Представлен релиз GNU Wget 1.25, программы для автоматизации загрузки файлов с использованием протоколов HTTP/HTTPS и FTP/FTPS. Утилита поддерживает такие возможности, как возобновление прерванных загрузок, зеркалирование сайтов с фильтрацией загружаемых данных по маскам, преобразование ссылок внутри документов, выставление Cookie и обновление только изменившихся файлов. Код проекта написан на языке Си и распространяется под лицензией GPLv3...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62222
> Код проекта написан на языке Си
> что приводило к уязвимости
Тебе же ссылку дали. Читай, а не форси.
> Код проекта написан на языке Си
> что приводило к уязвимостиТам такие уязвимости что их можно так хоть на баше, хоть на питоне зафигачить с тем же успехом. Да даже на брейнфаке наверное.
Тебе нужно все же уже начать что-то делать со своей тревожностью. Это уже не очень нормально. Тревожные расстройства ведут к осложнениям не забывай это.
> Тревожные rustройства
> Тревожные rustройстваЛечится установкой редсдох оси на комп пациента. После чего он так или иначе либо успокоится, либо не сможет досаждать окружающим, так что какая нафиг разница.
Одна из самых вылизанных библиотек ever ваще-то. А если ты такой умный, можешь поискать в ней уязвимости, автор тебе даже денег заплатит, если подтвердится.
> Одна из самых вылизанных библиотек ever ваще-тоТы сейчас похвалил сишку или диагноз ей поставил?
Вебсокеты и платные проприетарные билды, тем временем curl всё ещё не поддерживает utf-8 в content-disposition (https://datatracker.ietf.org/doc/html/rfc6266#page-7) из-за чего невозможно скачать файлы с дропбокса.
> тем временем curl всё ещё не поддерживает utf-8 в content-dispositionНу так взял бы и дописал!
Или заплатил бы, раз у тебя лапки.
>> тем временем curl всё ещё не поддерживает utf-8 в content-disposition
> Ну так взял бы и дописал!
> Или заплатил бы, раз у тебя лапки.Кто-то уже намутил патчи лет 10 назад, автор отказался принимать. А я уже взял wget, который это умеет. Мне надо было ещё -w "%{filename_effective}" или что-то подобное, у wget этого нет и пришлось грепать заголовки ответа.
> curl всё ещё не поддерживает utf-8 в content-dispositionУ меня в 8.10.1 для attachment работает. С libgen.gs так качаю. Правда, там часто делают очень длинные имена, а для ext4 предел — 128 русских букв.
Кому нужен платный курл :D
курл кряк кейген скачать бесплатно торрент на высокой скорости
Пользователям MacOS
Curl используются в таком большом количестве проектов, что почта автора постоянно забита разного рода фидбэком. Естественно у него нет желания поддерживать какую-то старую версию бесплатно, только потому, что чей-то коммерческий проект от неё зависит. Никто от платных фиксов – не пострадает.
> Никто от платных фиксов – не пострадает.Неправда! Вот прямо сейчас страдают бедные анонимные комментаторы, любящие считать чужие деньги ...
«У них денег — куры не клюют, А у нас — на водку не хватает!»
Начало положено, ждем появления платных пакетов. Жаль оплату картой МИР они не примут из-за санкции. Оплата криптой в РФ запрещена.
> Начало положено, ждем появления платных пакетов.Так это прекрасно. Автор почти 30 лет дарил либу всем желающим.
Разве он не заслуживает награды за это?
При чем он и раньше писал, что либой пользуются сотни тысяч фирм от больших до маленьких, а донатов... кот наплакал.
Заслуживать может и заслуживает, но никто ему ничего не должен, и увидите как его размажут сделай он основную ветку курла платной, и поделом.
> Заслуживать может и заслуживает, но никто ему ничего не должен, и увидите как его размажут сделай он основную ветку курла платной, и поделом.Хм.. напоминает нищих или бомжей, которым сначала дают бесплатные обеды, а потом когда прекращают (по разным причинам) - то в догонку летят проклятья.
В общем, насколько я тебя понял, неблагодарные 321сы будут поливать овном человека который сделал просто кучу добра?
С таким сообществом опенсорс обречен((
> Хм.. напоминает нищих или бомжей, которым сначала дают бесплатные обеды, а потом когда прекращают (по разным причинам) - то в догонку летят проклятья.А почему не наркоторговцев, у которых первая доза бесплатно?
> В общем, насколько я тебя понял, неблагодарные 321сы будут поливать овном человека который сделал просто кучу добра?
Пока человек делает кучу добра, не будут. Но куча добра мгновенно аннулируется когда перестаёт быть опенсорсом. В этом случае автор не просто перестаёт быть добродетелем, но ещё и становится предателем, подставившим всех своих клиентов.
> С таким сообществом опенсорс обречен((
Нет, опенсорс был бы обречён если бы его разрабатывали поголовно выклянчиватели донатов, которые когда получают шиш с маслом ещё и начинают проприетарную деятельность похлеще всяких корпораций. Но нет, его в основном разрабатывают люди со стабильным доходом, которым никакие донаты на хрен не упали, и разрабатывают ПОТОМУ ЧТО у них есть средства на эту деятельность и ОНИ ХОТЯТ приносить через неё пользу сообществу.
И это важно, потому что качество продукта обеспечивается прежде всего мотивацией - пока последние без задней мысли пилят продукт ТОЛЬКО ЧТОБЫ ИМ ПОЛЬЗОВАЛИСЬ, первые всегда будут думать как бы стрясти денег, как бы встроить монетизацию, хотя бы рекламу, хотя бы баннерок при установке, как бы усложнить жизнь пользователям с деньгами чтобы те начали платить, как бы усложнить форк, как бы ещё поныть и поклянчить.
> А почему не наркоторговцев, у которых первая доза бесплатно?У тебя классное сравнение опенсорса!
Надеюсь наши депутаты не прочитают ;)> Пока человек делает кучу добра, не будут. Но куча добра мгновенно аннулируется когда перестаёт быть опенсорсом.
А вот и первый неблагодарный 321.
У них что заберут старый код? Удалят со всех компов? Теперь вы сможете развивать проект сами!
Опенсорс останется опенсорсом в последней версии до смены лицензии, как бы ненавистники не усиарлись.> В этом случае автор не просто перестаёт быть добродетелем, но ещё и становится предателем,
У меня даже слов нет, насколько бредовые твои слова.
Но что самое страшное, что такие фанатики не только существуют, но и ходят рядом с нормальными людьми.> подставившим всех своих клиентов.
Э... каких клиентов? Которые ему деньги платят? Так таких же нету)
Чел пишет для себя и по доброте душевной позволяет пользоваться.
Так что вы никакие не клиенты, а пользователи или, скорее, нахлебники.> Нет, опенсорс был бы обречён если бы его разрабатывали поголовно выклянчиватели донатов, которые когда получают шиш с маслом ещё и начинают проприетарную деятельность похлеще всяких корпораций.
Корпы и разработчики и так пишут 80% кода ядра.
Так что хватит фантазировать.> Но нет, его в основном разрабатывают люди со стабильным доходом, которым никакие донаты на хрен не упали, и разрабатывают ПОТОМУ ЧТО у них есть средства на эту деятельность и ОНИ ХОТЯТ приносить через неё пользу сообществу.
Бла-бла-бла.
Я тебя услышал, анон, а теперь послушает мейнтенеров:
"60% мэйнтейнеров открытых проектов не получают оплаты за работу по сопровождению проектов, при этом из них 14% считают данное занятие хобби и не заинтересованы в получении за него денег, в то время как 44% были бы не против получить финансирование."
"48% мэйнтейнеров ощущают свою работу недооценённой. 38% обдумывают возможность ухода с поста сопровождающего"
opennet.ru/opennews/art.shtml?num=61916> И это важно, потому что ...
Дальше идет полный бред.
Даже комментировать не буду.
> У тебя классное сравнение опенсорса!Это был всего лишь ответ на твоё сравнение опенсорса. Ровно той же степени неадекватности.
> У них что заберут старый код?
Забудь уже эту заученную мантру. Код нахрен никому не сдался, продукт это код + поддержка. Перестали поддерживать - нет больше продукта, а кодом можно подтереться. Ты и такие как ты его поддерживать точно не будут.
> У меня даже слов нет, насколько бредовые твои слова.
> Дальше идет полный бред.Если нет слов и аргументов, принято помалкивать.
> Но что самое страшное, что такие фанатики не только существуют, но и ходят рядом с нормальными людьми.
Я тебе больше скажу, они ещё и в опенсорс контрибутят больше чем все попрошайки, нытики и их защитнички вместе взятые.
> Э... каких клиентов? Которые ему деньги платят? Так таких же нету)
Если бы в сообществе был принят такой подход, то никакого опенсорса бы не было, потому что проекты которые сегодня работают, а завтра заброшены никому не нужны. Ими нельзя пользоваться, на них нельзя ничего строить. Поэтому именно эти самые клиенты, которые воспользовались твоим кодом, на тебя положились и на тебя рассчитывают, и перед которыми ты несёшь ответственность, и да, которые при этом тебе ничего не должны, потому что ты на это сам подписался. Я, как опенсорс мантейнер, это осознаю и принимаю, и именно из таких как я состоит сообщество, которое, напомню, превалирует в IT индустрии. А цыгане которые сегодня "по доброте душевной позволяет пользоваться", а завтра "Э... каких клиентов?" - это рак.
> а теперь послушает мейнтенеров
Мантейнеров там 14%. Остальное - мусор которые залил очередной leftpad на npm и "заинтересован в получении за него денег". При этом я уверен что они даже официальный договор по которому им платят деньги, а они обеспечивают SLA на поддержку, багфиксы и ревью PR, при нарушении которого платят уже неустойку, не согласились бы. При том что настоящие мантейнеры эту SLA обеспечивают бесплатно.
> 38% обдумывают возможность ухода с поста сопровождающего
Так я вас умоляю, уходите и никогда не возвращайтесь. Вы - с трудом волочащиеся проекты, в которых дыры не закрываются, issue и pr висят без ответа годами, которые постоянно ломаются с новыми версиями компиляторов, зависимостей и систем, и которые свою непосредственную задачу-то не всегда выполняют.
> Даже комментировать не буду.
Уж сделай одолжение.
> Это был всего лишь ответ на твоё сравнение опенсорса. Ровно той же степени неадекватности.Признаю что ты обогнал меня.
Настолько неадекватное сравнение.. просто шикарно в своей неадекватности.> Забудь уже эту заученную мантру. Код нахрен никому не сдался, продукт это код + поддержка.
> Перестали поддерживать - нет больше продукта, а кодом можно подтереться.Вранье.
Есть куча проектов, которые были форками заброшенных и преуспели.
Например LibreOffice или Jenkins.
Или Xorg - форк XFree86.
Даже Apache был форкнут от NCSA и, а кто вообще сейчас помнит про NCSA?
WebKit который был форкнут от KHTML используется сейчас в миллионах девайсов.Из последних нашумевших - всякие ОпенТофу, Анги и прочие форки БД, которые были закрыты для комерции и сразу были форкнуты подкорповскими подстилками.
> Ты и такие как ты его поддерживать точно не будут.
Ты с таким видом этого говоришь, почти за умного сошел бы)
> Если нет слов и аргументов, принято помалкивать.
Не, аргументы есть.
Просто мне не хочется опускаться на твое дно.> Я тебе больше скажу, они ещё и в опенсорс контрибутят больше чем все попрошайки, нытики и их защитнички вместе взятые.
А статистика есть?)) Хотя кого я спрашиваю.
80% кода в ядро контрибутят люди на зарплате корпов.
Крупнейшие успешные проекты, типа блендера, финансятся корпами.> Если бы в сообществе был принят такой подход, то никакого опенсорса бы не было,
Эээ? Даже комми Столлман не запрещал коммерцию!
> потому что проекты которые сегодня работают, а завтра заброшены никому не нужны.
> Ими нельзя пользоваться, на них нельзя ничего строить.Пусть те кому нужны пишут код или оплачивают тех кто его пишет.
Если проект заброшен - то он не нужен ни-ко-му.> Поэтому именно эти самые клиенты, которые воспользовались твоим кодом, на тебя
> положились и на тебя рассчитывают, и перед которыми ты несёшь ответственность,Ахахахаха! Пощади человек-анекдот.
Ответственность перед людьми, которым я подарил код? Может им еще нужно на новый год подарки отправлять? Ну раз они осчастливили меня тем, что пользуются плодами моего труда.> и да, которые при этом тебе ничего не должны, потому что ты на это сам подписался.
Лол, а можешь показать, где именно я это подписывал?
Я помню выложил код в репозиторий, написал "пользуйтесь кто хочет"..
Про ответственность там ничего не было.
А нет, было!
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND...> Я, как опенсорс мантейнер, это осознаю и принимаю, и именно из таких как я состоит сообщество, которое, напомню, превалирует в IT индустрии.
Ссылку на репозиторий пожалуйста, а то на словах тут все Львы Толстые.
> Мантейнеров там 14%. Остальное - мусор
Фу как некрасиво!
> При том что настоящие мантейнеры эту SLA обеспечивают бесплатно.
А настоящие шотландцы?
Редхат это настоящие мейнтейнеры или нет?>> Даже комментировать не буду.
> Уж сделай одолжение.Соррян, не получилось.
Надеюсь это ты так троллил. Иначе это уже какая-то болезнь.
непонятно только чего ты с этим (со своей такой цельной системой жизненных ценностей) к окружающим лезешь... без трубки уже не можешь? )))
> непонятно только чего ты с этим (со своей такой цельной системой жизненных ценностей) к окружающим лезешь...Э... твое ценное мнение очень важно.. ну прям супер..
Но я же не запрещаю тебе его высказывать.
Ведь разве форум не сделан для того чтобы высказывать свои мысли?
> подставившим всех своих клиентовКаких клиентов? Они ему разве платят? Если да, то для них ничего не поменяется
Так и он тем более никому ничего не должен
> Начало положено, ждем появления платных пакетов.Даже у Столлмана не было запрета брать деньги за программы.
Это же не пиво)?> Жаль оплату картой МИР они не примут из-за санкции. Оплата криптой в РФ запрещена.
Наверное что-то случилось.
Но не расстраивайся в РФ и так много крутых программистов, которые смогут сделать гораздо лучше!
Зачем подачки какого-то шведа!
> Оплата криптой в РФ запрещена.Это бред полнейший!
по закону расчеты между налоговыми резидентами РФ возможны только в рублях.
>Начало положено, ждем появления платных пакетов.Копилефт не есть коммунизм. Об этом многие годы, на регулярной основе разъясняют, только не говорите, что вы этого не знали. GNU никогда не запрещал товарно-денежные отношения. Четыре истины Столлмана повествуют о Свободе исходного кода.
Коммунисты прочь пошли!
> Копилефт не есть коммунизм.Еще какой!
Вон Борода в манифесте написал и про "гос.министерсвто написнаия программ", и про "зарплату программиста определяемой налогами и голосованием"> Об этом многие годы, на регулярной основе разъясняют, только не говорите, что вы этого не знали.
А можно ссылку?
Я пока только манифест прочитал и там "программисты просто будут зарабатывать меньше" и "будут просить пожертвования".> Четыре истины Столлмана повествуют о Свободе исходного кода.
Как только ты продал первый экземляр кода, то скорее всего он будет и последним)
Потому что сразу найдется мр-зь которая сделает форк и будет вопить "не платите разработчику деньги! вот тоже самое бесплатно!!"
И примеров таких море: например форки Фаерфокса от различных фурр№№№бных девиантов.
Они паразитируют на чужом коде и лгут что лиса за ними шпионит.> Коммунисты прочь пошли!
Правильно GPL-рак убивает опенсорс!
>You may charge a fee for the physical act of transferring a copy, and you may at your option offer warranty protection in exchange for a fee.Ах да, curl же не под GPL, а под MIT. Это не копилефт, тогда какие вообще могут претензии?
Платное гарантийное обслуживание предоставляется только тому кто заключил договор. Но ты не забывай ведь GPL рак опенсорса.
Так что это право выпускать платные бинарники, и даже бесплатные форки сделать не смогут, потому что это не копилефт. Вот в Microsoft Store есть платные бинарники открытых программ, того же gimp и офиса, и ты не поверишь их даже кто-то покупает за платные деньги. Так что давай бегом иди форкать и бесплатно всем раздавать.
> Ах да, curl же не под GPL, а под MIT. Это не копилефт, тогда какие вообще могут претензии?Потому, что у местных анонов сгорают опы только от мысли, что кто-то захотел денег.
Хотя сам Столлман писал "Нет ничего дурного ни в желании получить плату за работу...".> Платное гарантийное обслуживание предоставляется только тому кто заключил договор.
Все в соответствии с Манифестом)
Вон КрасноШапка так и зарабатывает.> Но ты не забывай ведь GPL рак опенсорса.
Да, GPL-это рак опенсорса, но по другой причине.
>Оплата криптой в РФ запрещена.А вы побежите докладывать налоговой, что заплатили со своего криптокошелька иностранному продавцу за прогу? Для скачивания пока ещё таможенная декларация ненужна.
>>Оплата криптой в РФ запрещена.
> А вы побежите докладывать налоговой, что заплатили со своего криптокошелька иностранному
> продавцу за прогу? Для скачивания пока ещё таможенная декларация ненужна.Заодно и бэджик иноагента сразу выдадут чтоб 2 раза не вставать! :)
>> А вы побежите докладывать налоговой, что заплатили со своего криптокошелька иностранному продавцу за прогу? Для скачивания пока ещё таможенная декларация ненужна.
> Заодно и бэджик иноагента сразу выдадут чтоб 2 раза не вставать! :)А бутылку шампанского в честь такого праздника будут открывать?
так запхают.
> платные LTS-выпуски CurlУжас, я совсем пропустил, когда Curl стал платным! Это просто неприемлемо 😨. Как же так? Раньше это был отличный инструмент, доступный всем, а теперь приходится платить.
> Ужас, я совсем пропустил, когда Curl стал платным!А он и не стал. Ты же не за курл платишь, а за "five years support".
Он и сейчас всем доступен.
Кому в здравом уме нужен платный саппорт по курлу?
> Кому в здравом уме нужен платный саппорт по курлу?О ужас!
Аффтор КУРЛа наживается на умственно неполноценных, шок-сенсация!Может если он это предлагает, то кому-то оно понадобится?
А может кто-то готов заплатить за фичи?
>Кому в здравом уме нужен платный саппорт по курлутак же как и rhel, саппорт не нужен, а сказать спасибо хочется
> Кому в здравом уме нужен платный саппорт по курлу?Каким нибудь особо отшибленым индустриальным некромансерам которые ну вот вообще совсем не могут радикально все обновить - может даже и прокатит. Туда же всякие убер-LTS дистро с временем жизни i++ лет, типа платного сапорта древностей у убунты. А почему собссно попросить этих, плантых. поделиться - криминал? Или сапопикалу - можно, а этому - фиг? :)
Да хоть за платные бинарники. Там же не GPL, так что вообще всё что придёт в голову автору. А за "five years support" вообще абсолютно нормально брать деньги. Если им нужна доработка по древней версии и они не могут обновится на свежую. Да и платную поддержку обычно кто берёт: в основном коммерческие компании с большим легаси. Так что раздули скандал из ничего, разве что фиксы древних версий не будут доступны для простых смертных, что может вызвать несовместимость с общедоступной версией.
А wget2 что - всё?
Наоборот.
В Fedora оставили только wget2, а wget1 удалили из репозитория.
там же symlink на wget1
wget1 и wget2 отличаются, а ссылка не решает вопрос совместимости.
Ничто кроме их упоротости не мешало оставить в репозитории wget1, а предустановленным сделать wget2.
Не готов ещё ни для чего кроме федоры )
В дебиане во всех ветках и даже в oldoldstable есть.
Наоборот, судя по https://repology.org/project/wget/versions wget2 есть уже почти везде где есть старый wget. В небольших дистрибутивах и федоре старый уже выкинули.
Есть хоть одна причина использовать васянский форк? Я вижу, добавили brotli и lzma, но это большой недостаток на деле. Ещё http2, только толку от него не много и необходим http3 (использовал с curl).
Фичи wget2 были описаны в новости про его выход. Если тебе ничего из этого не интересно - не используй, только не ной когда первый wget выпилят отовсюду, а ты с него так и не свалил.
А, ну т.е. буквально ничего полезного. Вряд ли меня это сильно заденет, я использую только curl и wget мне для специфических случаев. Вот когда будет во всех дистрибутивах по умолчанию, тогда и стоит озаботиться, а пока 0 интереса и никаких преимуществ.
Ставь aria2 и не парься. Поддерживает те же протоколы и даже больше.
> Ставь aria2 и не парься. Поддерживает те же протоколы и даже больше.Curl используется для всяких кастомных запросов и тестирования сетей. Удачи тебе то что можно им - откаблучить aria2. Они мягко говоря не эквивалентны по возможностям.
Так вопрос был про wget. Конечно каждому инструменту своё дело. Я обоими пользуюсь.
> платные LTS-выпуски Curlпипец
Ага, если опенсорс - значит разработчики должны пользователям доплачивать, а ты ишь чё, разработчики захотели копеечку получить за свой труд.
> Ага, если опенсорс - значит разработчики должны пользователям доплачивать, а ты ишь
> чё, разработчики захотели копеечку получить за свой труд.На самом деле такая бредовая мысль - не редкость.
Мне местный модер рассказывал, что "программист должен быть благодарен пользователям, за то что они пользуются его программами"
Чего пипец-то?По–моему посыл кристально ясен: если нужно с исправленными ошибками и закрытыми уязвимостями — бери свежак.
А если хочешь, чтобы в версию пятилетней давности бэкпортировали фиксы, изволь оплачивать эту работу и донатить в проект.
>> платные LTS-выпуски Curl
> пипецВебня, она такая вебня...
Это ж браузер из комстроки по протоколам HTTP и т.д. Со всеми негативными последствиями современного WWW, в дополнение к позитивным.
Надо не забыть убедиться что мой софт не собирается с LTS курлом.
Очень веселит факт, что кто-то платит за избавление от рисков, связанных с рукосуйством улучшайзеров. Масштабы бедствия настолько велики.
А ничего что "улучшайзеры" это те же кто написал продукт от и до?
Но конечно да, сложно отрицать что в архаике типа curl и wget всё плохо с CI/CD и тестированием.
Улучшалки - звучит как костыли ошибок решения.Хорошо продуманное, разумное инженерное решение обычно бывает при разработке, от и до.
Поэтому, улучшателей не нужно. Нужны думающие и разрабатывающие - другие.
Рад, что ребята хотят заработать денег. Две легендарные программы wget-том регуляно пользуюсь. Удачи пацанам.
Кстати, wget в дебиане из коробки, а curl надо ставить из реп. Значит wget круче, раз великие дистростроители по-умолчанию его ставят. УРА! А curl - поделка.
В дебиане в пакет curl уже входит wcurl, которым можно заменить wget. Это так, для общего развития крутых комментаторов.
> Значит wget круче, раз великие дистростроители по-умолчанию его ставят. УРА! А curl - поделка.Curl многократно гибче и может неизмеримо больше. Некоторые вещи вы wget поднапряжетесь сделать, а curl - как 2 байта переслать.
> платные LTS-выпуски CurlОтличная бизнес-идея! Как раз для проектов на C. Сами наваливаем очередную порцию типичных сишных дыреней в стиле выходов за пределы буфера и use-after-free, потом сами же героически заливаем их фиксы в LTS. Ну, чтобы люди видели, что деньги заплачены не зря.
> Отличная бизнес-идея! Как раз для проектов на C.Хм.. а ты думал почему ментейнеры ядра так боятся раста?
Потому что сейчас можно в 2024 чинить CVE которую сам оставил в 2013.
И это не преувеличение!
Тот самый Теодор "вы не заставите меня выучить раст" Тцо в 2013 году закоммитил от такой код https://github.com/torvalds/linux/commit/dc6982ff4db1f47da73...Но несмотря на дедовость код оказался овном.
И в 2022 тысячи глаз наконец-то рассмотрели там уязвимость CVE-2022-1184 (https://security-tracker.debian.org/tracker/CVE-2022-1184)Но пофискить баг с одной попытки, это очень вредно для кошелька.
Поэтому попыток было две:
1. https://github.com/torvalds/linux/commit/65f8ea4cd57dbd46ea1...
2. https://github.com/torvalds/linux/commit/61a1d87a324ad5e3ed2...В общем баги крутятся, зарплата мутится.
Про "боятся" — это влажные фантазии растолюбцев.Испытывают отвращение. Как к уродливой, запутанной и переусложнённой системе, потребующей массы изменений и затрат. Обещающей решить часть проблем (невообразимо дорогой ценой), но параллельно грозящей привнести массу других.
А может вы лужу блевотины или коровью лепёшку на земле тоже "боитесь" — вдруг подпрыгнет и набросится?
> Хм.. а ты думал почему ментейнеры ядра так боятся раста?Потому что потом вообще никто майнтайнить этот птичий помет^W язык не захочет - и какая там нахрен бизнес модель? Подать заяву на банкротство?
> Отличная бизнес-идея! Как раз для проектов на C. Сами наваливаем очередную порцию
> типичных сишных дыреней в стиле выходов за пределы буфера и use-after-free,И все б ничего но вот libcurl и curl - написаны очень аккуратно и для них вот это все очень нехарактерно. В нем за всю историю полтора вулна находили. Там реально крутой и прошареный автор.
А вот остальным сишникам с него пример стоило бы брать на тему качества кода. А бизнес модель? Вот конкретно этот гражданин совершенно точно заслужил чтобы ему денег дали. У него отличная либа и проблем с безопасностью у нее как раз - чуть менее чем нифига.
А еще у нее довоьлно прикольное апи, буквально парой вызовов можно "качнуть файл из интернета". В всей этой вашей хрустоте - ничерта сравнимого нет. Тем более с таким количеством опций.
> А еще у нее довоьлно прикольное апи, буквально парой вызовов можно "качнуть файл из интернета".Ох, лол. Оно там прикольное ровно до того момента, когда для скачки файла ты можешь позволить блокирующий вызов.
А как только тебе становится нужна асинхронщина или хотя бы просто pull интерфейс в стиле файла (типа того же виндового WiniNet) то начинается трешачина с каллбеками, ибо лучшего интерфейса авторы придумать не смогли.
> Ох, лол. Оно там прикольное ровно до того момента, когда для скачки
> файла ты можешь позволить блокирующий вызов.В дивном современном мире я могу просто запустить отдельный тред - и пусть он там блокируется себе до позеленения, мне не жалко! Блокирующий вызов резко становится неблокирующим.
> А как только тебе становится нужна асинхронщина или хотя бы просто
> pull интерфейс в стиле файла (типа того же виндового WiniNet)Я понятия не имею ни про какой WiniNet. Но если мне блочить текущий тред не катило - я просто создам новый, с даунлоадом curl, как все нормальные это и делают. Это не я придумал, я лишь с314л идею. Так и простой код, и асинхронность, и грабель не так уж много, если д@рака не валять.
> то начинается трешачина с каллбеками, ибо лучшего интерфейса авторы придумать не смогли.
Не имею ничего против callback'ов. На них можно очень изящные апи делать. В tox вообще так месенжер в либе сделали, весьма простая обработка только событий на который хочется подписаться, а на что не подписались - просто игнорится по дефолту. И можно - вот - целый p2p месенжер в полстранички кода на сях уместить. Ну там бот какой.
Теперь возьмите свое кульное апи и любой иной месенжер - и покажите как у вас ЭТО получится?! Калбэки так то позволяют весьма годные и элегантные апи. Как и вообще event driven.
> И все б ничего но вот libcurl и curl - написаны очень аккуратно и для них вот это все очень нехарактерно. В нем за всю историю полтора вулна находили.Да что ты! В данный момент список насчитывает 160 CVE, и буквально в последней же десятке у нас "buffer overread", вызов free() для переменной на стеке (мама, смотри как я умею!) и "memory leak".
> Да что ты! В данный момент список насчитывает 160 CVE,Ну если чисто по количеству CVE мерять - в базе CVE на слово rust находилось более 250 CVE так то, при том некоторые аж прям в stdlib'е. Тоже видимо "мама смотри как я умею"?
> Ну если чисто по количеству CVE мерять - в базе CVE на слово rust находилось более 250 CVE так то, при том некоторые аж прям в stdlib'е. Тоже видимо "мама смотри как я умею"?Да, отличный пример.
Мне особенно CVE-2024-47080
matrix-js-sdk is the Matrix Client-Server SDK for JavaScript and TypeScript. In matrix-js-sdk versions versions 9.11.0 through 34.7.0, the method `MatrixClient.sendSharedHistoryKeys` is vulnerable to interception by malicious homeservers.В общем если бы рыбы были покрыты шерстью, то на них были бы блохи. А вот блохи..!
Или CVE-2024-43367
Boa is an embeddable and experimental Javascript engine written in Rust. Starting in version 0.16 and prior to version 0.19.0, a wrong assumption made when handling ECMAScript's `AsyncGenerator` operations can cause an uncaught exception on certain scripts. Boa's implementation of `AsyncGenerator` makes the assumption that the state of an `AsyncGenerator` object cannot change while resolving a promise created by methods of `AsyncGenerator`В общем с такой логикой нужно считать все CVE написанны на СИшке)
И я уже молчу что 160 CVE от анона выше - это в одном курле.
> И я уже молчу что 160 CVE от анона выше - это
> в одном курле.И что вас удивляет? В случаег HTTP - вы с одной только работой с его хидерами - и разной трактовкой оных, не так как это ожидалось вон теми - цать CVE влегкую влепите, попробовав сделать свой парсер протокола. На хоть каком ЯП.
И вполне можно на каждую такую плюху CVE получить. Конечно на васян-хрень это никто делать не будет. А на core-либу юзаемую дофига софта - могут и. Ибо когда ремотный атакующий может сделать какую-то пакость реальнос существующему софту...
> Ну если чисто по количеству CVE мерять - в базе CVE на слово rust находилось более 250 CVE так то, при том некоторые аж прям в stdlib'е. Тоже видимо "мама смотри как я умею"?Не знаю сколько там реальных CVE, но в самом языке их буквально пара десятков
cvedetails.com/vendor/19029/Rust-lang.html
>> платные LTS-выпуски Curl
> Отличная бизнес-идея! Как раз для проектов на C. Сами наваливаем очередную порцию типичных сишных дыреней в стиле выходов за пределы буфера и use-after-free, потом сами же героически заливаем их фиксы в LTS. Ну, чтобы люди видели, что деньги заплачены не зря.Так это не работает. Не используют проекты тех, кто наваливает порции ошибок. Ну и не будет дохода никак.
> Так это не работает. Не используют проекты тех, кто наваливает порции ошибок.
> Ну и не будет дохода никак.Так и сейчас дохода нет!
Вон чувак за найденные баги доплачивает.
Хочет немного заработать на бутер с маслом, так его местные уже в предатели записывают.
>Объявлена стабильной поддержка протокола WebSocket.Мне кажется, что это совсем не то, для чего curl используют.
Дело-то хорошее. Теперь пайп curl | bash станет еще интереснее!
>Добавлена поддержка динамического включения поддержки TLS-расширения ECH (Encrypted Client Hello), предназначенного для шифрования информации о параметрах TLS-сеансов, таких как запрошенное доменное имя.А нужно было захардкодить и сделать неотключаемой. И из Firefox настройки убрать и захардкодить. Кому надо без ECH - те пусть в яндекс идут.
> А нужно было захардкодить и сделать неотключаемой. И из Firefox настройки
> убрать и захардкодить. Кому надо без ECH - те пусть в яндекс идут.Э, пардон, вон то используется для всяких тестов и экспериментов зачастую. И чем там больше таких вещей тем удобнее диагностировать всякие сетевые хреновины.
Теперь автор мотивирован:
- выпускать новый версии с breaking changes
- выпускать баги в новых версиях, что бы потом их фиксить в LTSЛогично?
Ты всё правильно понял.
>представил инициативу по поддержанию LTS-выпусков (Rock-solid), обновления с исправлением серьёзных ошибок и уязвимостей для которых будут публиковаться как минимум в течение 5 лет.Неуж-то в дебиане на один дырявый пакет будет меньше?
>Доступ к LTS-обновлениям предоставляется только клиентам, заключившим договор о поддержке.А нет, показалось