| |
| 2.11, Аноним (11), 12:16, 21/12/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
А аврорку то обновлять никто не будут она как вышла сертифицированная так и стоит.
| | |
| |
| 3.17, Аноним (17), 13:17, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Аврорка под пристальным оком товарища майора. Враги туда не пройдут!
| | |
| |
| |
| 5.28, ИмяХ (ok), 14:08, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
 Так это и не уязвимость вовсе, а намерено оставленный бэкдор как раз для товарищ мaйopa
| | |
|
| 4.58, Аноним (-), 19:50, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Аврорка под пристальным оком товарища майора.
Ну это смотря какого майора. Теперь то майоры туда зачастят. Кому разведчик, а кому и шпион, от точки зрения зависит.
| | |
|
|
|
| 1.4, Аноним (4), 11:49, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Что интересно, обе уязвимости выявлены с помощью AddressSanitizer, а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык.
| | |
| |
| 2.5, Анонимус3000 (?), 11:59, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> а нам кто-то напевал, что такие инструменты неэффективны и прям срочно нужно из-за этого перейти на новый язык
Тот факт, что уязвимости этими инструментами могут быть выявлены никто не оспаривал, мне кажется, иначе зачем их используют? Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?
| | |
| |
| 3.15, Аноним (15), 12:56, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Но сколько времени уязвимость присутствовала в коде? Сколько ещё осталось?
сколько говорят что надо на раст переписывать - и удобно и быстро и безопасно - вжух-вжух и готово! Но когда доходит до дела магия лапши растворяется.
| | |
| |
| 4.16, Анонимусс (?), 13:07, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Хм... какое интересно и, главное, безосновательное утверждение.
У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца, а у тебя магия растворяется...
Предположу, что ты просто неосилятор.
| | |
| |
| 5.18, Аноним (15), 13:17, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> У гугл получается перевести разработчиков на Раст, с других языков, за 1-2 месяца
так у них магия денег - плати мне и я тоже начну переписывать на раст
| | |
| |
| 6.23, Анонимусс (?), 13:39, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Т.е дело не в том, что язык плохой, а только в деньгах?
А примерно так и подумал)
| | |
| |
| 7.82, Аноним (15), 14:00, 22/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Т.е дело не в том, что язык плохой, а только в деньгах?
дело всегда только в деньгах - мне баги безопасности не мешают абсолютно, платить должны те кому мешают, собственно так и происходит
| | |
| |
| |
| 9.88, Аноним (15), 18:05, 22/12/2023 [^] [^^] [^^^] [ответить] | +/– | сколько драйверов ты переписал на раст сколько же тут дурачков бегает с таблич... текст свёрнут, показать | | |
|
|
|
|
| |
| |
| |
| 8.36, Аноним (-), 15:43, 21/12/2023 [^] [^^] [^^^] [ответить] | –3 +/– | Может ты просто не понимаешь, сколько стоит денег и занимает времени верификация... текст свёрнут, показать | | |
| 8.39, анонимусс (?), 15:47, 21/12/2023 [^] [^^] [^^^] [ответить] | +1 +/– | Ну накатай, кто ж тебе запретит Напиши как ты взял людей с питончика или го, и ... большой текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.9, Аноним (9), 12:12, 21/12/2023 [^] [^^] [^^^] [ответить]
| –4 +/– |
Между «выявлены» и «не допущены» есть существенная разница.
| | |
| |
| 3.12, Аноним (4), 12:16, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Добавь в makefile -fsanitize=address и эта "существенная" разница сводится к нулю.
| | |
| |
| 4.66, Аноним (-), 23:11, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
> Добавь в makefile -fsanitize=address и эта "существенная" разница сводится к нулю.
К сожалению это добавит основательно кода и аппетитов к RAM и получится нечто среднее между явой и дотнетом. Так то работает - но не бесплатно по ресурсам, мягко говоря.
| | |
|
|
| 2.14, Анонимусс (?), 12:41, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– | |
Мой опыт показывает "если что-то делать не обязательно - то это делаться не будет"
Это можно решить только 'насилием' со стороны например лида, корорый делает CI так, что без прохождения тестов вмерджить ПР будет невозможно.
Это отлично работает в проприетаре, где есть четкая иерархия 'кто главный' и мотивация денежкой.
Можно придумывать правила и заставлять всех им следовать.
А вот в опенсорсе с этим сложнее, если будешь вводить какие-то жесткие правила, то разработчики могут просто свалить.
Или просто будут массово забивать.
В общем инструмент отличный, а вот применение как получится.
Почти как с ремнями безопасности в автомобиле))
| | |
| |
| 3.24, Andrey (??), 13:45, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
В OpenSource и Free Software проектах ничто не мешает добавить санитайзеры в CI и сделать прохождение тестов необходимым условием принятия PR.
| | |
| 3.26, Аноним (26), 13:53, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
>Это можно решить только 'насилием'
>где есть четкая иерархия 'кто главный'
>Можно придумывать правила и заставлять всех им следовать.
А латексный костюмчик, ошейничек и плёточку покажете?
| | |
| |
| 4.30, Анонимусс (?), 14:18, 21/12/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Хм... те понятие иерархия у тебя ассоциируется только латексом, ошейником и плетками?
Не буду осуждать твои девиации, это твое личное дело.
Для меня еще есть "военная иерархия", "полиномиальная иерархия" и тд.
Если тебе не нравится это слово, давай заменим его на "субординация".
И да, даже в опенсорсе термин «Великодушный пожизненный диктатор» BDFL, появился не просто так.
Должен быть кто-то, кто возьмет на себя ответственность в принятии решений.
И кого потом будут ругать если "все пошло не так".
| | |
|
|
|
| 1.7, Аноним (11), 12:07, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Телефонный стек настолько сложный что никто кроме большой компании не может его развивать в том числе и из-за патентов.
| | |
| 1.8, Анонимусс (?), 12:11, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Первая
extract_bcd_number(pdu + *offset, byte_len, out->address); // overflow within extract_bcd_number(), addr_len is from SMS PDU
Вторая
memcpy(out->submit_err_report.ud, pdu + offset, expected); // overflow here
А впрочем я совершенно не удивлен (с)
В этой истории радует то, что кто-то начал использовать санитайзеры.
Осталось только сделать их применение обязательным, например на СІ.
| | |
| 1.13, Аноним (-), 12:17, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Жалко только не написали сколько эта "незакладка" спокойненько жила в коде.
| | |
| 1.31, фнон (?), 14:45, 21/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Список коммитов отлично показывает качество разработки
ЧИтать снизу вверх
2023-08-24 handsfree-audio: Quiet warning
2023-08-24 sms: Silence warning
2023-08-24 voicecall: Silence warning
2023-08-24 atmodem: Silence warnings
2023-08-24 isimodem: Silence warning
2023-08-24 mbimmodem: Quiet bogus warning
2023-08-24 build: Enable building with sanitizers
| | |
| |
| |
| |
| 4.42, nox. (?), 17:37, 21/12/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Если нет способностей освободить столько же памяти, сколько выделено, проконтролировать ввод и указатели на элементы массивов, может, вы выбрали не ту профессию?
| | |
| |
| 5.50, Аноним (49), 18:03, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Срочно выписывай из программистов всех, вплоть до Ричи, не ошибешься.
| | |
|
| 4.57, Вы забыли заполнить поле Name (?), 19:46, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
> А дыряшки, что в си, что с плюсах, вас не достали?
> Лучше бы не писал тупые комменты, а предложил бы как заставить ылитку
> погроммирования проверять входные данные и не выходить за пределы массивов.
Лол. Ты сейчас пишешь из под бразуера на с++, в котором каждый релиз закрывается N уязвимостей. Сначала откажись от всего этого софта, напиши аналоги, а потому уже открывай рот.
| | |
| |
| 5.60, Аноним (-), 20:08, 21/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Ахаха, как же быстро ты опустился до "сперва добейся"))
Я пишу из браузера где уже 14.7% кода на расте (и 17.9% на плюсах).
И чем больше его будет, тем меньше будет дыр.
> напиши аналоги
Вот аналоги как раз пишутся прямо сейчас - можно в соседнюю тему заглянуть.
Только почему-то у фанатиков дыряшек от этого неиллюзорно подгорает.
> а потому уже открывай рот.
Прям не удивительно, что такое б#дло мне лезет рот закрывать))
| | |
| |
| 6.61, Вы забыли заполнить поле Name (?), 21:04, 21/12/2023 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Ахаха, как же быстро ты опустился до "сперва добейся"))
> Я пишу из браузера где уже 14.7% кода на расте (и 17.9%
> на плюсах).
Из огнелиса чтоль? Дык там большинство кода на безопаснейшем js.
> И чем больше его будет, тем меньше будет дыр.
Мечтать не вредно.
>> напиши аналоги
> Вот аналоги как раз пишутся прямо сейчас - можно в соседнюю тему
> заглянуть.
> Только почему-то у фанатиков дыряшек от этого неиллюзорно подгорает.
Ты ссылку дай про что речь, фанатик растишки, ты наш. Про очередной переписанный и так работающий дравйвер в 100 строк или код на спутнике рядом с ядром на С от студентов?
>> а потому уже открывай рот.
> Прям не удивительно, что такое б#дло мне лезет рот закрывать))
Снежника обиделась? Можешь пожаловаться на нарушение СoC.
| | |
| |
| 7.63, Аноним (-), 21:31, 21/12/2023 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Про очередной переписанный и так работающий дравйвер в 100 строк или код на спутнике рядом с ядром на С от студентов?
Да про что угодно. И про драйвер, и про спутник.
И про Arti (замена либы Tor) num=58231 и предыдущие
И про Rusticl (замена Clover) num=58114
И про замену компонент в андроиде.
И про бэкенд компилятор Mesa.
И про WebRende и другие компоненты лисы.
Ну и конечно все темы про принятие раста в ядро - тут уже ссылки давать не буду, их была куча начиная с ядра 6.1
Везде горение, нытье, иногда нытье с горением.
> Снежника обиделась? Можешь пожаловаться на нарушение СoC.
Обиделся? Да разве на убогих обижаются.
| | |
|
|
|
|
|
|
| 1.73, Аноним (73), 05:50, 22/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вместо того чтобы писать на c++ и не обмазываться указателями на каждый чих они выбрали Си и обмазывание указателями. Их выбор. Интересно кто-нибудь ради опыта не проверял код в PVS-Studio? Я так полагаю разработчики Aurora этого не делали, но они и понятно им же нужна коммерческая лицензия.
| | |
| 1.76, Пряник (?), 09:43, 22/12/2023 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Принимать недоверенные данные через С/С++ не в песочнице или переписать на расте? Муки выбора...
| | |
| |
| 2.84, Анонимусс (?), 14:22, 22/12/2023 [^] [^^] [^^^] [ответить]
| +2 +/– |
Есть еще вариант писать на С/С++, сипрользоваться всяие смартпойнтеры или их суррогаты (
libcsptr), обмазываться стат и динамическими анализаторами, прикруить их к CI и прогонять тесты после каждого коммита, отключить варнинги и кидать ошибки, запретить неиспользуемые переменные, включить линтер ...
Но кто будет этим всем заморачиваться?
Сишка взлетела тк была проста по сравнению с ассемблером и другими своими конкурнетами/предками, на ней можно научить программить даже бибизяну, "х-к, х-к и в продакшен" так коде еще и переносимый между платформами. Что-то типа пыхи или JS, но 50 летней давности.
А то что там будут баги?.. зато посмотри как быстро! а лет через 30 потомки найдут и исправят.
Так что мое мнение - проще использовать язык-который-нельзя-упоминать-вслух (а то набегут фанатики дыряшек)
| | |
| |
| 3.92, Пряник (?), 12:04, 25/12/2023 [^] [^^] [^^^] [ответить]
| +/– |
Многим погроммистам достаточно, что их код хотя бы запускается и что-то делает. Это показатель выполненной работы, значит можно идти за зряплатой.
| | |
|
|
|
