https://www.opennet.ru/openforum/vsluhforumID3/113570.html В PyBitmessage (https://github.com/Bitmessage/PyBitmessage/), эталонной реализации клиента для пересылки сообщений в децентрализованной p2p-сети Bitmessage, выявлена (https://bitmessage.org) критическая уязвимость, позволяющая удалённо выполнить сторонний Python-код на стороне пользователя. Проблема устранена в выпуске 0.6.3.2 (https://github.com/Bitmessage/PyBitmessage/releases), но имеются сведения об организации атаки по похищению файлов с кошельками Electrum, которая началась ещё до публичного раскрытия сведений об уязвимости. Уязвимости подвержены только ветки 0.6.2 и 0.6.3, в 0.6.1 проблема отсутствует. Всем пользователям уязвимых версий PyBitmessage рекомендуется срочно перегенерировать ключи и сменить пароли.<br> <br><br>Проблема вызвана (https://github.com/Bitmessage/PyBitmessage/commit/3a8016d31f517775d226aa8b902480f4a3a148a9) применением функции eval() в коде, в которой выполнялось содержимое, составленное на основе внешних данных. Злоумышленник мог отправить сообщение, приводящее к выполнению произволь https://www.opennet.ru/openforum/vsluhforumID3/113570.html#142 Wed, 21 Feb 2018 09:35:13 GMT &gt;&gt; а широковещательная рассылка сообщений<br>&gt; И что именно там смущать должно?<br><br>Может то же самое, что и вариант чисто широковещательного TCP без маршрутирования? Пускай все пакеты получают все узлы, кто получил чужой - просто дропает.<br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#141 Wed, 21 Feb 2018 09:30:37 GMT &gt; Функциональщики и вовсе без них как-то живут<br><br>У функциональщиков есть лямбды<br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#140 Wed, 21 Feb 2018 09:29:31 GMT &gt; foo = 0;<br><br>классический костыль. руки отрывать.<br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#139 Mon, 19 Feb 2018 19:30:40 GMT &gt;&gt; В Си есть макросы.<br>&gt; Для любителей хайлевела на си есть libcello. Там и итераторы есть, и <br>&gt; лямбды, и чего там еще. Си вообще штука довольно гибкая на самом деле.<br><br>Но и скорость у этого либчелло соответствующая, ближе к жабе и ЖС. <br>Сборщик мусора и куча проверок в рантайме не располагают к особой быстроте. <br>Тогда уж проще сразу какой нить ним или валу взять - там и ЯП помощнее, не такой васикоподобный. И народу побольше.<br><br>А гибкость сишная, которая на "макросах", скорее из разряда "да, чисто теоретически можно, но ... " <br>Макросам для таких кунстштюков вне хеловорлдов очень желательна как минимум гигиеничность.<br>И нормальная поддержка дебажинга. Что, как и где раскрывается - c этим у связки классического, отдельного от компилятора, препроцессора в качестве макросдвижка вообще-то полная ж*па. <br>Выручает только то, что современные компиляторы сами себе препроцы и дебагинфу соотв. записать могут.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#138 Mon, 19 Feb 2018 19:04:45 GMT &gt; Тупняк это, возможно, мельтдаун. eval же удаленной строки данных - это не <br>&gt; тупняк, это бекдор самый натуральный, слепым шеллом называется.<br><br>Ты все-же посмотри код этого bitmessage, или вообще попробуй его скачать. Что тут не понятного, у автора была клевая идея. Идея даже имела некий пойнт. Но вот програмить автор кажется не умел. Да и вообще, явно подорвался кодить даже не обдумав алгоритм толком и что будет дальше. Ну и взял ЯП попроще, на примере этой "референсной реализации" как раз и поучился програмить, судя по качеству этой штуки. Так что он мог и не знать что это что-то плохое, а кодить проще.<br><br>То что untrusted данные приехавшие по сети могут быть ЛЮБЫЕ, а не те что задумано - почему-то часто оказывается откровением для начинающих програмеров. Я не знаю откуда этот тупняк берется, но любители высокоуровневых ЯП, текстовых протоколов и проч этому подвержены выше среднего, у них больше всего проблем с пониманием этого момента.<br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#137 Mon, 19 Feb 2018 18:55:31 GMT &gt; Это божественно <br><br>С каких пор codermonkey относят к священным животным?!<br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#136 Mon, 19 Feb 2018 18:51:21 GMT &gt; Если нужно обмениваться сложными данными - используйте json/xml/yaml и т.п. ну или <br>&gt; свой язык реализуйте...<br><br>Понимаешь, веб-макака, шифрованные сообщения и криптографические ключи не очень хорошо текстом представляются. Самое простое UU кодирование раздувает все на треть и не хватает звезд с неба по скорости кодирования и декодирования. А более наивные и простые реализации с например представлением хекса как текста - раздувают все раза в 2-3. А в штуке типа сабжа весь протокол состоит из вот этого вот. <br><br>Поскольку броадкаст - если ты все это в json засунешь или тем паче в XML, ты утонешь в трафике. Которого станет в разы больше, при том что и так было дофига. И проц оно и так грузило очень даже, а еще json из питона на скорость парсить, или тем более XML - ну, э, оно тогда proof of work по прожорливости начнет затыкать.<br><br>Отсюда мораль: питон не особо подходящий инструмент для перекидывания шифрованными сообщениями по сети. Если сильно долбануться, это можно даже на JS и баше. Но для этого надо реаль https://www.opennet.ru/openforum/vsluhforumID3/113570.html#135 Mon, 19 Feb 2018 18:42:33 GMT &gt; В Си есть макросы.<br><br>Для любителей хайлевела на си есть libcello. Там и итераторы есть, и лямбды, и чего там еще. Си вообще штука довольно гибкая на самом деле.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/113570.html#134 Sun, 18 Feb 2018 17:31:00 GMT &gt; Таки goto обычное дело в обработке ошибок. Потому что если все профакапилось, <br>&gt; вложенными циклами не отвертишься, знаешь ли.<br><br>Уговорил.<br>