| 1.1, полуфрактал (?), 14:59, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– | |
> что может быть использовано для чтения содержимого памяти или инициирования аварийного завершения процесса.
классика
| | |
| |
| |
| 3.38, kusb (?), 16:33, 08/02/2023 [^] [^^] [^^^] [ответить]
| –4 +/– |
Вас послушать, так единственные проблемы с уязвимостью - сишные дырени и структуры языка. Си против Раста и наоборот, причём без уточнений - как же надоело это читать.
Хотя для меня, как для человека между разбирающимися и не разбирающимися в программировании людьми очень удивительно, что уязвимостей столько, такое ощущение, что их больше, чем букв в программах. За гранью прогнозов. Наше IT удивительно дыряво.
Что-то не так с самим устройством программ или с их идеей...
| | |
| |
| 4.44, Аноним (44), 16:47, 08/02/2023 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Не единственные, но по статистике уязвимостей проблемы с памятью занимают в районе 70%.
Можно сколько угодно кричать о том, что программисты плохие. Однако практика показывает, что пока код пишут люди, ошибки будут неизбежно.
И смысл инструментов типа раста и прочих более высокоуровневых языков в том, чтобы как можно больше проверок переложить с мясных мяшков на плечи самой машины.
| | |
| |
| 5.111, _kp (ok), 20:21, 08/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
 >>по статистике уязвимостей.. 70%..
Так это потому что весь системный софт пишется в основном на C и C++.
Странно, что не 99% ;)
| | |
| 5.128, Аноним (128), 22:28, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не-не, там была четкая формулировка.
"~70% of the vulnerabilities Microsoft assigns a CVE each year continue to be memory safety issues"
| | |
| |
| 6.220, Аноним (220), 19:39, 12/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Он так и написал. А еще у Linux Foundation, и Google Chrome схожий процент.
| | |
|
|
| 4.68, asdasd (?), 17:16, 08/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Все очень просто, это криптографические библиотеки, которые, в числе прочего, должны быть быстрыми. От сюда и начинаются всякие хитрые оптимизации, которые и ведут к таким вещам (и того-же Rust'а это точно так-же касается).
| | |
| |
| 5.72, Анонн (?), 17:47, 08/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Возможно потому что они должны быть сначала надежными, а потом быстрыми?
А не наоброт?
| | |
| 5.107, пох. (?), 19:51, 08/02/2023 [^] [^^] [^^^] [ответить]
| +6 +/– | |
вынужден тебя огорчить, дыра ни разу не в оптимизированном коде и быстрым ему быть вообще незачем - он выполняется раз на соединение.
Проблема что SSL/TLS - протокол придуманный м-ками получателями грантов и профессорами универов, ни разу в жизни не получавшими в подворотне в рыло от нигра.
Просто потому что они никогда из своей тачки там не вылазят.
Его нереально нормально написать вообще. Добавляет проблем то что openssl стоит на фундаменте ssleay написанном чуваком которому вообще пое..ть было на такие проблемы - его единственной целью было сделать чтоб https сайты хоть как-то можно было хостить на линуксах забесплатно.
| | |
|
|
| |
| 4.106, пох. (?), 19:47, 08/02/2023 [^] [^^] [^^^] [ответить]
| +6 +/– |
чаво это несуществующих? Я уже и CoC закомитил, и readme.md !
| | |
|
|
|
| 1.2, another_one (ok), 15:00, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 Повторюсь:
Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих проектах. Эталонный NIH синдром, а обещали "обеспечение высшего уровня безопасности" (с).
| | |
| |
| 2.8, annonn (?), 15:13, 08/02/2023 [^] [^^] [^^^] [ответить]
| +7 +/– |
там просто неправильные С программеры
как говорил автор 14 вариантов инициализации "зачем вы пишете с багами? просто пишите без багов!"
вот если бы программеры были правильные, то все было бы без ошибок
| | |
| |
| 3.58, Аноним (58), 17:01, 08/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
14 вариантов в плюсах, где автоматическое управление памятью больше 10 лет как уж, точно такое же как в этих ваших растах.
| | |
| |
| |
| 5.118, A (?), 21:28, 08/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Просто все 14-ть - с ошибками, повторяющимися в проектах.
:) Вероятно.
| | |
|
|
|
| 2.16, Аноним (16), 15:28, 08/02/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Так LibreSSL это форк OpenSSL, но с чисткой от устаревшего кода. В новости одна уязвимость относится к LibreSSL и восемь к OpenSSL.
| | |
|
| 1.3, ryoken (ok), 15:05, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >>В частности, адрес X.400 разбирался с использованием типа ASN1_STRING, в то время как для поля x400Address в структуре GENERAL_NAME был использован тип ASN1_TYPE, что приводило к использованию при сравнении (GENERAL_NAME_cmp) типа ASN1_TYPE вместо ASN1_STRING.
Тёплое с мягким?
| | |
| |
| 2.7, annonn (?), 15:12, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
типобезопастноть, зочем!?
нам главное скорость и пофиг что у пол интернета будет дыра в шифровании
| | |
| |
| 3.18, анон (?), 15:32, 08/02/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
У пол-интернета дырень в прокладке между стулом и клавиатурой, дыра в шифровании тут вторично.
| | |
| |
| 4.21, animenimus (?), 15:37, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
великолепная идея!
аналогично можно сказать про автомобили и прокладкой между рулем и сидушкой
давай теперь выкинем из авто абс, есп, удержание в полосе, ну и до кучи поворотники и тормоза
не хочешь тут выложить свой ip и пароль?
| | |
| |
| 5.31, анон (?), 15:53, 08/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Предлагаю выкинуть всех костяных мешков с этой планеты в космос для оптимизации эволюции.
>не хочешь тут выложить свой ip и пароль?
Это нарушит законы Российской Федерации о персональных данных, поэтому - нет.
| | |
| 5.108, пох. (?), 19:53, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Так, прекрати подсказывать автотазу! Он уже и так половину твоего бизнес-плана реализовал.
Учти, пешком ты от них тоже не увернешься!
| | |
| 5.148, Аноним (148), 08:18, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Современные машины умеют сами останавливаться если водитель от страха лицо руками закроет.
| | |
|
|
|
|
| 1.6, annonn (?), 15:09, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
> чтение из области вне границ буфера
> обращение к области памяти после её освобождения
> двойное освобождение памяти
> некорректное разыменование указателя
> разыменование указателя NULL
мва-хаха! они что решили собрать все возможные типичные баги?
воистину в слове CVE первая буква С не просто так
наверное опять неправильные пограмисты нагадили в код
надо было просить экспертов с пенька написать хорошо, правильно и без ошибок
| | |
| |
| |
| 3.84, ihatenpm (?), 18:20, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
А то, они же в школе маятся и на парах (я удаленщик работаю когда хочу, если что)
| | |
|
| 2.86, ihatenpm (?), 18:22, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> правильно и без ошибок
это у тебя кристалл глупости сформирован фанатичными представлениями об идеальном
| | |
| |
| |
| 4.161, Аноним (122), 10:25, 09/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Rustls is a modern TLS library written in Rust. It uses ring for cryptography and webpki for certificate verification.
ring exposes a Rust API and is written in a hybrid of Rust, C, and assembly language.
Most of the C and assembly language code in ring comes from BoringSSL, and BoringSSL is derived from OpenSSL
| | |
| |
| 5.212, Аноним (212), 07:44, 10/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Обертка над оберткой над форком той же самой OpenSSL, в общем =\
| | |
|
|
|
|
| 1.9, Аноним (9), 15:14, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
> в OpenSSL 3.0.8 также устранено
> чтение из области вне границ буфера
> обращение к области памяти после её освобождения
> двойное освобождение памяти
> разыменование указателя NULL
Господи, как же это прекрасно. Прсто бинго типичного секьюрного проекта на сишечке, на котором держиться вся мировая критическая сетевая ифраструктура.
| | |
| |
| 2.40, kusb (?), 16:37, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
А статистический анализатор уровня выполнения справился бы с тем, чтобы найти эти проблемы?
| | |
| |
| 3.150, Аноним (148), 08:24, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Стати́ческий ана́лиз ко́да (англ. static code analysis) — анализ программного обеспечения, производимый (в отличие от динамического анализа) без реального выполнения исследуемых программ.
Надо просто изобрести статический анализ уровня выполнения и он найдет все ошибки
| | |
| |
| 4.160, maximnik0 (?), 09:45, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Надо просто изобрести статический анализ уровня выполнения и он найдет все ошибки
Все изобретено уже давно,просто в железе на это забили -"потенциальная адресация" ,примерный термин с английского не переводиться.Указатели заменяются специально защищёнными объектами (аппаратные атрибуты).Данные и код размещают в разной памяти.А также можно использовать микрокод,как в майфреймах.И все - 80% кривых ошибок ,особенно с памятью выявляются на аппаратном уровне.
| | |
| |
| 5.171, Аноним (171), 11:53, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
А это точно будет работать быстрее чем java/c# и go?
В java вместо указателей strong link. Неосвободить память и освободить дважды невозможно потому что её освобождает сборщик мусора. Обратиться за границы массива невозможно, возникнет IndexOutOfBoundsException, обратиться к пустому указателю не возможно, возникнет NullPointerException. Присвоить неправильный тип невозможно возникнет ClassCastException.
| | |
| |
| 6.176, maximnik0 (?), 12:45, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> А это точно будет работать быстрее чем java/c# и go?
По крайне мере на майфреймм Ибм микрокод с атрибутами работает быстрей Явы, но там разница не критическая,и понятно что там оптимизации под микрокод. Может быть что аппаратная реализация оптимизированная под байт код будет тоже быстрая,есть же на Арм аппаратная реализация Явы.
| | |
| |
| 7.199, Аноним (199), 18:44, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Дело в том, что на мейнфреймах IBM есть оптимизации и для jvm. Но берут их не потому, что там hello world на микросекунды быстрее отрабатывает, а для массовой параллелизации задач, бесперебойной работы при выходе оборудования из строя и ещё немного потому, что до сих пор никого не уволили за то, что он выбрал продукцию IBM.
| | |
|
|
|
|
|
| |
| 3.59, X86 (ok), 17:06, 08/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Раст можно переписать на расте и тогда будет тру)
| | |
| |
| 4.87, ARM Cortex (?), 18:23, 08/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– |
Rust? Мы не поставляем ни одной библиотеки и прослойки для наших ядер, и компиляторов тоже.
| | |
| |
| 5.200, Аноним (199), 18:46, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да это и неважно, внутри Андроида джава в основном. А больше-то применений у армов и нет особо. А не, в домашних роутерах ещё, но там от ядра всё зависит, а UI на похапе.
| | |
|
|
|
|
| |
| 2.14, annonn (?), 15:25, 08/02/2023 [^] [^^] [^^^] [ответить]
| +5 +/– |
только не произноси его вслух!
а то набегут и начнут рассказывать про ножи, поваров, свободу программистов портить память когда они этого хотят и тд
| | |
| |
| 3.41, kusb (?), 16:41, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ну смотри - в детстве я показывал соседке, что значит идиома "бежать сломя голову", из-за чего разбил стеклянную часть двери и сильно порезался. Кто-то бы сказал, что хорошо бы связать мне ноги чтобы я быстро не бегал, но нафиг такую защиту.
| | |
| |
| 4.71, vdb (?), 17:46, 08/02/2023 [^] [^^] [^^^] [ответить]
| +4 +/– |
Когда по делу сказать нечего, приводят аналогии и рассказывают притчи.
| | |
| |
| 5.73, kusb (?), 17:52, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Абстрагирование - важная вещь в понимании. Мы способны найти общее и даже общие закономерности в разных процессах и это важно.
Я про то, что если что - много ограничений может появиться, что плохо. Не только инструментально плохо, но и психологически.
| | |
|
| 4.182, freecoder (ok), 14:31, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Машину вы используете тоже без ремней безопасности? Они же пристёгивают вас к креслу!
| | |
| |
| 5.197, kusb (?), 17:32, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
> Машину вы используете тоже без ремней безопасности? Они же пристёгивают вас к
> креслу!
У меня нет машины. А вообще - я не говорил, что всегда плохи ограничения, я говорил, что плохо когда всегда ограничения, или не по теме.
| | |
| |
| 6.198, kusb (?), 17:34, 09/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Впрочем я не умею пристёгиваться. Ибо редко езжу. Один раз довелось ехать в газельке на переднем сиденье. Может быть из-за этого меня выставили назад... а может из-за пакета с лошадиным говном, но возможно я его даже не просыпал на пол водителю..
| | |
| 6.219, freecoder (ok), 13:10, 11/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> плохо когда всегда ограничения, или не по теме.
Если мешают ограничения borrow checker'а, то используй сырые указатели. Никто не заставляет всегда пользоваться только ссылками.
| | |
|
|
|
|
| 2.89, ihatebtards (?), 18:28, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
В том то и дело, что только говорят. Языком про язык любой анонимус через тор коммент на опеннете напишет.
| | |
|
| 1.19, animenimus (?), 15:34, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
было бы неплохо услыгать аргументы не-любителя-нпм
даже не могу придумать как он объяснит почему это правильно
| | |
| |
| |
| 3.100, Анонимусс (?), 19:04, 08/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
А еще double-free и use-after-free (0215, 4450).
И разыменование указателя NULL (0217, 0401).
Точнее он даже бы не позволил допустить такую ошибку.
Т.е. почти все проблемы он бы решил.
| | |
| |
| |
| |
| 6.189, Омномним (?), 15:10, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Догадайтесь с трёх раз, почему.
- Память не резиновая.
- Проц законы физики тоже не нарушает.
- 1.5 неоттестированных фичи из пары сотен - это маловато.
| | |
|
| |
| 6.159, Аноним (122), 09:39, 09/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Вот скажи мне, растаман. Это такая шутка? Ты хоть открывал ссылку то?
Цитирую: Rustls is a modern TLS library written in Rust. It uses ring for cryptography and webpki for certificate verification.
Открываем этот ring: ring exposes a Rust API and is written in a hybrid of Rust, C, and assembly language.
Most of the C and assembly language code in ring comes from BoringSSL, and BoringSSL is derived from OpenSSL
| | |
| |
| 7.172, Аноним (-), 12:13, 09/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
А что не так?
Баги в статье в криптографии? - Нет.
Поэтому твоя отсылка на то что ring взял сишные и асм куски из BoringSSL/OpenSSL - пердеж в лужу.
| | |
| |
| |
| 9.183, Анонн (?), 14:45, 09/02/2023 [^] [^^] [^^^] [ответить] | +/– | Когда вы уже поймете что раст это не серебрянная пуля Он нужен чтобы из восьми ... текст свёрнут, показать | | |
|
|
|
|
|
| 4.145, Аноним (144), 06:48, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
На такие [возможные] проблемы нормальный компилятор выдает предупреждения, чтобы программист их хотя бы прочитал.
| | |
|
| 3.188, Омномним (?), 15:09, 09/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– |
Э, вот не надо за анимешников.
Я дереализованный яркими дергаными фантазиями анимешник и тот самый прогер по совместительству.
| | |
|
|
| 1.34, Ivan_83 (ok), 16:15, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Ниачом.
Читать через memcmp() - ну удачи, сколько там, 1 байт за попытку.
А попытки раз в час?
Остальные "уязвимости" тоже из области эксплуатации в собственном специально подготовленном коде на своих особых данных на локалхосте.
| | |
| 1.35, birdie (ok), 16:16, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Я предлагаю с этого дня удалять все комментарии где есть слово раст или rust.
За*ло.
Все, кто хочет видеть rust в $проект_X, приглашаются к тому, чтобы переписать код на rust и убедить upstream, чтобы ваш патч приняли.
Все, кто думает, что rust избавит от всех уязвимостей, советую ознакомиться с типами уязвимостей и обнаружить для себя, что несколько их классов, например, ошибки в логике, rust никак не решает.
Когда ж это закончится.
| | |
| |
| 2.36, Анонимусс (?), 16:31, 08/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> и убедить upstream, чтобы ваш патч приняли.
И как ты представляешь убедить отбитых хейтеров его принять.
Именно, растаманы знают, от каких классов ошибкок он защищает.
И ты можешь заметить, что из всей пачки ошибок из новости только две можно отнести к логическим -
измерение сетевых задержек и сравнение типов ASN1_TYPE (и то с натяжкой, потому что при нормальной системе типов, при нормальных enum ее допустить крайне сложно).
Остальное - лютейший гoвнokoд c памятью.
| | |
| |
| 3.43, Аноним (26), 16:42, 08/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>Остальное - лютейший гoвнokoд c памятью.
БОльшей части этих ошибок можно было бы избежать, если бы кто-то использовал анализаторы и санитайзеры(удивлен, что их мало кто использует). Я уверен, что даже на -Wall болт положили. Поэтому нужно боротьтся и менять саму культуру разработки, а не создавать языки, которые под лычкой "модная система типов" и "боров чекер" имеют обычные анализаторы и просто не дают совершить потенциально опасное действие.
| | |
| |
| 4.53, Анонимусс (?), 16:58, 08/02/2023 [^] [^^] [^^^] [ответить] | +3 +/– | Ты ж понимаешь, что своим утверждением просто заявляешь разрабам openssl нacpaт... большой текст свёрнут, показать | | |
| |
| 5.61, Аноним (26), 17:07, 08/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>Ты ж понимаешь, что своим утверждением просто заявляешь "разрабам openssl нacpaть на безопасность, они не включили даже варнинги не то что анализаторы"?
Да.
Я вообще уверен, что 90% всего opensource(и не очень)-кода написано в пьяном угаре, а так как переделывать никто не хочет, то и продолжают лепить старое. Поэтому стараюсь использовать только те программы, которые имеют маленькую кодовую базу(можно прочитать) и которые не имеют лишний функционал.
Например, продукты движения suckless.
| | |
| |
| 6.92, Аноним (92), 18:35, 08/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Только анонимы опеннета знают как правильно писать на Си. Жаль только что их никто не просит исправить все проекты мира...
| | |
| |
| 7.102, Аноним (26), 19:10, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Жаль только что их никто не просит исправить все проекты мира...
А мы бы и не пошли, даже за большие деньги.
У нас уже есть своя тайная сеть, ОС и прикладной софт, о котором смертные не знают. Нам просто незачем помогать насекомым.
| | |
| 7.215, 1111 (??), 16:22, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Только анонимы опеннета знают как правильно писать на Си. Жаль только что их никто не просит исправить все проекты мира...
они ещё умеют писать на расте, но потом весь код на расте почему то превращается в тыкв... то есть в высеры на опеннете . Программисты на расте такие токсичные потому что они уже все программы мира переписали на раст уже 18 раз,но весь код превратилсяя в токсичные высеры.
| | |
|
|
| 5.70, Анонимусс (?), 17:41, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Да, часть уже видел, но бот посчитал мой коммент плохим и потер((
Получается им это все не помогло. Печально, нужно новые инструменты.
| | |
| |
| 6.126, Аноним (126), 22:18, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Где rustssl то? Где он?
Воу-воу-воу. Палегчи! Не всё сразу! Растовиков просто на всех не хватает, ты же и другие опеннетные онолитеги не кинулись на расте переписывать? Вот, допустим, нашелся бы такой герой, написал бы тебе rustssl, но ты бы уже кричал "а где ffmpegrust? где QEMUrust? где BlederRust?". Там столько за десятилетия на_манки_кодили, что тебе бы на тысячу лет хватило бы немногочисленных (по сравнению с сишниками) растаманов троллить. Гниленький приёмчик.
| | |
| |
| 7.216, 1111 (??), 16:27, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
>Воу-воу-воу. Палегчи! Не всё сразу! Растовиков просто на всех не хватает, ты же и другие опеннетные онолитеги не кинулись на расте переписывать? Вот, допустим, нашелся бы такой герой, написал бы тебе rustssl, но ты бы уже кричал "а где ffmpegrust? где QEMUrust? где BlederRust?". Там столько за десятилетия на_манки_кодили, что тебе бы на тысячу лет хватило бы немногочисленных (по сравнению с сишниками) растаманов троллить. Гниленький приёмчик.
если растаманов так мало то почему в каждом углу их помёт и на весь интерент воняет? может это такая порода которая даёт только помёт и совсем не даёт моло... тоесть кода?
| | |
|
|
|
| 4.90, Анонн (?), 18:32, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Как отписали во внутренней ветке выше с пруфами на пайплайн - нет, у них куча всяких санитайзеров, включены варнинги (не Wall, но тем не менее) и даже fuzzing.
И ничего им не помогло.
| | |
| |
| 5.95, Аноним (95), 18:54, 08/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
У раста вообще задница он при сборке себя выдаёт гигабайты предупреждений. И при сборке единственной программы, жырнолиса, ещё больше.
| | |
| |
| 6.98, Анонн (?), 18:58, 08/02/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
Может тогда нужно их просто исправлять?
В сборке кода на си тоже можно включить хоть все ворнинги и гордо их игнорировать. И что?
Зато в расте действительно важные вещи - это ошибка компиляции, а не ворнинг.
Ее так просто не проигноришь.
| | |
| |
| 7.103, Аноним (95), 19:12, 08/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Но если компилятор предлагает сделать хуже? С нормальным языками то же самое, может, меньше неочевидного в итоге, но проседают эффективность и читаемость. Когда разрабы не способны отключить срач в логе, это о чём то, да говорит.
| | |
| |
| 8.110, Анонн (?), 20:20, 08/02/2023 [^] [^^] [^^^] [ответить] | +/– | Если предлагает сделать хуже - ты suppress ишь ворнинг и пишешь развесистый комм... текст свёрнут, показать | | |
| |
| |
| |
| 11.119, Аноним (95), 21:30, 08/02/2023 [^] [^^] [^^^] [ответить] | +/– | Баги или не баги, сложно сказать Что-то и баги, как с IPA, а что-то и вполне ко... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 4.168, Аноним (168), 11:06, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> этих ошибок можно было бы избежать, если бы кто-то использовал анализаторы и санитайзеры
"Избежать" ошибок таким образом нельзя чисто по определению, потому что анализаторы и санитайзеры отлавливают ошибки уже после того, как их совершили.
В том-то вся соль...
| | |
| 4.169, Аноним (148), 11:11, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Статический анализ почти никто не использует? Зачем тратить время на его настройку и переписывание уже написанного за несколько лет, кое-как работающнго кода если можно его не тратить.
| | |
|
|
| 2.39, kusb (?), 16:36, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ошибки в логике, это что-то более трудное и высокоуровневое. Для того, чтобы справляться с ними компилятор должен делать предположения типа "что же подразумевалось" и может строить модель программиста.
К сожалению у меня чувство, что мы придём к этому. Ну а потом уже и программисты будут особенно не нужны.
| | |
| |
| 3.56, kusb (?), 16:59, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Моя жизнь просто скучна и я отправляю комментарии ради них самих. Я считаю, что избыточная коммуникация - это вполне себе особенность нашего вида.
Надеюсь к нам не прилетят болтуны из Ложной Слепоты за это.
| | |
| |
| 4.210, Аноним (-), 05:38, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Моя жизнь просто скучна и я отправляю комментарии ради них самих
Как рассказать всему миру что ты овощ. Definitive guide. Ты можешь книжку такую выпустить.
| | |
|
| 3.211, Аноним (-), 05:39, 10/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> В любом случае комментарии без тех обоснования надо удалять я считаю.
Если тебе не нравится некий комент, жми "сообщить модератору" и обоснуй.
| | |
|
| 2.96, Анонн (?), 18:55, 08/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Когда кто-то только начинает переписывать, то сразу же набегает куча особо одаренных с криками "зачем переписывать!", "годами же работало!"...
А когда кто-то таки переписывает - то начинается другая песня "зачем переписали!", "это ж еще llvm тащить", "на моей некроплатформе оно не соберется, плак-плак" и тд
Закончится это когда сишники перестануть делать такие ошибки.
| | |
| |
| 3.120, iZEN (ok), 21:46, 08/02/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Закончится это когда сишники перестануть делать такие ошибки.
И перейдут, наконец, к изучению языка Modula-3.
| | |
| |
| 4.208, Аноним (-), 05:34, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Этого не случится никогда. Слишком уж паскалеобразная гадость. А попробовав разок сишку на паскаль назад уже вообще совсем не хочется. Хоть там что.
| | |
|
|
| 2.123, Аноним (126), 22:08, 08/02/2023 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Все, кто думает, что rust избавит от всех уязвимостей
Таких "всех" почему-то придумывают только сишники и приписывают это утверждение растовикам. Растаманы всегда поправляют таких "забулдыг" (заблуждающихся) как ты и каждый раз, неустанно, тыкают тебя носом в то, что это избавит от 70% ошибок типичных сишных ошибок - ошибок работы с памятью, а 30% "логических" (как ты написал) останутся. Чудес не бывает. Забудь мантру про "от всех ошибок". И, на опережение, забудь мантру "если не от всех ошибок и 30% остается - значит нинужна". Тебе может и не нужно, ведь ответственный код ты не пишешь.
| | |
| 2.124, Аноним (9), 22:17, 08/02/2023 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> За*ло. Все, кто думает, что rust избавит от всех уязвимостей
А постоянный поток новостей о бесконечно текущих сишных проектах вас, извиняюсь не, з*л? Rust избавит не от всех, а от 70%, связанных с памятью в дырявом C/C++ - а это уже хорошо.
> ошибки в логике, rust никак не решает.
Странный аргумент. Ошибки в логике вообще никакик языки не решают, банально потому, что язык (и даже компилятор) не может знать, что у разработчика в голове.
| | |
| |
| 3.209, Аноним (-), 05:37, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
В вебе сей почти нет - а поток CVEшек эвон какой. А если учесть что он еще и стимулирует подход что за кодера подумают другие - это станет какой-нибудь более легко эксплуатируемой и более вредной пакостью, типа расшифровки все и вся, детских логических атак (которые на openssl и то что использует его впрочем и сейчас прекрасно работают) и проч. С упиранием ключей или вклиниванием MITM.
| | |
|
| 2.146, Аноним (146), 07:54, 09/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Напиши фильтр для адблока или юзерскрипт, делов-то, если такой слабонервный.
| | |
| 2.193, Аноним (193), 15:32, 09/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Просто нужно доказать растерам, что всё нужно писать на паскале, а паскальщикам, что всё нужно писать на расте и стоять с попкорном, смотреть как они бурлят)
| | |
| 2.196, Аноним (-), 16:33, 09/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
Как подгорает от правды да? Как только очередная сишная дырень, так сразу со стороны параши раздаются возгласы сишников "запретите им нас обижать".
| | |
|
| 1.67, Аноним (67), 17:11, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Непонятная фигня. Давай что-то про некрожелезо, хочу потроллить пенсичей с их 4 пнями. Сюда для этого только и захожу.
| | |
| |
| 2.116, Аноним (95), 20:52, 08/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Просто никто не любит безграмотных людей с тупыми вопросами. И дело вовсе не в отличиях в предпочтениях. А грамотный специалист получит уважение независимо от используемой платформы.
| | |
|
| 1.151, Аноним (151), 08:40, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А они ведут статистику по авторам этих уязвимостей? Было бы интересно нет ли там чего-то подозрительного...
| | |
| |
| 2.206, Аноним (-), 05:29, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– |
Не знаю как насчет автырей но темп они держат изумительно: если месяц прошел без CVE в openssl, значит пентестеры и исследователи просто взяли отпуска.
| | |
|
| 1.156, Аноним (156), 09:13, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Безопасность в голове, а не на языке. Ни одна машина в наше время не будет подсказывать как добиться безопасности, в виду того, что даже опасности машина увы тоже не понимает, а когда машина научится понимать, люди станут не нужны.
| | |
| |
| 2.179, Аноним (180), 14:21, 09/02/2023 [^] [^^] [^^^] [ответить]
| –1 +/– |
В голове, верно. Только умная голова безопасность автоматизирует. А глупая - уповает.
| | |
| |
| 3.207, Аноним (-), 05:32, 10/02/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Автоматизация потом приводит к тому что кодер начинает считать что за него подумает вон то. И в какой-то момент продалбывает все и вся. Most dangerous time is when you feel yourself safe.
Ну вон матрикс. Такой из себя безопасный, только end to end crypto сломали. В их дефолтной либе которую они всем раздавали. А после этого все остальное как-то уже и не важно, они провалили свое основное обещание. Кого на этом фоне мелочи волнуют?
Впрочем openssl не лучше: это плохая либа, деланая дилетантами в крипто, которые к тому же не разу не безопасники, зато упертыне на реализации всех фич SSL/TLS. Достаточно фатальное сочетание, т.к. гарантирует жесткий багодром.
| | |
|
|
| 1.177, Аноним (180), 14:19, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Знаете, в чем концептуальная разница между сишкой растом? Если ошибка памяти возникнет в проекте на сишке - все на неё положат и она повторится в другом месте. А если в сейф коде на расте - будет скандал и раст будут чинить. А сишка никто никогда не починит.
| | |
| 1.185, Омномним (?), 15:02, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Опять в разборе ASN.1 задница.
Выдумавшему эту нотацию надо дать орден за одну из самых невменяемых к реализации теорий, да.
| | |
| 1.201, Аноним (201), 20:22, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
О, отлично, видать заодно пофиксили багу, которая крашила мой второй конфиг OpenVPN. Хех, прикольно, я уже чуть не поседел из-за странных сегфолтов.
| | |
|
