интернет делали частники. Государство ровным счётом ничего не делало. Чиновники пришли на всё готовое и отжали рынок Интернета.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

172. Сообщение от timur.davletshin (ok), 29-Дек-25, 07:44	+/–
> Одни и те же люди, с самого создания софта. Молодец, ты понял мой тезис. Теперь возьми с полки печеньку.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

174. Сообщение от Аноним (5), 29-Дек-25, 07:45	+/–
Просто прокатило и всё.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

175. Сообщение от Котик Биба (?), 29-Дек-25, 07:59	+/–
Как вариант!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160

177. Сообщение от Аноним (44), 29-Дек-25, 10:25	+/–
Doom - сложный проект на «этом языке», что там не так?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #165 Ответы: #191

178. Сообщение от Аноним (-), 29-Дек-25, 10:37	+/–
> О Боже, это же классика индусского кода, зачем так делать… Ты никогда не найдёшь ответ на этот вопрос, потому что он неправильно поставлен. Спрашивать надо не "зачем", а "почему". Почему там так написано? На этот вопрос есть очень простой ответ: кто-то написал цикл while, а потом решил отрефакторить его в for. И если ты глянешь в код, ты найдёшь там подтверждения этой гипотезы. Вместо того, чтобы сделать memcpy а следом за ним что-то типа iobuf_read, там n инициализируется нулём единожды, а потом пробегает по всем байтам, через два цикла. Поэтому for'ы не инициализируют n, и очень вероятно что это исходно было написано на while'ах, а потом кому-то пришла в голову мысль, что for будет уместнее. Можно предположить и более конкретный сценарий, автор сего кода написал первый цикл while'ом, а второй цикл из него вышел for'ом, и ему пришло в голову, что и из первого цикла можно сделать for, для единообразия. Как бы там не было, при замене while на for не удалось заменить всё правильно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

179. Сообщение от Аноним (-), 29-Дек-25, 10:42	+/–
> (2) - ну и кому оно реально интересно, кроме полутора желающих поиграться с новой модной бирюлькой? У тебя противоречие заложено. Если полтора желающих поиграться с бирюлькой, то бирюлька не модная. И я присоединюсь к анонимам выше. Я с огромным интересом загляну внутрь. На расте под голое железо писать очень интересно, гораздо интереснее чем на C или asm, и микроос которую я (согласно тем маркетинговым материалам) могу полностью аудитить самостоятельно выглядит очень вкусно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #190

180. Сообщение от Аноним (-), 29-Дек-25, 10:45	+/–
Я не разглядывал все эти баги внимательно, но те что я разглядывал из той поры, когда серьёзные люди не считали gpg достаточно серьёзным, чтобы обращать на него внимание. Сегодня, может быть, серьёзные люди обращают на него внимание (хотя опять же зачем? как часто эту хрень используют те, кто против серьёзных людей выступает?), но не в те пархатые времена, когда gnupg начинался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

181. Сообщение от Аноним (5), 29-Дек-25, 10:46	+/–
Типа есть два ведра с дырой у нужно оценить форму дыры?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #155

182. Сообщение от Аноним (5), 29-Дек-25, 10:47	+1 +/–
Вывод что теперь то уж тооооочно безопасно 146% пользуйтесь везде где можно. Опасности нет всё под контролем, расходимся тут не на что смотреть. Не задавайте лишних вопросов и не устраивает панику.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

183. Сообщение от Аноним (-), 29-Дек-25, 10:48	+/–
Нету. Ошибки выхода за границы в C++ распространены не меньше, чем в C. С++ создаёт видимость безопасности, но его operator[] не проверяет на выход за границы массива, на самом деле. Тебе надо отказаться от [] для индексирования, и вызывать какие-то методы, чтобы получить проверки. Этого, естественно, _никто_ не делает, потому что читаемость кода важнее. И я с ними соглашусь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #166 Ответы: #188

184. Сообщение от Фнон (-), 29-Дек-25, 10:58	+/–
Вывод? Возможно, что GnuPG просто овно. Которое писали ногами и ошибки там живут с 1991 года. Причем исправляет их сам автор - или ему пофиг на качество, или он уже десятки лет работает бекдорщиком. Что из этого лучше решай сам))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #154

185. Сообщение от Аноним (185), 29-Дек-25, 11:25	+/–
Это надо не форкать, это надо закопать, да поглубже. Желательно - вместе с авторами. Более какашечный софт, чем гнупг, трудно придумать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #130

186. Сообщение от Аноним (186), 29-Дек-25, 11:37	+/–
S/MIME использовать можно. Поддерживается многими клиентами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

187. Сообщение от Аноним (185), 29-Дек-25, 11:46	+/–
Ни один "масон" с такими "хакерами" дел иметь не будет. Нормальные "масоны" таких "хакеров" крюком за два квартала обходят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

188. Сообщение от 12yoexpert (ok), 29-Дек-25, 11:47	+/–
> Нету есть > Ошибки выхода за границы в C++ распространены не меньше, чем в C как это связано с тем, что я написал? дальше не читал, у тебя явно какие-то когнитивные проблемы: сам себе что-то сочинил - сам себе ответил
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #183

189. Сообщение от Аноним (185), 29-Дек-25, 11:50	+/–
20000 должно было хватить всем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

190. Сообщение от Tron is Whistling (?), 29-Дек-25, 11:59	+/–
Нет там противоречия. Есть отдельные модники, которые готовы тащить в рот всё, что заблестело, даже если это осколок от бутылки. Потом подрастают, набивают шишек - перестают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #179

191. Сообщение от Аноним (5), 29-Дек-25, 14:06    Скрыто ботом-модератором	+/–
Там выход за границу сознания и выполнение ололо пыщ пыщ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #177

192. Сообщение от Аноним (85), 29-Дек-25, 14:10	+/–
А в сишке всегда можно словить малварь на уровне gcc. Дальше что?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #152

193. Сообщение от Аноним (5), 29-Дек-25, 14:11    Скрыто ботом-модератором	+/–
Ну это ты конечно это ты очень оптимистично предположил. Почему ты не думаешь что он специально сделан именно так и всем это известно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134

194. Сообщение от Аноним (194), 29-Дек-25, 14:23	+/–
А где посмотреть какие именно версии gnupg подвержены этим уязвимости?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #133

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема