В пакетном менеджере Cargo, применяемом для управления пакетами и сборки проектов на языке Rust, выявлены две уязвимости, которые могут быть эксплуатированы при загрузке специально оформленных пакетов из сторонних репозиториев (утверждается, что пользователей официального репозитория crates.io проблема не затронула). Первая уязвимость (CVE-2022-36113) позволяет перезаписать первые два байта в любом файле, насколько это позволяют текущие права доступа. Вторая уязвимость (CVE-2022-36114) может быть использована для исчерпания свободного места на диске...Подробнее: https://www.opennet.me/opennews/art.shtml?num=57787
> Вторая уязвимость (CVE-2022-36114) может быть использована для исчерпания свободного места на диске.Так это и обычный раст при сборке даже хеллоуворлда умеет делать и кэш писать, в чем тогда уязвимость? От растаманов слышал, что диски сейчас дешевые.
Тоже мне... Виндовс 10/11 состоит целиком из одной гигантской уязвимости, исчерпывающей свободное место на диске.
Так Windows больше и не позиционируется, как система для людей. В идеале юзер должен запустить комп и отвалить. А она там сама будет диском шуршать и делать свои дела.
Так работает любая техника. Если не использовать - работает идеально. А человек только энтропию вносит.
Видели иконку "Мой Компьютер" на рабочем столе виндовс? Так надо читать буквально, МОЙ т.е. принадлижащий Виндовс, а вовсе не ваш.
Там уже давно не мой а Этот компьютер
> Там уже давно не мой а Этот компьютерАя уже давно в Ляликсе, так что упустил.
как обычно "Эксперт" - не знает, а пишет.
> как обычно "Эксперт" - не знает, а пишет.Но сорян, ставить себе офтопик просто чтобы посмотреть какие там модные иконки и нескучные обойки завезли смысла не вижу.
по етому поводу уже все оттоптались,СЕМЬ лет назад %)
https://pikabu.ru/story/istoriya_o_tom_kak_u_tebya_otzhimali...
В чем проблема? Я налью тебе скажем типовой 100 метровый зип, который не будет вызвать у тебя вопросов, но потом ты охренеешь во сколько гигов это декомпрессуется. И от времени этого процесса тоже. Где-то в середине этого у тебя немного кончится место на диске, система и софт начнет сыпаться как карточный домик "потому что запись всех файлов обламывается" и в целом это будет нормальная DoS атака. Весьма эффективная. Ведь ты вместо работания работы теперь занят ковырянием в системе, пытаясь вообще одуплить откуда такая свинья вообще приехала и как это аннулировать. Это, очевидно, сильно якорит твои планы.
> Где-то в середине этого у тебя немного кончится место на диске, система и софт начнет сыпаться как карточный домик "потому что запись всех файлов обламывается"Только у ламера, не знающего про резерв у ext.
Чувак, ты этот самый ламер и есть. К тому же, весь запущенный софт типа браузеров при этом максимально вайпнется. Если дело будет происходить на разделе, где он хранит данные сессии. Опенсорс вообще хреново реагирует на кончившееся место.
Вайпнется только у хипстеров, которые сборку делают в своей же локальной системе, где у них и браузеры и всё остальное. В таком случае проблема со свободным местом одна из последних после возможностей угнать ключики и сделать прочие интересные вещи (причём незаметно).
Хипстеры вроде как раз в облаке одной кнопочкой собирают всё. Но я имел в виду архив, ты все скачиваемые файлы извлекаешь в облаке?
Несколько раз забивал раздел в 0 торрентом, забыв о размере. Ничего не падало, не ломалось. При этом, у меня единственный раздел, без отдельного home. Ext4 делает своё дело.
Ты везунчик. Резерв ext4 существует только для рута, любые пользовательские программы ударятся об 0 и дальше как повезёт. С точки зрения файловой системы это проблема только из-за запредельной фрагментации последних байт (та же нтфс со сжатием/шифрованием от закончившегося места может и помереть), а вот софт с таким работать не умеет.
> Ты везунчик. Резерв ext4 существует только для рута, любые пользовательские программы ударятся
> об 0 и дальше как повезёт. С точки зрения файловой системы
> это проблема только из-за запредельной фрагментации последних байт (та же нтфс
> со сжатием/шифрованием от закончившегося места может и помереть), а вот софт
> с таким работать не умеет.Ну он для того и предназначен для рута, чтобы рут мог перезагрузиться в однопользовательский режим и расчистить диск от завалов. Не будь этого ограничения считайте и лимита не спасал бы.
Это никак не поможет ничему. Те же торренты навернутся. Примерно все программы навернутся и потеряют часть или все данные.
>> Где-то в середине этого у тебя немного кончится место на диске, система и софт начнет сыпаться как карточный домик "потому что запись всех файлов обламывается"
> Только у ламера, не знающего про резерв у ext.А продвинутые раста-пользователи, вангую, вообще btrfs используют, вместо того чтобы использовать стабильные системы и фс стабильно обмазываются снапшотами размером с корень, а ещё резерв не используют, это для слабаков!
А продвинутые опеннет-эксперты, вангую, вообще ntfs используют
Дешевые? Вы там в параллельном мире да?
SSD 2Tb: 10000 р.
HDD 4Tb: 10000 р.
Дорого?
Ось це где такой коммунизьмЪ, чтоб по 10к приличные нвме на 2тб раздавали?
> Ось це где такой коммунизьмЪ, чтоб по 10к приличные нвме на 2тб
> раздавали?приличные сата есть
за нвме придется доплатить
Во имя великой справедливостиhttps://www.citilink.ru/catalog/ssd-nakopiteli/?pf=discount....
Лол, только вчера на DTF читал посты вроде 4ТБ винт всего 6 штук, дешево!
Не стыдный зеленый hdd стоит 12к. А синий топ за свои деньги - 6к.Речь о 4тб. Цены у отечественного перекупщика/retailer.
А про ssd даже как-то неловко упоминать.
>HDD 4Tb: 10000 р.Брал недавно гелевый дешман на 18 гигов за 26к.
Т.ч. иди отрабатывай методичку в другом месте, манагер акита.
> раст при сборке даже хеллоуворлда умеет делать и кэш писать, в чем тогда уязвимостьне знал, что сяшка сразу в астрал собирает, минуя жёсткий диск и оперативку
Ну слава б-гу, что не use-after-free. А то у нас бы было массовое отрицание ржавеньких и реактивные сверхманёвры.
И всё равно весь целиковый раст оказался небезопасным. Это как Титаник самый безопасный, но одна протечка и весь корабль утонул.
Ну так капитану сказали - непотопляемый. Он и вел себя так что ему море по колено, и черт с ним с айсбергом.
Капитан, наш Redox напоролся на утечку, пора уходить с этого проекта! Нет сделайте оркестр погромче!
Просто не надо обобщать "безопасность" раста на всё и сразу. Язык гарантирует безопасную работу с памятью в рамках своей модели с borrow-checker-ом, и всё. Это не "серебряная пуля"!
Если целые классы уязвимостей, от которых никакой язык не защитит, только голова 🙂. И да, в статье именно такие уязвимости. Раст позволить "безопасно" (т.е. без "проездов" по памяти) записать те 2 байта по символьной ссылке.
Если бы раст хоть что-то позволял, то тогда Фаерфокс давно бы уже работал на движке Servo. Но этого никогда не произойдет и проблема уже не в программистах, а в самом расте.
Проснись, ты об^w все проспал - серво давно в огнелисе
> сегодня Mozilla Firefox использует движок Quantum, в котором сочетаются наработки движков Gecko и Servo.?
Нет его там. Только движок для CSS Stylo и Webrender, которые через мутный бингдинг взаимодействуют с C++ движком Gecko. И всё это называется Quantum.
> Нет его там. Только движок для CSS Stylo и Webrender, которые через
> мутный бингдинг взаимодействуют с C++ движком Gecko. И всё это называется
> Quantum.Именно так. Планы по полному переходу на Серво были (и да, он по тестам был реаьно адски быстр), но потом у Мозиллы началось "надо больеш денег, милорд" и пришлось выбирать повышать зряплату CEO или тянуть разработку Раста вместе с Servo. Вывод был сделан совершенно логичный, что было готово в Серво интегрировали в ФФ (и то, даже эти полкмеры реально ускорили раузер, что говорит о многом), а Раст слили.
Печальная история.
Это проблема не Раста, а очень-очень эффективных менеджеров, которые разогнали основную цисгендерно-токсичную команду разработчиков и наняли одаренностей по квотам, чтобы пилить бесполезные сервисы для заработка. Браузером уже давно никто не занимается.
Менеджмент всё правильно сделал что разогнал. Но неправильно сделал что вообще втянулся в эту авантюру с новым языком ради нового языка.
Конечно правильно. Зачем нам настоящие разработчики браузера? Их урежем, а получившийся дополнительный доход к зарплате менеджера добавим, ибо он молодец, оптимизацию провел. А хомяки и так сожрут.
CVE-2021-31162 "In the standard library in Rust before 1.52.0, a double free can occur in the Vec::from_iter function if freeing the element panics" (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-31162).Да, исправили, но сам факт наличия double free в стандартной библиотеке языка, якобы гарантирующего безопасную работу с памятью, весьма забавен.
> сам факт наличия double free в стандартной библиотеке языка, якобы гарантирующего безопасную работу с памятью, весьма забавен.Они именно там и будут возникать, потому что именно там менеджмент памятью и реализован в unsafe-блоках.
Когда ты научишься читать и дойдешь до прочтения первой для растонуба книги - раст бук. То узнаешь, что даже там есть признание возможности утечки памяти.
Довольно забавно наблюдать за выбросами в комментах. Надо признать что в софте всегда будут баги, пока его пишет человек. Разного уровня критичности и масштаба. Полезно уметь автоматизировать поиск части этих багов и конечно полезно иметь общую базу всех ошибок чтобы можно было при нахождении править баг и защищаться от него в будущем, часть багов отсечь по построению. Вероятно местные тролли это не способны осознать
А ты этот свой коммент оставляешь только в новостях про уязвимости раста-и-экосистемы? Или в сишных тоже?
Уязвимость - есть уязвимость. Язык это всего лишь деталь реализации. Всем багам - бой.
Не в ущерб скорости и размеру сборки и возможности вносить изменения в компилятор (в копи расте только с разрешением). Да и слишком много там сложных концепций в которых никто не разбирается.
Я бы сказал что тут надо исходить из критичности и масштаба проблемы. Важные проблемы(техдолг сложности сюда же) должны решаться любой ценой
Ну всё ясно ты никогда не работал хоть над каким-то проектом. Закончишь школу сразу приходи в комменты.
Ну всё ясно, тебе нечего возразить и ты сразу переходишь на личности) Понятно, что техдолг дорого исправлять с учетом гонки за новыми(и не всегда полезными) фичами. Но чем дольше его копить(особенно десятилетиями) тем больнее он стреляет.
Ты уже три миллиона раз работу сменишь. Если ты работаешь на проекте 10 лет это с тобой что-то не так.
А что не так?
Так долго я в одном месте не работал, это была отсылка к какому-нибудь гцц, например. Ну и есть куча промышленного легаси, который тоже кто-то поддерживает. На каком-нибудь коболе для красочности.
> Надо признать что в софте всегда будут баги, пока его пишет человек.В первую очередь это нужно признать военам раста.
Агрессивный маркетинг раста незамутнённым мозгом воспринимается так, будто это серебряная пуля, панацея, и написание софта на расте автоматически ограждает разработчика якобы от любых ошибок. Но дело в том, что не от любых. Ни один язык, компилятор, линтер, рантайм и т.д. не сможет определить логическую ошибку. Однако растофаны этот факт почему-то игнорируют. И именно поэтому адекватные люди злорадствуют, когда находят баги в софте написанном на расте, и тыкают в них носом недалёких адептов раста.
P.S. Я тоже злорадствую.
И что, ты им просто рушишь всю картину мира. Зачем тогда нужен раст если он не спасает от всего?
К сожалению это не понимают только отбитые растохейтеры.
Растофанатики как раз прекрасно знают от каких классов ошибок защищает borrow checker. И логических ошибок в этом списке нет.> адекватные люди злорадствуют
А теперь немного взаимоисключающих параграфов.
> А теперь немного взаимоисключающих параграфов.Аа что, адекватным запрещенно злорадствовать? Вы полиция злости?
>написание софта на расте автоматически ограждает разработчика якобы от любых ошибок.Никто никогда такого не может заявлять в трезвом уме. На мой взгляд именно воены раста как раз это отлично понимают.
Раст явно декларирует какие он дает гарантии в safe-коде и 5 явных проверок, которые отключаются для unsafe. Всё. Все остальные логические ошибки, race condition возможны(от гонок данных при этом есть защита). Для всего остального как и в любом другом языке нужны тесты, туллинг и экосистема для обеспечения высокого качества кода. Сабж показывает как идет развитие последнего. Но при этом заявленные гарантии разительно сужают множество допустимых багов, отчасти из-за переноса возможного UB в ошибку компиляции. Цена за это на самом деле тоже достаточно высока - запрещается часть вероятно валидного кода. Да, при этом в компиляторе могут быть баги, как и в любой другой программе. Но тут так же строят надежную экосистему, туллинг и тесты. И при быстром цикле релизов(при том с обратной совместимостью по edition) это становится не критично.
>адекватные люди злорадствуютПока они злорадствуют - "растофанатики" пишут кучу нового кода, развивают язык, продвигают его в ядро.
Я понимаю позицию ваших этих адекватных людей - они страдали, учили сложные язык и набивали кучу шишок. И тут приходят какие-то выскочки и говорят что можно писать не стреляя в ноги, практически обесценивая их опыт. Но так устроена эволюция, новое приходит чтобы исправить ошибки старого, и самое разумное что тут можно сделать - только успеть адаптироваться.
>> Никто никогда такого не может заявлять в трезвом уме. На мой взгляд именно воены раста как раз это отлично понимают.Воены раста, как раз, это и заявляют... Вероятно, во избежание противоречий, стоит считать, что они это не в трезвом уме делают...
>> Пока они злорадствуют - "растофанатики" пишут кучу нового кода, развивают язык, продвигают его в ядро.
Ну вот и "полезло", чо... Давайте по пунктам:
- "растофанатики" пишут кучу нового кода - давайте откроем глаза и будем честны сами с собой, "растофанатики" на данный момент даже не "в десятке" по объему нового кода.
- развивают язык - молодцы... очевидно, остальные языки не развиваются? Чейнджлоги сравнивать будем?
- продвигают его в ядро - ну да, пихают... туго лезет, к слову, очень туго. Что это говорит о собственно языке? Ничего, например. Дохрена чего в ядро продвигают, раст - лишь "один из".
Короче аргументация уровня "и тут появляюсь я, весь в белом"...>> Я понимаю позицию ваших этих адекватных людей - они страдали, учили сложные язык и набивали кучу шишок.
А, раст у нас теперь самый простой язык, учить его не нужно, и от шишек он защищает сам, при помощи поней и единорогов? Блин, абзацем выше вы говорили строго противоположное...
>> И тут приходят какие-то выскочки и говорят что можно писать не стреляя в ноги
Вот именно, вы абсолютно корректно сформулировали: какие-то выскочки утверждают, что можно писать, не стреляя в ноги. Каждый адекватный человек с опытом знает, что "шоколадно" бесплатным не бывает. Ну, т.е., не стреляя в ноги писать невозможно - так уж устроен наш несовершенный мир (если вы придерживаетесь противоположного мнения - это в вас недостаток опыта говорит, очевидно).
Поэтому да, каждый, приходящий с очередной "волшебной пилюлей", воспринимается как выскочка и идеалистичный балабол без опыта реальной разработки.>> Но так устроена эволюция, новое приходит чтобы исправить ошибки старого, и самое разумное что тут можно сделать - только успеть адаптироваться.
А, ну да, "за нами будущее"... Если это единственная аргументация (а она единственная, к сожалению, на текущий момент) - ну, оно и не взлетит...
> "растофанатики" пишут кучу нового кодаПереписывать пинг, шоб он выводил прикольные графики != писать новый код.
Переписывание уже подразумевает наличие нового кода (потому что он отличается от старого). А если ещё и с графиками, то уже можно говорить не только о новом коде, а ещё и новой функциональности.
Новости о rust незамутненным знаниями и разумносью мозгом опеннетовских экспертов воспринимаются так будто это агрессивный маркетинг, будто опеннетовцев режут и отбирают их любимый ANSI C.
При том что сами эксперты не знают ни rust, ни си, а писать умеют только глупые комментарии
> Надо признать что в софте всегда будут баги, пока его пишет человек.Какой невежство! Человек, не человек... Теоремы Гёделя о неполноте: БАГИ БУДУТ ВСЕГДА. Всё.
Соглашусь, ваше утверждение более сильное. Но если мы можем доказать корректность кодогенератора - то какие там возможны баги? Понятно что еще есть конпеляторы, ос, кеши, процессоры и прочее окружение, но это и должно тестироваться интеграционно. Предлагаете не бороться с багами вовсе?
Я бы намного больше стал бы беспокоиться о том моменте когда софт начнет писать "не человек", а какой нибудь AI. Вот тут уже будут совсем иные проблемы.
к солажелению да, пакетные менеджеры они таки, - они сами по себе одна большая уязвимость:(
То ли дело скачивать исполняемые файлы непонятно откуда и добавлять в проект даже не в виде гит субмодуля исходники какой-то библиотеки...
Ну тут уязвимость из разряда засунуть rm -rf в configure.ac
> Ну тут уязвимость из разряда засунуть rm -rf в configure.acВсе же чуть чуть не так. Это как попытка посмотреть содержимое configure.ac вызывает rm -rf.
Значительно более критичная.
> Все же чуть чуть не так. Это как попытка посмотреть содержимое configure.ac вызывает rm -rf.Почему? Никто не мешает тебе слить ихсодники и почитать. Когды их стягивает cargo, он их стягивает, чтобы собрать.
> Почему? Никто не мешает тебе слить ихсодники и почитать. Когды их стягивает cargo, он их стягивает, чтобы собрать.Вот! Ты пытаешься собрать проект которому доверяешь. По зависимостям тянется нечто....
> Вот! Ты пытаешься собрать проект которому доверяешь. По зависимостям тянется нечто....Котором доверяет автор проекта, которому ты доверяешь. Короче там же самая петрушка, что в дистрибутивах.
> Котором доверяет автор проекта, которому ты доверяешь. Короче там же самая петрушка, что в дистрибутивах.Совсем никаким боком не та.
В дистрибутивах ничего автоматически не скачивается.
> Совсем никаким боком не та.Да та же.
> В дистрибутивах ничего автоматически не скачивается.
Там бампают версии и проверяют что код вообще работает (в лучшем случае). Аудитом никто особо не занимается.
Название пакетного менеджыра как бы намекает...
На что?
Культ карго до добра не доведёт. Даже растоманов.
Умение намекающего писать грамотно как бы намекает, что прислушиваться к намёкам подобного намекающего глупо.
> Суть первой уязвимости в том, что создатель пакета может разместить внутри символическую ссылку с именем .cargo-ok, что приведёт к записи текста "ok" в файл, на который указывает ссылка.Раст это когда создать файл проще, чем переменную.
А почему вообще создать файл должно быть сложнее?
Создание файла это побочный эффект ненужный в чистых функциях.
> Создание файла это побочный эффект ненужный в чистых функциях.Ввод и вывод вообще иногда лишнее.
Lisp?
У местных экспертов праздник, в пакетном менеджере можно сделать zip бомбу.
Несомненно это событие станет главным доказательством "небезопасности" rust, на ближайшие лет десять
Проблема в другом.В ненужности самого cargo.
Система сборки и пакетные менеджеры должны быть независимыми от языка и его компилятора и друг от друга.
Существует 100500 всего этого, но растоманы стали лепить свои велосипеды. И естественно совершают детские ошибки.
Это говорит об уровне разработки.
>Существует 100500 всего этого,и это проблема. касательно с++ например. большая фрагментация делает переиспользование абсолютно неюзаемым. и в итоге все стремятся делать one-header либу(привет минификаторам жс) добавляют к себе в проект и никогда ее не обновляют. в итоге куча софта без фиксов, в том числе secutiry. ну либо еще хуже - когда не юзают либы и пилят свои велосипеды.
да, не всегда добавление еще одного стандарта/формата/инструмента осмысленно, но время от времени это нужно и неизбежно.
> и это проблема. касательно с++ например. большая фрагментация делает переиспользование абсолютно неюзаемым. и в итоге все стремятся делать one-header либуПричина этого совсем не в системах сборки и пакетах. А в нестандартизованности хранения в библиотеках части касающейся частичной спецификации шаблонов.
А 100500 систем сборки приводят к тому, что нормальным считается разработка использующая то, что в системе установлено, какой бы системой оно не собиралось. И это эдинственно правильный путь.
Альтернатива подходит только для поектов однодневок. Когда или сам проект живет ограниченное количество веремени или каждая конкретная версия успевает устареть так быстро, что нет смысла тратить время на поддержку всего набора библиотек и версий.
>Существует 100500 всего этого, но растоманы стали лепить свои велосипеды. И естественно совершают детские ошибки.
>А 100500 систем сборки приводят к тому, что нормальным считается разработка использующая то, что в системе установлено, какой бы системой оно не собиралось. И это эдинственно правильный путь.Вы осознаете что сами предлагаете писать исключительно велосипеды. Видите противоречие?
А maven нужен? А Gradle? Тоже ведь системы сборки и пакетный менеджерНет так как про них нет новостей, то опеннетовцы эксперты не впадают в маразмы по их поводу.
Какая радость для хейтеров
Вот такие они, удобненькие язычки с удобненькими пакетными менеджерами.
На какой язык тогда переписать, чтобы было безопасно?
Выучить математику, выучить логику, выучить Си, проанализировать проблемы ядра, сделать полный рефакторинг на Си.
Не благодарите.
... состариться и помереть между "проанализировать проблемы ядра" и "сделать полный рефакторинг на Си"
Главное чтоб на математике выжили!
В остальном будь их хотя бы тушек этак 100к...
Состаришья и умрешь ты еще когда будешь разбирарать Си-шный код аля указатель на функцию, которая,принимает в качестве аргумента функцию и возвращает указатель на функцию.Нужно будет вызывать тех, кто рашифрововал розеттский камень.
Вот + 100500 за адекватность.
Карбон.
Очередной ждун что за тебя что-то сделают?Нафик нужен твой карбон если у плюсов современных и так нет этих проблем которые они там решить пытаются?
Ну трать время на очередное ненужно и жди когда взлетит. А потом шмугл это просто выбросит.
Имхо проще и быстрее и качественней освоить плюсы в таком случае. Тем более что сложного там ничего нет.
С++ для мазахистов же, которые любят писать классы и читать десятитомники про все неопределенные поведения языка.
>Тем более что сложного там ничего нет.Угу. Только спецификацию Плюсов не в состоянии освоить ни один человек в мире. А компиляторы поддерживают далеко не всегда полный набор фич, диктуемых стандартом.
Тебе кстати чуть выше намекнули про состариться. Ошиблись с причиной но да. Пока взлетит очередное ненужно вы ждуны уже состаритесь.Бросайте дурное и учите нормальные языки и математику. C и C++ решат все проблемы если элементарно знать последние стандарты. И не смешивать важно.
Прикольно. Оказывается ядро-пейсатели не знаю ни нормального языка, ни математики. Печалька какая.
Может ты пойдешь и научишь их?
Прикинь. Оказывается ядро-писатели знают. Они на C пишут. Прикинь какой облом?
Ну вот главный ядрописатель гоаорит, что C++ - это шляпа дырявая, с ты его тут рекламируешь. Согласен с ядрописателем или нет?
Угу, мы каждые неделю-две на опеньке видим результаты их знаний))) Пиши еще!
даже не смешно уже.
Думаю Redox не взлетела потому, что не было такой необходимости. Она была написана ради тестирования языка на предмет возможности и удобоваримости написания ОС на Rust. От части для демонстрации. После того, как задача была выполнена, про этот проект забыли. ТВ Redox, кстати, была глючная GUI OrbTk, наспех написанная для этого проекта, которую потом так и не исправили. Потому что не надо. И вообще долгое время не было нормалных гуи-библитотек для языка. Сейчас такие имеются.
> которую потом так и не исправили. Потому что не надоЯ тебе больше скажу. rust вообще не надо. Он пытается (при этом весьма посредственно судя по результату) исправить несуществующие проблемы.
Хватит ныть. НЕТУ в современном стандарте C++ тех проблем которые вы придумали. Откройте стандарт, ужаснитесь бездарно потраченному времени. Смеритесь с тем что вас просто надурили. А потом соберите силу в кулак и отправляетесь учить математику и нормальные языки.
Ну или просто тихо уходите. Смените профессию и живите дальше.
Да неужели?
А кто это наделал? Вот кто это наделал??
https://www.cvedetails.com/cve/CVE-2022-0809/
https://www.cvedetails.com/cve/CVE-2022-0808/
https://www.cvedetails.com/cve/CVE-2022-0800/
И это еще нет данных по уязвимостям за август, эти хитрожопы их скрывают.И шо, помог тебе твой с++, сынку?
Именно. неужелиhttps://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust - вот они
И это ещё до того как хоть что-то работающее на расте сделали. Такими темпами к первому релизу хоть чего-то стоящего ресурс с CVE просто взорвётся как эти zip-бомбы
>Он пытается (при этом весьма посредственно судя по результату) исправить несуществующие проблемы.Microsoft, Google, Amazon считают, что проблема существует, и она очень серьёзная, поскольку класс ошибок, порожденный ею, самый большой и часто приводит к существенным убыткам пользователей. А опеннетный эксперт считает, что проблемы не существует. Кому же верить?
>Откройте стандарт, ужаснитесь бездарно потраченному времени.Откройте стандарт C++, ужаснитесь бездарно потраченному времени на его изучение.
Поправил, можешь поблагодарить.
Вы только посмотрите, какой копиум.
> даже не смешно уже.А по моему ну оооочень смешно.
иронично.
Кто бы что не говорил, но Rust совершил революцию и уже успел повлиять на другие языки как в плане каких-то концептуальных идей, так и в даже в плане ситексиса. Почти все новые языки создаются под влиянием Rust - тот же V, Carbon, Hare и тд. Этого не отнять.
Ну паста же!:)
Приятного аппетита, итальянец
Только хардкор. Только Ъ.
Все эти ваши расты - это как смуззи, роллы и прочие киноа.
Си - это водка, черный хлеб, селедка. Весело в веселье, тяжело в похмелье (с).