| 1.2, Аноним11677 (ok), 10:54, 19/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –7 +/– |
 Все существующие технологии IT, библиотеки, программы — это одно большее решето и свалка. Начиная от самих процессоров, которые уже исполняют не точно необходимый для выполнения конкретной задачи код, а черте что, месиво из инструкций, порожденных абстракциями на абстракциях (как с вебом с его песочницами), так, что никаких гигагерц не хватает.
Вот так и здесь, кто-то когда-то, в лохматых бородатых годах добавил какую-то сиюминутную фичу, не оттестировав/не продумав до конца — и она живёт и ждет своего часа, чтобы взорваться, потому что КОД НИКТО НЕ ЧИТАЕТ (как бы не заверяли в обратном особо ярые сторонники OSS).
| | |
| |
| 2.5, Аноним (-), 11:12, 19/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Вообще-то теми кто читает код проблема была исправлена ещё 15 лет назад.
Проблема не в аудите кода, а в том, одни умники назвали переменную окружения одинаково с CGI-переменной, уже до этого определённой в RFС, а другие не подумав добавили поддержку этой переменной окружения в свои библиотеки. В библиотеках вообще через переменные окружения ничего не должно настраиваться, это изначально огромная потенциальная дыра.
| | |
| |
| |
| 4.36, XoRe (ok), 23:45, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
 > С каких пор RFC стал спецификацией ?
Уже лет 20-25 как.
| | |
|
|
| 2.7, Аноним (-), 11:20, 19/07/2016 [^] [^^] [^^^] [ответить]
| +8 +/– |
Ну покажете свой, недырявый уже 30 лет, добротный код - мы тут все поаплодируем!
| | |
| |
| 3.12, Аноним (-), 11:45, 19/07/2016 [^] [^^] [^^^] [ответить]
| –2 +/– | |
клоун: программы продаются не за аплодисменты.
И почему 30 лет? Ты сам то используешь хоть одну программу 30-летней давности?
| | |
| |
| 4.19, pkdr (ok), 13:02, 19/07/2016 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Ты как обычно тупой бот от мелкомягких демонстрируешь своё отвратительное качество, то что твои криворукие создатели-индусы ничего не умеют, кроме того, чтобы щёлкать мышкой ещё не значит, что здоровые люди не пользуются таким софтом.
Навскидку, ls, grep, ed, sed, vi, dd, cp, rm, cat ... десятки их, а то и сотни.
| | |
| |
| 5.32, Аноним (-), 07:16, 20/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>ls, grep, ed, sed, vi, dd, cp, rm, cat
Примеры не канают. Это, если угодно, элементы кровеносной системы ОС, выполняющие свои **маленькие узкие** (привет юникс вей) обязанности, пускай и очень важные. Даже говоря о гнутых binutils/coreutils, эти существуют чёрти знает сколько времени, а помножив на размер кода, они должны быть не просто отшлифованы, а отполированы до ослепительного блеска.
| | |
|
|
|
| 2.15, Аноним (-), 12:02, 19/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Согласен. Хотелось бы как в математике. Сейчас полный разброд, шатание и костыли в этом IT. До сих пор есть разные ОС, компьютерные ресурсы не объединены, нет единых стандартов..
| | |
| |
| 3.23, _ (??), 16:20, 19/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>соглашусь только с этим КОД НИКТО НЕ ЧИТАЕТ.
Ну и ты, скорее уже съешь этих хрустяших французких булок!
Ведь как только ТЫ прочьтешь код всё наладится! Да?
>пс: по сей день используем бородатый код.
И снова - скорее уже съешь этих хрустяших французких булок!
Бородатый код это СКАЛА! А где ты видел скалы без трещинок? :)
Впрочем желаю тебе пользовать только новодел ... это изощрённая китайская пытка :)
| | |
| |
| 4.27, Sw00p aka Jerom (?), 17:04, 19/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
>>Ведь как только ТЫ прочьтешь код всё наладится! Да?
как бы выразиться правильнее, как только Я читаю код (имеется ввиду гитхабный опенсорс), повеситься хочется!!! (не принимайте это предложение как инструкция к самоубийству).
Качество КОДа за последние 10 лет опустилось ниже плинтуса.
>>Бородатый код это СКАЛА! А где ты видел скалы без трещинок? :)
А вот и нет, по мне это асм.
>>Впрочем желаю тебе пользовать только новодел
что есть новодел, уточните!
| | |
|
| 3.24, _ (??), 16:27, 19/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>пс: по сей день используем бородатый код.
Я думаю с одного раза до тебя не дойдёт. Поэтому:
Бородатый Перл - пофиксили в 2001 году.
Рябе - через ___11___ лет :)
Пых - смотри новость, но его невозможно пофиксить, место проклятое :)
| | |
|
|
| |
| 2.6, Аноним (-), 11:14, 19/07/2016 [^] [^^] [^^^] [ответить]
| +/– | |
Это называется исправили?
+ if (php_sapi_name() == 'cli' && getenv('HTTP_PROXY')) {
+ $defaults['proxy']['http'] = getenv('HTTP_PROXY');

Убрали проявление дыры при работе через mod_php, но оставили при запуске в режиме CGI.
| | |
| |
| 3.16, пох (?), 12:11, 19/07/2016 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Это называется исправили?
учитывая невозможность оторвать руки изобретателям env var HTTP_PROXY (где дерьмово все - начиная от самой идеи и заканчивая названием) - да, исправили единственным доступным способом.
> Убрали проявление дыры при работе через mod_php, но оставили при запуске в режиме CGI.
малыш, иди обратно в песочницу лепить куличики.
Взрослый человек сперва бы подумал, что такое php_sapi_name()
| | |
|
|
| 1.11, Аноним (-), 11:43, 19/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я что-то не понял каким образом это можно в Go проэксплуатировать. Если запустить приложение с переменной окружения HTTP_PROXY=192.168.0.1:3128, то оно будет обращаться к адресу через proxy. Если же в go приложение передать заголовок curl -H "Proxy: 192.168.0.1:3128" http://mygoapp, то оно огнорирует заголовок.
| | |
| |
| 2.14, Сиромант (?), 11:51, 19/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
Если у тебя Go запускается как классическое приложение CGI, по процессу на запрос (если так кто-то ещё делает, конечно), то веб-сервер может помещать в переменную среды HTTP_PROXY содержимое заголовка Proxy.
| | |
|
| 1.21, непонятно (?), 13:57, 19/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
> В Curl и Perl (libwww-perl) проблема была устранена ещё в 2001 году.
Ахахах, олдскул vs хипсторы — 1:0
:D
| | |
| |
| 2.30, DimasiQ (?), 20:06, 19/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
А при чем тут хипстеры?
Что-то не вижу в списке уязвимых node.js.
| | |
|
| 1.25, Аноним (-), 16:35, 19/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
И в чём беда? Прокси пользователя ничем не лучше и не хуже любого друго хоста на пути трафика.
Хотите безопасности - https.
Можно разве что сделать сервер недоступным (в рамках сессии одного пользователя) и тем самым обойти какую-нибудь проверку по чёрному списку.
Но ведь в этом слуае отсутствие ответа не должно восприниматься как пустой ответ. Иначе при недоступности сервера все пройдут проверку.
| | |
| |
| 2.26, Andrey Mitrofanov (?), 16:39, 19/07/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> И в чём беда? Прокси пользователя ничем не лучше и не хуже
> любого друго хоста на пути трафика.
Вы не поняли, пытайтесь.
> Хотите безопасности - https.
Адресочек для трененровки паранойи подсказать, или тебе не надо, ты здоров?
> ответ. Иначе при недоступности сервера все пройдут проверку. | | |
| |
| 3.29, Аноним (-), 18:53, 19/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
>> И в чём беда? Прокси пользователя ничем не лучше и не хуже
>> любого друго хоста на пути трафика.
> Вы не поняли, пытайтесь.
Тот самый крайне редкий случай, когда Митрофанов относительно адекватен.
| | |
| |
| 4.34, Andrey Mitrofanov (?), 10:05, 20/07/2016 [^] [^^] [^^^] [ответить]
| +/– |
>>> И в чём беда? Прокси пользователя ничем не лучше и не хуже
>>> любого друго хоста на пути трафика.
>> Вы не поняли, пытайтесь.
> Тот самый крайне редкий случай, когда Митрофанов относительно адекватен.
//На такое оскорбленеие я не могу не ответить
Может, он имел в виду того МИТМ-атакера под "пользователем прокси"? Тогда, да, ошибочка -- он точно не хуже, не лучше других.
| | |
|
|
|
| 1.35, Аноним (-), 23:19, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Для nginx лучше закрываться на уровне хттп, а не фастцги.
В контексте server:
if ( $http_proxy ) { return 403 ; }
| | |
|
