Компания Qualys выявила две уязвимости в инструментах apport (CVE-2025-5054) и systemd-coredump (CVE-2025-4598), применяемых для обработки core-файлов, генерируемых после аварийного завершения процессов. Уязвимости позволяют получить доступ к core-файлам, сохранённым после аварийного завершения suid-приложений или некоторых системных фоновых процессов, в памяти которых могут содержаться прокэшированные учётные данные или ключи шифрования. Утилита apport автоматически вызывается для сохранения core-дампов в Ubuntu, а systemd-coredump в Red Hat Enterprise Linux 9+, Fedora и многих других дистрибутивах Linux...Подробнее: https://www.opennet.me/opennews/art.shtml?num=63328
> После сдвига нумерации PID suid-процессу отправляются сигналы SIGSEGV и SIGCONT, после чего отправляется SIGKILL и циклично запускаются новые процессы для достижения того же PID, что и у suid-процесса.А какой макс. номер PID?
В районе 60 тыс на линуксе.
It's 32768 by default, you can read the value on your system in /proc/sys/kernel/pid_max.And you can set the value higher on 64-bit systems (up to 222 = 4,194,304
максимум 2^22 на 64-битном линуксе
на арче 4194304
да так видимо много где по-умолчанию в линуксе, но можно поставить и поменьше
зачем? в ногу себе выстрелить?
> зачем? в ногу себе выстрелить?Есть хоть одна причина иметь больше?
а меньше?
> а меньше?user-friendly
User friendly что именно? Мне что PID 1, что PID 100000000 — разницы никакой. Цифра и цифра.
Ну, когда в консольке работаешь, тебе надо знать идентификаторы процессов периодически. И 10000000 от 100000000 отличать так себе, а 1000 с 10000 ты не спутаешь. Кроме того, они занимают место на экране.
> user friendly
> в консольке работаешьАсь? Если мне пришлось опуститься до того, чтобы в проде из консольки пиды один от другого отличать, то, во-первых, случилось что-то очень не user friendly, а это значит, что, во-вторых, отличать придётся накопленным скриптом, а не вручную, и, в-третьих, всё равно не по пидам, а по более информативным критериям. А на локалхосте у тебя столько процессов не запущено, не рассказывай сказок.
Где у тебя миллионы процессов запущены? То, что на локалхосте у меня 10000 процессов висит, не имеет никакого отношения к теме, идентификаторы пригодятся, хотя бы и сигналы им отправлять. Это нормальный рабочий процесс.
100000000 не цифра, а число.
Душнила =)
Тем более!
Debian 11 bullseye 4194304
Откуда это?
Число устарело лет 10 как
>С другой стороны systemd-coredump написан на языке Си и запускается достаточно быстро, что даёт меньше времени для подмены, в отличие от apport, который написан на Python и в процессе инициализации грузит различные pyc-файлы.Вот одного не пойму: почему кругом питон? Уже ведь не девяностые, когда можно было просто написать язык с нескучным синтаксисом и выстрелить.
Тебе правда интересно? Мощный прикладной язык с простым ffi, быстро писать, легко отлаживать. При этом, это строго типизированный язык, а не как баш или жс. Или си, да.
>При этом, это строго типизированный языкДа ладно?
>>При этом, это строго типизированный язык
>Да ладно?Внезапно.
Карл Маркс и Фридрих Энгельс - не муж и жена, а четыре разных человека, да.
Не только лишь все знают, что "строгая" и "статическая" типизация не одно и то же...
> Карл Маркс и Фридрих Энгельс - не муж и жена, а четыре
> разных человека, да.
> Не только лишь все знают, что "строгая" и "статическая" типизация не одно
> и то же...Я всегда думал, это базовая компьютерная грамотность, но, видимо, только для айти специальностей. Вон регистрант freehck какую-то чушь городит в соседней ветке тоже.
...a Слава КПСС - вообще не человек.Только в пистоне типизация динамическая, не статическая и не строгая.
> ...a Слава КПСС - вообще не человек.Ну, с первой частью вашего заявления никто не спорит
> Только в пистоне типизация динамическая, не статическая
И тут тоже обратного тезиса никто не выдвигал.
>и не строгая.
А тут нужна дефиниция. В общепринятой у python'а типизация вполне себе "strong"
> А тут нужна дефиниция. В общепринятой у python'а типизация вполне себе "strong"Как минимум отсутствие неявных преобразований типов. В то-же время пистон:
>>> x:int = 4
>>> y:float = 0.2
>>> x+y4.2
>>>
>c, c++ -- static strong typed / строгая сильная типизация
>почему c и c++ -- strong typed, давайте будет вашим домашиним заданиемstatic weak typed
int foo = 1.5;Но лучше говорить "типобезопасный".
python, js, c, c++, TypeScript - нет
haskell, idris, ocaml, elm, reasonml, ReScript, rust, ats - да
>Тебе правда интересно?Да. Самый ближайший аналог питона это руби. Почему руби не настолько популярен? Они как минимум должны иметь примерно одинаковую популярность.
>Мощный прикладной язык с простым ffiТаких языков тысяи, если не десятки тысяч. Даже всякая экзотика уже имеет "простой ffi".
>быстро писатьНо долго разгребать написанное.
>легко отлаживатьВыражение "скомпилировалось - значит работает" вы не слышали?
>При этом, это строго типизированный языкЭто всё ещё динамически типизированный язык, со всеми вытекающими.
>а не как баш или жсundefined is not a function на python чувствует себя просто отлично. NPE и куча других проблем - тоже. А если вам так уж жмёт, то просто берите typescript.
Руби, на мой взгляд, существует только благодаря тому, что у питона были проблемы с cjk и вообще юникодом до 3. Да и сам питон, откровенно говоря, был игрушечным (1,2) и не серьёзным, с этим можно конкурировать. Руби хотел конкурировать с perl5, но кому надо ещё один perl5? Явные проблемы и с производительностью и с качеством библиотек. В питон вложились корпорации и специалисты, благодаря чему многие компоненты приобрели вполне профессиональный уровень.Не знаю, что там у конкурентов (всё плохо, как я слышал), но единожды написанный код на питоне легко сопровождать десятилетиями, он не ломается и беспроблемно переносится на новые версии (причём, сложностей с переносом всё меньше и меньше). Баш, к примеру, при всей его замечательной пригодности для решения прикладных и системных задач, регулярно разваливается по многим бессчётным причинам.
К слову - вы зря баш используете, ССЗБ!
Ипользуйте shell script, это значительно расширяет охват платформ.
>К слову - вы зря баш используете, ССЗБ!
>Ипользуйте shell script, это значительно расширяет охват платформ.А какие платформы баш не поддерживает? Он зело удобен для прикладных скриптов, posix shell слишком уж кондовый в плане технологий. В любом случае, там же не один баш, привязка и к gnu coreutils и к gnu findutils, не представляю системы без них.
На том же alpien из коробки идёт ash. В bsd может быть тоже что-то другое.
Тут скорее вопрос "а какие поддерживает?" - и ответ не то, чтобы вам понравится ).
Маководы перепрыгнули на zsh, а тот bash что у них в коробке - "времен Очакова и покоренья Крыма", утилитки в коробочке - вот не гнутые, что с гарантией приведет к "нюансам"(ТМ) при попытке "Вот так вот взять - и запустить!" что-нибудь сложнее однострочника.
У оффтопика в кармашке вот нифига не ОН - и даже если затащить хоть gitbash, хоть целый вот WSL - работа с путями все тебе поломает.
И даже в быесдах - "все не так однозначно", ибо.
Из коробки и не поддерживает несколько разные вещи всё же. Я просто уже убедился, что у posix shell переносимость не лучше. Работает только там, где проверяли и позаботились о работоспособности. Насчёт венды, могу порекомендовать cygwin, ограничения баша в нём весьма специфические и не помешают в большинстве применений. Тот же msys2 вроде всё необходимое имел в репах.
Ну, если "поддерживает" - это в смысле "НУЖНО подшаманить - и заработает" - то тут да. По опыту - bash скрипты практически с гарантией ломаются при смене платформы, python - скорее ломается (win\lin) или скорее работает (lin\mac\bsd), powershell "скорее работает" во всех случаях.
Питон для венды и питон для линукса это 2 разных питона, отличий слишком много. Есть вариант с cygwin и эмуляцией линукса. Между линуксом и бсд у питона достаточно отличий в реализациях компонентов стандартной библиотеки, чтобы код не работал, а любая платформо-зависимая функциональность недоступна на другой платформе. Конечно, это сродни запускать питон на aix и hp-ux: пользователи этих платформ прекрасно осознают сложности, которые им придётся решать самостоятельно.
"Да, но нет" - даже работу с ФС, если делать ее не через os.path, а через pathlib - можно сделать переносимой. Скажем, практически все скрипты обвязки над СУБД (По монструозный pgcli включительно) у меня работают, всякие нагенеренные по спеке api-клиенты для сервисов - работают, TK'шная gui'ня и та пашет, инсталлер дергающий кубик за API - живой без правок.
Ломается, как правило то, что похорошему и работать-то не должно )).
Все любые исключения отвалятся, к примеру. Можно, конечно, писать код так, чтобы при возникновении любого исключения падать, но пользователям это не нравится. А обрабатывать их не представляется возможным, слишком уж генерализированы. Никакой привычной функциональности нет, а универсальная с большими оговорками. С башем лично у меня меньше всего проблем было, но у меня GNU/Windows, с тем же успехом можно python слинкованный с cygwin использовать.
>Питон для венды и питон для линукса это 2 разных питона, отличий слишком много.Чем они разные?
Как бы проще сказать.
Собрать то баш понятное дело можно под любую фигню куда и shell script упихан.Но есть OpenWRT, Android и всякое разное не х86 где из коробки никакого баша нет и близко, а чтобы его туда втащить это надо иногда ещё и сильно постаратся.
Есть busybox, toolbox - вот самое частое.
Насчёт кондовости - вы со своим баш синтаксисом как крестовики упарываетесь, эти все фичи в 99% случаев нафиг не нужны.
coreutils - опять же можно не упарыватся и использовать базовый набор команд и аргументов к ним и получить переносимость.
> Ипользуйте shell script, это значительно расширяет охват платформ.На любой мейнстримный Линукс можно поставить баш, если его по недоразумению забыли включить в базовую поставку. На других _двух_ платформах — МакОС, Винда — свои языки скриптования, и это не шелл в обоих случаях. Остаётся всякая локалхостная маргинальщина, на которую в принципе наплевать. Так о каких платформах _конкретно_ идёт речь?
Мир значительно разнообразнее чем вы себе думаете и меинстрёмные дистры линуха это не только то что вы себе на коредуо ставите, а ещё и андройд с опенврт и прочим эмбедом.Для меня именно андройд и опенврт меинстрёмные дистры - то чем я пользуюсь каждый день, а не эти ваши арчи с убунтами которые кое как на х86 работают.
Так это твои личные проблемы )))
>В питон вложились корпорации и специалисты, благодаря чему многие компоненты приобрели вполне профессиональный уровень.Но зачем? Берём тот же go, и он уже из коробки даёт производительсность, которая ни руби, ни питону даже и не снится. И кроме go существует огромная куча языков. Тот же ocaml и так далее.
>Не знаю, что там у конкурентов (всё плохо, как я слышал), но единожды написанный код на питоне легко сопровождать десятилетиями, он не ломается и беспроблемно переносится на новые версииМне код на ocaml при переходе с 4.12 на 5.1 нужно только пересобрать. Опять же, есть go и так далее.
>>В питон вложились корпорации
>Но зачем? Берём тот же goОни уже выложились, когда Го не существовало или был в зачаточном состоянии.
>он уже из коробки даёт производительсность, которая ни руби, ни питону даже и не снится
У меня в голове есть пример успеха от РХ. Переписали днф с питона на си. Производительность выросла! Но я этого, как пользователь, не заметил. Ибо оно как упиралось в ИО, так и упирается. Зато табличка при обновлении пакетов стала криповой, а плагины, вроде бы, надо писать на си и компилять. Во времена питона необходимый плагин был из коробки, но даже если бы его не было, я бы за неделю с горем пополам наковырял бы его себе сам. А в си я даже не полезу.
Это я к чему. К тому что, для каждой задачи есть свой инструмент. Го хорош, но на Питоне писать все равно приятнее, а в результате разницы может и не быть.
>Они уже выложились, когда Го не существовало или был в зачаточном состоянии.Выписал несколько дат:
python - 1991, ruby - 1995, caml special light - 1995, ocaml - 1996, mlton - 1999, pypy - 2002, go - 2009, ocaml 5 - 2022, python 3.13 jit - 2024
Итак, в caml обзавёлся компилятором в тот же год, что и вышел ruby. В следующем году появился ocaml, ещё через несколько лет появился оптимизирующий компилятор для StandardML - mlton. Потом, уже в новом тысячелетии появился pypy, потом вышел golang, потом поддержка многоядерности появилась в основной ветке окамла, и только потом в питоне появился jit. Таким образом, ocaml постоянно превосходит своего сверсника ruby по производительности, python вышел несколько раньше, чем ocaml. И не смотря на это в питоне всё ещё продолжают вливать деньги и время в оптимизацию.
>Производительность выросла! Но я этого, как пользователь, не заметил. Ибо оно как упиралось в ИО, так и упирается.Даже если в конкретном случае производительность упирается в io, то компилируемый язык всё равно будет бережнее расходовать оперативную память и заряд аккамулятора.
>но даже если бы его не было, я бы за неделю с горем пополам наковырял бы его себе сам. А в си я даже не полезу.Почему выбор всегда между си и питоном? На условном go или ocaml вполне себе можно легко писать код, не опасаясь попортить память.
>десятки тысячсмешно
>>десятки тысяч
>смешноНе забывайте про кучу разных самоделок, типа курсовых и так далее. Rosetta Code знает о 947 языках.
>> Тебе правда интересно?
> Да. Самый ближайший аналог питона это руби.Ты их в глаза вообще видел? Руби не то, что не аналог - это вообще кардинально другой язык, не имеющий с Питоном абсолютно ничего общего. У них даже философии по большинству пунктов кардинально противоположны.
И чем они отличаются? Два динамически типизированных тормоза. Оба обещают простоту при написания кода. Имеют примерно одинаковые ниши и так далее.
"Все счастливые семьи похожи друг на друга, каждая несчастливая семья несчастлива по-своему."
Python & Rudy из несчастливых семей
> Ты их в глаза вообще видел? Руби не то, что не аналог - это вообще кардинально другой язык, не имеющий с Питоном абсолютно ничего общего.Но в конце нулевых они воспринимались как конкуренты. Кто-то выбирал Руби, считая, что у Питона нет будущего.
Начал хорошо, а закончил с "берите тайпскрипт"вот уж где нечитаемое и неотлаживаемое месиво из скобок, так это там
Питон так же плох как и тайпскрипт/дажваскрипт. По хорошему, не должно быть ни того, ни другого.
> Самый ближайший аналог питона это руби. Почему руби не настолько популярен? Они как минимум должны иметь примерно одинаковую популярностьНе должны. Популярность языков складывается из многих составляющих. ruby слишком поздно начал, чтобы конкурировать с пайтоном. Лет на десять пораньше, может быть и вышло что-нибудь, если на 15 лет раньше, то весьма вероятно у нас сегодня везде ruby был бы, а не пайтон. Но в любом случае примерно одинаковой популярности у них не было бы. Они слишком похожи друг на друга, чтобы иметь примерно одинаковую популярность.
>ruby слишком поздно началpython - 1991, ruby - 1995. Как то слишком маленькая разница.
>Популярность языков складывается из многих составляющихНапример, из хайпа. Осталось понять процент хайпа от всего остального.
> python - 1991, ruby - 1995Я думал руби позже начал. Тогда я не знаю, что там помешало руби. Может просто неповезло. А может какие-нибудь мелочи и детали стандартной библиотеки, которые играли роль в тех задачах, для которых применялся пайтон.
Вот в том то и дело, что объективные причины, даже если они и были, сейчас совершенно не видны. И у меня закрадывается подозрение, что никаких объективных причин попросту не было.
>> питон
> строго типизированный языкstrong typed -- это сильно типизированный
строго типизированный -- это static typed> а не как баш или жс. Или си, да.
python -- dynamic strong typed / динамическая сильная типизация
bash, js -- dynamic weak typed / динамическая слабая типизация
c, c++ -- static strong typed / строгая сильная типизацияпочему c и c++ -- strong typed, давайте будет вашим домашиним заданием
подсказка: ответ кроется в том, что сильная типизация != полное отсутствие возможности неявного преобразования типов
Типизация бывает:
- статическая / динамическая
- сильная / слабая (строгая/не строгая)
- явная / не явнаяPython: строгая, динамическая, не явная
С++: строгая, статическая, явная> почему c и c++ -- strong typed, давайте будет вашим домашиним заданием
У С не строгая (сильная) типизация. А почему так – это будет уже _твоим_ домашним заданием.
> А почему так – это будет уже _твоим_ домашним заданием.каков наглец! =)
дорогой, кончай бугуритить и просто прокрути тред пониже
я за сильную типизацию C пояснил в #48
> дорогой, кончай бугурититьДа ни в одном глазу!
> просто прокрути тред пониже
> я за сильную типизацию C пояснил в #48Да, я уже потом прочитал.
Не согласен полностью, но спорить не буду, слишком много нарастало частных мнений, сложно сделать четкий водораздел.
А первоисточники лень поднимать.
> Не согласен полностьюНе соглашаться с тем, что проблема термина в отсутствии чёткого общепринятого определения -- можно лишь тогда, когда это самое чёткое общепринятое определение можешь дать.
> спорить не буду
И не надо. Какое бы ты ни дал определение -- всё равно найдутся те, кто с ним не согласится.
И велкам в ещё один тред со срачем на ровном месте. Я вот уже и сам пожалел, что начал это несколько сообщений тому назад.> А первоисточники лень поднимать.
Да будь даже не лень, ещё б они существовали... )
>c, c++ -- static strong typed / строгая сильная типизация
>почему c и c++ -- strong typed, давайте будет вашим домашиним заданиемstatic weak typed
int foo = 1.5;Но лучше говорить "типобезопасный".
python, js, c, c++, TypeScript - нет
haskell, idris, ocaml, elm, reasonml, ReScript, rust, ats - даЗЫ freehck, анонимам с вами дискутировать неудобно.
>>c, c++ -- static strong typed / строгая сильная типизация
>>почему c и c++ -- strong typed, давайте будет вашим домашиним заданием
> static weak typed
> int foo = 1.5;Это на самом деле проблема определения сильной типизации: оно несколько размытое. Чтобы язык был сильно типизированным, нужно чтобы "он ограничивал неявные преобразования и требовал явного приведения для несовместимых типов". Таким образом, получается, что вроде бы Python и C -- оба strong typed, но Python -- более strong, нежели C. (upd: но и тут встречаются споры и разногласия)
Хорошо бы было определить сильную типизацию более чётко. Например "если язык поддерживает неявное преобразование типов в любом виде -- значит weak, если не поддерживает -- значит strong".
В общем, если воспользоваться последним определением, то тогда да -- static weak typed.
> Но лучше говорить "типобезопасный"
typesafe -- это вообще отдельная тема
> анонимам с вами дискутировать неудобно.
Это намеренно. Мы с Максимом не сошлись во мнениях, как нужно модерировать. Он ратует за максимальную свободу комментаторов, и считает, что "модерировать надо не людей, а сообщения". Я же считал, что "модерировать надо не сообщения, а людей", и выступал за введение обязательной регистрации и имплементации возможности выдавать персональные баны. Потому что за последние 10 лет количество посетителей и комментариев выросло кардинально. Поэтому я больше не модерирую, мне жаль своего времени: пусть оно всё идёт, как идёт.
А ограничение в ответе анонимам -- просто небольшая мотивация регистрироваться.
не-не-не. У "сильной" (strong) типизации есть еще и подмножество "строгая" (strict) типизация. Первая допускает "безопасные" преобразования, вторая - нет.
> не-не-не. У "сильной" (strong) типизации есть еще и подмножество "строгая" (strict) типизация.
> Первая допускает "безопасные" преобразования, вторая - нет.А могу ли я поинтересоваться, в какой литературе Вам встретились подобные определения?
> Я же считал, что модерировать ... людей
> и выступал за введение обязательной регистрации
> имплементации возможности выдавать персональные баныНу вот и хорошо что сам от дел отошёл, иначе - опеннет загнулся бы много лет назад как целая куча разных ресурсов по проге. Зато "праааааавильныыыыеееее".
Ибо ключевая его особенность - это аккурат свободное комментирвание как и под кем хочешь за исключением зареганных ников( похоже, даже регистр учитывается )В остальном, чисто формальные знания уровня препода вуза по проге не сказать чтобы кому-то сильно большого добра делали чисто практически. Разве что, КТН защитить по совершенно мусорной теме без какого-либо практического толка и пользы для окружающих. ну и отчётом потом угли в мангале разжигать, к слову о наступающем лете.
Кстати, с некоторыми сайтами, с которыми имел дело( не по теме проги ) даже забавно получалось: они были на сервисах вроде юкоз'а и, если на них нет активности энное время - они летят в помойку.
Ну так вот, орды палёных рекламных ботов, постящих рекламу на форуме или просто спамные сообщения / сообщения ни о чём, спасали многие такие сайты более 5-7 лет, хотя реальной активности там не было вообще никакой - ни админов, ни моддеров, вообще никто не появлялся там много лет ибо все выросли и сильно переменили тематику интересов.Причём, со временем, дошло даже до абсурда - суточная активность на ресурсах от "зарегистрированных пользователей"( боты со спамом ) во много раз( более 10 порой ) превысила максимумы времён, когда на ресурсе было полно реального народа! Т.е по цифрам, ресурсы даже не помирали, а крайне активно росли )
С другой стороны, осн ценность тех сайтов была в статьях, до которых спам добраться не мог, а содержание статей было весьма полезно и интересно для тех, кто на них выходил через поисковики и ссылки
> Ну вот и хорошо что сам от дел отошёл, иначе - опеннет
> загнулся бы много лет назад как целая куча разных ресурсов по
> проге. Зато "праааааавильныыыыеееее".Опеннет не загнётся из-за отсутствия комментаторов. Опеннет загнётся только в случае отсутствия статей. Это прежде всего -- новостной ресурс.
А так, если смотреть на картину в целом, то стало много мусора, который никто не вычищает. Это значит, что отделение зёрен от плевел перекладывается на читателя. Это неуважение его времени. Из-за этого многие посетители, оставлявшие в комментариях развёрнутые и хорошо обоснованные ответы, которые по качеству могли бы потянуть на самостоятельные статьи -- более на ресурсе не появляются. Большое упущение.
Я модерировал, чтобы создавать условия общения именно что для подобного рода людей. Раз их больше нет, то какой смысл. Пусть новая аудитория радуется. Кот из дома -- мыши в пляс.
> Опеннет не загнётся из-за отсутствия комментаторов. Опеннет загнётся только в случае отсутствия
> статей. Это прежде всего -- новостной ресурс.Конечно-конечно. Опеннет останется сам в себе, сам для себя же, впрочем, и новости продолжит постить :)))
Разумеется, загнётся, как и полетят на помойку истории все его одмены и создатели, т.к через год их уже тупо никто не вспомнит. Эта судьба постигла уже многие ресурсы. Вообще-то, почти все по проге и электронике ибо "внезапно", но новости по теме, если их читают только сами пеЙсатели, едва ли кому то сильно интересны
Сам написал - сам и прочитал. Замечательно.> А так, если смотреть на картину в целом, то стало много мусора,
> который никто не вычищает. Это значит, что отделение зёрен от плевел
> перекладывается на читателя. Это неуважение его времени. Из-за этого
> многие посетители, оставлявшие в комментариях развёрнутые и хорошо
> обоснованные ответы, которые по качеству могли бы потянуть
> на самостоятельные статьи -- более на ресурсе не появляются. Большое упущение.Почти никому эти ответы на гору страниц даром не нужны. Тот же Н00бби-б00би.
Он будет как рыба по сковороде кататься, лишь бы не признать то, что он - конченый ***.
Будет даже в минимальных нюансах изворачиваться, лишь бы не признавать хотя бы минимальную, но неправоту( по итогу чего его многие послали, ибо распоследний *** )
Ну вот он накатывает горы мусорного текста - и что, кто-то его за это наказывает, за тонны мусорного текста и фактическое неуважение к читателям и оппонентам ?> Я модерировал, чтобы создавать условия общения именно что для подобного
> рода людей. Раз их больше нет, то какой смысл.
> Пусть новая аудитория радуется. Кот из дома -- мыши в пляс.Да-да, коты-мыши и бла-бла-бла. А по сути, если копнуть, то все эти "коты" - в лучшем случае, на уровне вчерашних же мышей. Только слишком много о себе думают... тупо потому что влезли на поезд конкретного ресурса на 5-10 лет раньше остальных. А, если сравнивать сейчас - то иные из них даже на уровень стажёра сойдут с большим трудом
Кто все эти "коты" ? Наверняка посоны, способные в одиночку запилить систему уровня 1С/САП или Юнити/АнреалЭнджин ?
Или - это просто типы, тоже какие-то там погроммисты, которые, в какой-то момент, вдруг забыли, что смысл обмена инфой - это постоянное обучение и не бывает в этом деле слишком умных или тупых - ведь все что-то знают или чего-то не знают, но продолжают чему-то учиться и что-то изучать, чем-то учиться у других участников ?
> Разумеется, загнётсяНет, конечно. Когда модерация была -- ресурс прекрасно жил и развивался. Просто по мере роста посещаемости -- она стала делом весьма накладным. Модераторы стали не справляться. Это послужило нехилым таким демотиватором, так что потихоньку все прекратили выполнять свои обязанности.
> Почти никому эти ответы на гору страниц даром не нужны.
Ну теперь-то да. Однако раньше были несколько иные индивиды, и многостраничные переписки с ними были по сути дебатами. Их было интересно читать, в них было интересно участвовать.
> Ну вот он накатывает горы мусорного текста - и что, кто-то его
> за это наказывает, за тонны мусорного текста и фактическое неуважение к
> читателям и оппонентам ?И именно поэтому те индивиды, длинные дебаты которых было интересно читать -- являются на опеннете редкими гостями.
Введение обязательной регистрации было призвано решить именно эту проблему: это бы дало возможность регуляции мусорного контента по его источнику (комментатору). А вычистка по содержимому -- это процесс трудоёмкий и неэффективный.
> смысл обмена инфой - это постоянное обучение и не бывает в этом деле слишком умных или тупых -
> ведь все что-то знают или чего-то не знают, но продолжают чему-то учиться и что-то изучать, чем-то учиться у других участников ?Истинно так. И ты таки использовал очень правильное слово -- обучение. Обучение -- это процесс, требующий согласия двух сторон.
И когда беседы в комментариях хронически принимают односторонний характер, то в комментариях пропадает всякий смысл.Именно в этом и есть смысл модерации подобных ресурсов.
> Кто все эти "коты" ?
А неважно уже. "Коты" разбежались.
>Таким образом, получается, что вроде бы Python и C -- оба strong typed, но Python -- более strong, нежели C.Так и есть.
>Хорошо бы было определить сильную типизацию более чётко. Например "если язык поддерживает неявное преобразование типов в любом виде -- значит weak, если не поддерживает -- значит strong".python: 1 + "2" исключение, 1 + 1.5 - 2.5
js: 1 + "2" = "12", 1 + 1.5 = 2.5
c: 1 + 1.5 = 2
Так что если следовать такой логике, то питон тоже слаботипизированный язык.
> 1 + 1.5 - 2.5
> Так что если следовать такой логике, то питон тоже слаботипизированный язык.Да, пожалуй. Значит, у нас тут всё-таки намечается некий спектр типизаций от слабых к сильным.
Боюсь, что у меня не достаточно времени и мотивации, чтобы его составить. Может быть Вы желаете?
Я думаю, мы расписали достаточно, чтобы прояснить вопрос.
> python: 1 + "2" исключениеСишочка: 1 + "2" пустая строка, 2 + "2" сегфолт.
Сильная типизация, лол.
> 2 + "2" сегфолт.Не, 2+"2" -- не сегфолт. Сегфолт возможно получить выражением *(2+"2"), и то не факт. Чтоб наверняка, надо сделать *(2+"2") = 42. Строки литералы сегодня как правило в r/o памяти хранятся, и скорее всего выйдя за пределы строки, не выйдешь за пределы r/o страницы.
> c: 1 + 1.5 = 2Это смотря какой переменной присвоить результат. Так-то тип выражения будет double равный 2.5.
> Но лучше говорить "типобезопасный".Вообще знаешь, наверное ты прав: лучше говорить именно что про typesafe. Ведь в конце концов именно этим термином оперировал Милнер в своих работах, а вот strong/weak typing -- это просто народное творчество, которое толкуется сильно по-разному. Спасибо за мысль, в общем.
Баш тоже строготипизированный. В нём просто всего лишь один тип - строка. (ну ещё массивы, но они по дефолту в строку первого элемента превращаются, видимо на всякий случай)
Там ещё declare -i и "арифметические выражения". По факту конечно типов нет, примерно как в tcl. А IFS, чтобы не расслаблялись.
> c, c++ -- static strong typed / строгая сильная типизацияВ С сильная типизация? Вот это новости!
Сравнивать разные enum? Сложить строковый литерал с enum? Отправить массив в аргумент-указатель? Очень строго!
> почему c и c++ -- strong typed, давайте будет вашим домашиним заданием
А давайте вы будете аргументировать, а не просто набрасывать?
> Мощный прикладной языкТакой мощный, что пока софтина запустится, хакирь успевает запустить over9000 процессов для подбора нужного PID'а.
Интерпретатор cpython (а это одна из реализаций) сам не долго стартует, только обработка стандартных импортов довольно медленная и дальше зависит от размера приложухи. Можно на порядок уменьшить время запуска, если захотеть. Но это не имеет отношения к возможностям языка.
>только обработка стандартных импортов довольно медленная и дальше зависит от размера приложухи. Можно на порядок уменьшить время запуска, если захотеть.Так питон не просто так тормозит. На нём принято писать код так, чтобы он тормозил.
Эээ... Казалось бы, при чем тут python? Ан-нееет - экспертный орган не обманешь!
Но вообще-то - powershell уже написан, можно пользоваться)
>Эээ... Казалось бы, при чем тут python?Питон как плесень - заражает всё, до чего дотянется. А потом, заражённое продолжает заражать всё по цепочке. Просто откройте случайный пакет и посмотрите.
Смотрим колонку Required By
https://archlinux.org/packages/extra/x86_64/ruby/ - 500
https://archlinux.org/packages/extra/x86_64/rust/ - 841
https://archlinux.org/packages/core/x86_64/glibc/ - 4419
https://archlinux.org/packages/core/x86_64/python/ - 3080Python востребован почти так же, как и glibc. Rust можно не устанавливать,там 499 пакетов имеют в имени cargo, подавляющее большинство требует rust только для сборки. Установить систему без python будет сложно. Расту до такой же степени заражения расти и расти.
Glibc как плесень - заражает всё, до чего дотянется. А потом, заражённое продолжает заражать всё по цепочке. Просто откройте случайный пакет и посмотрите.Заменил ключевое слово, а смысл не поменялся... Возникает вопрос, а доказывают ли что-либо твои слова, являются ли они аргументами....
>Заменил ключевое слово, а смысл не поменялся...Существуют дистрибутивы, в которых используется musl, вместо glibc. Свободный софт с musl как правило работает без проблем.
>Возникает вопрос, а доказывают ли что-либо твои слова, являются ли они аргументами....Пока на opennet боятся rust-а, их система давным давно захвачена python-ом. И никакого улучшения ситуации даже не просматривается.
И проблема в случае питона в том, что этот язык тормозной, требует кучу оперативки, а для работы с питоновскими библиотеками нужен целый зоопарк технологий, вроде pip, virtenv и так далее.
У меня штука которая разбирает кордампы вообще написана на shell script, подозреваю она тоже быстрее запускается.
Впрочем она их именно разбирает чтобы вытащить бэктрейсы, а сами файлы удаляет.Я к тому, что выпадение в корку обычно явление достаточно редкое и можно не парится за производительность этого всего.
А если чего то падает часто - то опять же производительное решение для разбора корок скорее усугубит ситуацию.
>"почему кругом питон?"Потому что:
Простой в освоении.
Много библиотек.
Много пользователей, откуда вытекает следующие: если на обычный открытый код, есть тысяча глаз, то на питон код это уже миллион глаз!
Почему тогда не js? Почему не ruby?
>Много библиотек.Это сейчас много библиотек. Под любой другой язык, выпущенный в 90-ых эти библиотеки тоже нужно было написать.
Но вот как-то и почему-то оказалось, что писать их на плюшевой игрушечной змеюке было проще, чем на вырвиглазном perl'е, php4, удивительном tcl и понь-цептуяльном lisp'е.
Такие вот дела.
Ещё раз, языков МНОГО. Тот же ruby, smalltalk, и так далее и так далее.
Угу. Но "почему-то" оказывается - что на некоторых люди пишут, а на некоторых нет.
Плохие люди, неправильные! Ой, что это я - не "люди", "языки" конечно :)
Действительно, ну прямо самой-собой разумеющееся. или нет ?
А то ведь может оказаться, что, в одной из немалых стран выделили нехилый грант, решили, что вот этот ЯП теперь должен быть у школьников и студентов, запустили пачку конкурсов в плане наработок по нему - и, о "чудо", "вдруг" через несколько лет получили энные наработки
Ну а популярность.. во многих странах техническая журналистика вымерла как вид и её "журналисты" - просто безголовые роботы, что не задумываясь, просто копируют инфу с ресурсов одной из стран запада. Обычно той, что за океаном.
Там популярно - значит, во всех странах, "журналисты" которых смотрят на неё - тоже "популярно и модно"
> Действительно, ну прямо самой-собой разумеющееся. или нет ?
> А то ведь может оказаться, что, в одной из немалых стран выделили
> нехилый грант, решили, что вот этот ЯП теперь должен быть у
> школьников и студентов, запустили пачку конкурсов в плане наработок по нему
> - и, о "чудо", "вдруг" через несколько лет получили энные наработкиДа-да, конечно. Некоторая фирма вваливает ярд в некоторый продукт - ой, его не хватает! Она вваливает еще один иии... тут-то у продукта карта и поперла! Потребительские качества продукта, разумеется, тут совсем-совсем не при чем!
Прилетают рептолоиды с нибиру или там "клятi капiталистi" из москау решают сделать человечеству хуже - и делают! Или нет?
А, да! Это ж было ДРУГОЕ!
>Да-да, конечно. Некоторая фирма вваливает ярд в некоторый продукт - ой, его не хватает! Она вваливает еще один иии... тут-то у продукта карта и поперла! Потребительские качества продукта, разумеется, тут совсем-совсем не при чем!А что, хотите сказать, что это не так, что потребительские качества кого-то волнуют? Во-первых, вы посмотрите на то, сколько усилий вбухано в попытку разогнать питон, а он как тормозил, так и тормозит, даже к ноде не приблизился. Казалось бы, хватит сливать на это время и деньги, но нет, зачем-то всё равно продолжают.
Во-вторых, есть такое понятие как мода. Вы когда-то пытались купить немодную вещь? Ну как, легко? Текущая популярность питона - исключительно следствие моды, когда людей обучают питону как самому популярному языку(где-то рядом грустит js). А потом, этот откровенно безграмотный человек, которому продали питон, а могли бы и js продать, идёт и рассказывает - питон лучший язык. Всё, круг замкнулся.
Да-да, вы совершенно правы! Занес товарищ Вирт чемодан гражданину Фурсенко - так вы на паскале и программируете - оно ведь как-то так устроено, да?
Всегда есть конкретный человек, который по каким-то своим причинам выбирает какой-то язык. А дальше большинство из них так и будут на этом языке писать, не задумываясь об альтернативах. И массово переубедить их сможет только ещё один человек с чемоданом.
> Ещё раз, языков МНОГО. Тот же ruby, smalltalk, и так далее и так далее.Ну, и? Сам-то ты так и не привел ни одного аргумента, почему должен быть Руби вместо Питона, а просто продолжаешь дешево набрасывать.
>Сам-то ты так и не привел ни одного аргумента, почему должен быть Руби вместо ПитонаЯ не считаю, что должен использоваться хоть руби, хоть питон. Поскольку это два тормозных динамически типизированных языка.
>было проще, чем на вырвиглазном perl'ес модулей которого многое и слямзили-попереписывали )
т.к. там уже чего только не было, в то время когда ещё почти нигде и ничего
>Вот одного не пойму: почему кругом питон?В школах стали изучать. А потом большинству стало лень переучиваться.
Ты причину со следствием путаешь
> почему кругом питон?Потому что 95% населения - сами знаешь кто. Питон преподают на двухнедельных курсах для безработных, контингент которых ничего другого освоить не в состоянии.
никогда не было и вот, ОПЯТЬ!(людям, пользующимся apport, по-моему нечего переживать уже за свои пароли... к тому же мы и так догадались что это 123456)
ну systemd-coredump таже фигня в данном случае
> ну systemd-coredump таже фигня в данном случаев любом случае он фигня, но находятся ж счастливые потребители...
Понятно.
Авторы фиговин с SU битом не читали документацию на mmap(), особенно раздел где описаны флаги, иначе бы знали как выделять память которая не попадает в своп и в коредампы.
> после чего отправляется SIGKILL и циклично запускаются новые процессы для достижения того же PID, что и у suid-процесса.А randompid портит всю малину ...
Или ускоряет. :)
Так целый круг ждать, а так -может и на половине повезти. :)
> Или ускоряет. :)
> Так целый круг ждать, а так -может и на половине повезти. :)Угу, если сделать соотвествующее количество попыток - то да, "статистика с..ка бессердечная!", но ...
В оригинале подробнее расписано:
> In our experiments, and depending on the test machines, it takes between
> 1 and 4 minutes to replace the crashed SUID process with another process
> (i.e., to recycle its pid) because /proc/sys/kernel/pid_max is 4M (2^22)
> nowadays, not 32K (note: we call clone() with most of the CLONE_* flags
> to create new processes, to minimize the work done by the kernel; it
> would take 3 to 6 times longer if we were simply calling fork())....
> Consequently, we cannot just "quickly" replace the crashed SUID process
> in step c/; instead:
> - in step b/ we do not immediately crash the SUID process ... but we first SIGSTOP it, then create ~4M processes until
> their pids wrap around and almost reach the pid of the SUID process,
> and finally we crash (SIGSEGV or SIGSYS) and resume (SIGCONT) the SUID
> process;...
> - in step c/ we SIGKILL the crashed SUID process, and quickly create a
> mere handful of namespaced processes until their pids reach and reuse
> the pid of the crashed-and-killed SUID process.
>Это для питоно-аппорта. Для системд:
> On the other hand, winning the kill-and-replace race condition against systemd-coredump is harder: unlike apport, systemd-coredump is written in C, and its initialization takes little time. To widen the window of the race condition, we pass an argv[0] of 128K '\177' characters to the SUID process: this slows down the analysis of its /proc/pid/cmdline (by systemd-coredump, before the analysis of its /proc/pid/auxv) and gives us enough time to replace the crashed SUID process with a non-SUID process.
>т.е. рандом-пид, по идее, должен захлопнуть "window of the race condition".
А если не повезёт, то несколько кругов. Но защита действительно ненадёжная.
Любой linux-hardening-спец знает, что коредампы надо вырубать к чертям собачьим.
systemd... Что и треболось доказать. А что вы ожидали, если автор - сотрудник Microsoft? Патрик молодец - не пустил в Slackware эту беду.
Патрик не коммитит в опенсорс, в отличие от. Назови хотя бы один вклад патрика в common domain, что бы пригодилось не только в его плюшевом дистре.
У Патрика другая специализация, он не программист, а дистростроитель.
Кому нужен велосипед Патрика, кроме самого Патрика? Вот тот же alpine вполне себе используют для сборки контейнеров.
Многим нужен, потому что это самый прозрачный и контролируемый дистр, без сюрпризов и подковёрных процессов.
>самый прозрачный и контролируемый дистрКак вы, например, DynamicUser = true; из systemd в слаке будете делать? И как вы будете переопределять любое значение из стартовых скриптов?
Значит мне это не нужно. Всё, что нужно, успешно реализуется скриптами и стандартными утилитами.
Чот знакомое чую я, да.
Все, что правоверному нужно - в КНИГЕ написано, а чего там нет - того правоверному знать и ни к чему.
Да нет, зачем так радикально, никакого принципиального отторжения нет. Если мне реально понадобится что-то из фич systemd и это по какой-то невероятной причине невозможно будет реализовать на баше или перле, проблем нет - набросаю бинарный хелпер на Си, всего делов!
Так вот почему Патрик - Бох!
> Так вот почему Патрик - Бох!Не знаю, как из тезиса "все сектанты - одинаковые" можно сделать такой вывод - но вы как-то справились )
Башевские портянки всё могут
(жаль что не всегда правильно)
> У Патрика другая специализация, он не программист, а дистростроитель.Тогда назови хотя бы два релиза его дистрибутивов за последние 5 лет.
Я вам больше скажу - там в коде ядра десятки тысяч строк от разных других сотрудников Майкрософт. А про slackware - дистр даже в топ 30 популярных систем не входит, о чём вы?
> десятки тысяч строк от разных других сотрудников МайкрософтТам они выступают в качестве рядовых разработчиков, а не архитекторов проекта.
> дистр даже в топ 30 популярных систем не входитДа, Slackware это не попса, это дистрибутив не для всех.
> дистрибутив не для всехЭто дистрибутив ни для кого, по существу. Гибкая настраиваемая система? Gentoo. Без системд? Void. Лютейшая воспроизводимость сборки и infra as code? NixOS. Десктоп без головняка? Fedora. Дефолт для новичков? Ubuntu. Для докера? Alpine. Погонять игры? SteamOS. На роутер? OpenWRT. Лютый энтерпрайз? RHEL/Центосефорк. Нет ни одной ниши, в которой патриков дистр был бы лучшим "дистром №1 для вот такого вот юз-кейса". Он тупо устарел, причем еще в 90-ых.
Ну, например, это самый предсказуемый и надёжный дистр. Я точно знаю, что мой копьютер завтра успешно загрузится и будет работать так же, как и вчера, а не умрёт после очередного автоматического обновления или в результате скрытой деятельности каких-то внутренних сервисов, или не всплывёт какой-нибудь сюрприз в виде падения производительности. Это такой Linux-автомат Калашникова - он сам не сломается, если его специально не сломать.
> не умрёт после очередного автоматического обновления1. Приведи дистр, где "очередное автоматическое обновление" обычно (!) "убивает компьютер".
2. В NixOS "неубиваемость" реализована куда лучше: если обновление ломает систему (that's a big if), в GRUB выбираешь предыдущую генерацию. И нет, это не то же, что снимок of a btrfs subvolume. Таким образом, твой аргумент снова не делает патрика решением №1 для юз-кейса "неубиваемость системы". А критерию "предсказуемый" не может удовлетворять дистр без воспроизводимости сборки всей системы: значит твой набор пакетов уникален только для тебя, и заново установить точно такой же набор на другой комп ты уже не сможешь => отсюда непредсказуемость патрика (и подавляющего большинства дистров btw).
> 1. Приведи дистр, где "очередное автоматическое обновление" обычно (!) "убивает компьютер"А зачем обычно? Раз в 10 лет убивает - уже плохо. Вот Slackware - это дистрибутив 100% готовности, который сам не сломается никогда.
> если обновление ломает систему [...] в GRUB выбираешь предыдущую генерациюУже звучит как-то ненадёжно, попахивает виндовым "откатом системы", тоже всё это может в один прекрасный день встать колом...
Надёжность и предсказуемость Слаки проверена не теорией, а многолетним опытом!
> Уже звучит как-то ненадёжно, попахивает виндовым "откатом системы", тоже всё это может в один прекрасный день встать колом...Там нет никакого отката, загружается предыдущая копия системы, которая лежит на том же самом диске прямо рядом с новой. В этом плане NixOS шикарный инструмент, опередивший время на десятилетия, но увы и ах, кроме военки и финтеха я его видел в живой природе только на локалхостах одиноких мальчиков с горящими глазами.
>видел в живой природе только на локалхостах одиноких мальчиков с горящими глазамиЧто ты делал у одиноких мальчиков с горящими глазами дома даже спрашивать не буду. Просто прими факт, что есть нишевый дистр "такой-то" и все. У нас два корп. сайта на ней (слаке, да) бегают, а также на маршрутизаторе уже эдак лет 16, может больше, не буду врать, не я все это туда вруливал. Обновляется, работает как часы. Не понимаю твоих мыльных пузырей из носа, малчык. Че сказать-то хочешь?
>[оверквотинг удален]
> 1. Приведи дистр, где "очередное автоматическое обновление" обычно (!) "убивает компьютер".
> 2. В NixOS "неубиваемость" реализована куда лучше: если обновление ломает систему (that's
> a big if), в GRUB выбираешь предыдущую генерацию. И нет, это
> не то же, что снимок of a btrfs subvolume. Таким образом,
> твой аргумент снова не делает патрика решением №1 для юз-кейса "неубиваемость
> системы". А критерию "предсказуемый" не может удовлетворять дистр без воспроизводимости
> сборки всей системы: значит твой набор пакетов уникален только для тебя,
> и заново установить точно такой же набор на другой комп ты
> уже не сможешь => отсюда непредсказуемость патрика (и подавляющего большинства дистров
> btw).там сeктaнт, вести диалог бесполезно
>> не умрёт после очередного автоматического обновления
> 1. Приведи дистр, где "очередное автоматическое обновление" обычно (!) "убивает компьютер".Ну вы же его знаете, ну? На "А" начинается, на "Ч" заканчивается? У них еще обряд инициации смешной - ночью, голому посреди у... а, не это другая секта - у этих надо натыкать-установку-по-хаутушке-почти-как-LFS-но-не-совсем... Угадали?
>Я точно знаю, что мой копьютер завтра успешно загрузится и будет работать так же, как и вчераИ как там в девяностых? Музыку на пластинках слушают или уже кассеты изобретены?
Музыку на пластинках и сейчас слушают, приличный вертак дороже макбука стоит. Да и любители кассет еще встречаются.
> Ну, например, это самый предсказуемый и надёжный дистрТы бы не мог в цифрах выразить эти два параметра и сравнить с таковыми для основных мейнстримных дистрибутивов?
> Это такой Linux-автомат Калашникова - он сам не сломается, если его специально не сломать.
Ну а про эту байку на ютубе полно видео, каждый может сам убедиться, насколько это сравнение не в пользу Linux.
> Нет ни одной ниши, в которой патриков дистр был бы лучшим "дистром №1
> для вот такого вот юз-кейса". Он тупо устарел, причем еще в 90-ых.А как же прдлики-ноулайферы, которые застряли в прошлом и любят все делать ручками?
При этом считая что именно этот дистр позволяет "погрузиться" в настоящий™ линукс, что чешит их ЧСВ и добавляет некое амбре Ылитарности. "Не то что ваши убунты" и прочее, как они любят писать в том числе и на этом форуме
Да, Slackware в том числе позволяет сохранить навыки ручной работы и понимания низкоуровневых принципов функционирования системы, и это не для ЧСВ или "ылитарности", а просто чтобы остаться на плаву, когда всю эту вашу автоматику с репозиториями, где всё за вас сделали "большие умные дяди", отключат нахрен.
> а просто чтобы остаться на плаву, когда всю эту вашу автоматику
> с репозиториями, где всё за вас сделали "большие умные дяди", отключат нахрен.Вот когда отключат, тогда и поговорим. Слаководы напоминают выживальщиков irl.
Те тоже годами готовятся непонятно к чему, тратят свое время, а потом все решается или эвакуацией, или одним прилетевшим снарядом.
Как говорил мой инструктор по стрельбе, чтобы выжить не надо рыть бункер и запасаться провизией. Достаточно купить бейсбольную биту и знать адреса пары выживальщиков в вашем городе.
Не судьба ему выжить, у выживальщиков есть ружъё.
Он ещё говорил, что выживальщики не выкупают иронии. Где, говоришь, проживаешь?
И что он потом будет с этими запасами делать? Костёр разжечь - вещь нетривиальная.
Дистр для человека... А не всякие бездушные для машин и роботов.
Дистр, эксплуатирующий человека для того, для чего давно придумали машины и роботов.
Ну systemd тут до кучи. Дампы - всегда уязвимая точка атаки. Их надо бы складывать в недоступное посторонним место.
Я бы сказал, что дампы тоже нужно шифровать. Хз, делает ли так кто нибудь.
> systemd... Что и треболось доказать.чем больше времени проходит, тем меньше критических комментов о systemd. все привыкли.
Вообще-то у mmap есть флаги, позволяющие запретить сохранение конкретной страницы памяти в дамп. Во всех POSIX-операционных системах. Да и на Винде тоже.
жесть !
в 1м случае у нас есть возможность передавать ядру аргументы(!!!), но нет рута, а во 2м - мы вдруг смогли орудовать неймспейсами. но опять без рута !
как удобно.
Навеяло про сегфолты в ВПН приложении топового сетевого бренда. В этих дампах Апорта всё было как в блохах.
Что дает извлечение хешей паролей откудо бы ни было ?
Хеши ведь и придуманы для того чтобы если украдут, то просто украли.
О чем сыр бор ?
Плохо написаный код - напиши лучше )
Ну, если там пароль 1144 символа (всех возможных категорий символов), то наверное да, не скоро его найдут. А чтото относительно короткое полным перебором, задача замечательно параллелится. практически до бесконечности. (понятно, что всё упирается в деньги на оплату тех мощностей по подбору)
О каком переборе ты говоришь ?
Ты рельно считаешь это возможной атакой на хешь ?
Атака Брут форс ? Естествено она реальна. Сначала словари, потом перебор
a
b
c
...
klhjjkh*(&(*YhjkhuiT^%$&$rfs
klhjjkh*(&(*YhjkhuiT^%$&$rft
...
итддолго, да, но при наличии ХХХ денег на несколько стоек с оборудованием это очень сильно ускоряется. А при наличии YYY денег на пару датацентов ускоряется еще больше.
> Что дает извлечение хешей паролей откудо бы ни было ?хеши паролей дает. Ваш К.О.
> Хеши ведь и придуманы для того чтобы если украдут, то просто украли.хэши придуманы чтобы у тебя было несколько часов после этого, чтобы сменить пароль до того как его подберут.
Неожиданное открытие, правда?
Пароли перестали сохранять в /etc/passwd еще в 94м году. Угадаешь, почему?
Ну 94... тогда массово хеши были солёные 3дес. парой лет позже уже были в ходу СД со всеми возможными комбинациями хеш-пароль. даже подбирать не надо, поиск совпадения по сортированному списку. благо там 8 букв пароль максимум и соль 2 символа., с sha512 такое пока не возможно, там и соль длиннее, а пароль так вообще не ограничен длинной. Но надеяться, что ушедший хеш не вскроют я бы не стал.. дело исключительно времени и денег. причём только для реально длинных (и уж тем более не словарных) паролей.мне както давно надо было перетащить почту из одной системы в другую, и так случилось, что хеши были не совместимы.. ну в общем за недельку кракером запущенном на одной машине пароли для 99% клиентов были вытащены из старых хешей. Остальным 1% предложили пароли сменить.
и Си тут не при чем:) а то счас бы растоманы набежали :)