Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов,
opennews (??), 16-Май-21, (0) [смотреть все]
- Редактор от MS Что могло пойти не так ,
Аноним (1), 08:17 , 16-Май-21, (1) –12 //
- Даже без редактора если запустить cargo build, эффект будет тот же ,
Аноним (3), 08:18 , 16-Май-21, (3) +30 //
- Это опеннет, нут лишь бы проприетарщиков в комментах обосрать, за другим сюда не,
Аноним (34), 11:43 , 16-Май-21, (34) +9 //
- как будто это не проприетарная поделка намеренный оверинжиниринг и NIH в традиц,
hindoohindoo (?), 12:03 , 16-Май-21, (36) +1
- Какое отношение к раст имеет Гугл ,
Минона (ok), 15:40 , 16-Май-21, (91) +5
- Менеджеры Гуглятины продвигают Раст для программирования ядра Linux ,
Аноним (-), 17:24 , 16-Май-21, (122) –4
- вот ещё да картина-то складывается интересная - из мозиллы выгоняют всех незави,
hindoohindoo (?), 10:37 , 17-Май-21, (220) +5
- вот не согласен Жить нам предстоит с забаненным Twitter, Reddit, Youtube И ч,
Аноним (-), 07:40 , 18-Май-21, (275) –3
- Может тогда linux-разрабы отстранят гугл от разработки ядра как университет Минн,
ммнюмнюмус (?), 15:52 , 18-Май-21, (292) +1
- такое же как к мозилле владеет ,
hindoohindoo (?), 10:26 , 17-Май-21, (217) –1
- VS Code вроде как open source проект,
Аноним (37), 12:04 , 16-Май-21, (37) –3
- Как будто это что-то плохое А кроме того, это же весело ,
Урри (ok), 15:14 , 16-Май-21, (87) +1
- не отвлекайся, лижи дальше ,
Аноним (102), 16:35 , 16-Май-21, (102) +2
- Очевидно ж, редактор от MS - это сразу с халтуркой ,
Аноним (73), 14:06 , 16-Май-21, (73) –1 //
- rust-analyzer это так называемый language server Он может использоваться в любы,
n00by (ok), 14:30 , 16-Май-21, (82) +6
- Помнится, даже в их блокноте была критическая уязвимость с выполнением кода,
phpoenx (?), 19:22 , 16-Май-21, (144) +1
- От MS там только название Электрон-поделка, как она есть Надо СРОЧНО переписат,
Аноним (194), 00:29 , 17-Май-21, (194) +2
- compile-time уязвимость, такого я еще не встречал,
Аноним (3), 08:17 , 16-Май-21, (2) +16 //
- Скрыто модератором,
Плохой Танцор (?), 08:30 , 16-Май-21, (4) +63 //
- Зато без утечек памяти Ваши данные утекают без ошибок С ,
Аноним (5), 08:32 , 16-Май-21, (5) +39 //
- Ты мейкфайлы тоже запускаешь без предварительной проверки того, что там выполняе,
виндотролль (ok), 10:34 , 16-Май-21, (26) //
- да,
анакомус (?), 11:24 , 16-Май-21, (31) +4 //
- cmake, qmake, ninja, meson, conan наконец-то можно кодить как будто это 2021 и,
виндотролль (ok), 05:08 , 17-Май-21, (196) +1
- Если у тебя программа из 1 файла то система сборки не нужна, можно просто запуст,
Аноним (202), 07:49 , 17-Май-21, (202) +2
- Это ещё что, некоторые делают eval во время выполнения, вот прикол ,
Аноньимъ (ok), 09:44 , 17-Май-21, (211)
- А мужики-то и не знали с https clang llvm org get_started htmlhttps gcc gn,
Аноним_в_противогазе (?), 15:42 , 17-Май-21, (238)
- А у меня нет редактора, запускающего мэйкфайлы при попытке их редактировать Чт,
нах.. (?), 16:14 , 17-Май-21, (243) +1
- Грабли_с_топором_ pngЧего еще ждать от моды на лютое переусложнение,
Аноним (6), 08:33 , 16-Май-21, (6) +9 //
- Интересно, из вышеотписавшихся хоть кто-то хоть раз открывал тот же configure ,
Аноним (49), 12:51 , 16-Май-21, (49) +8 //
- Не ламерьё, а недалёкие, ограниченные configure никогда никто не проверял Н,
Аноним (73), 14:09 , 16-Май-21, (75) +2 //
- Ну я открывал И что характерно -- никуда никто при этом не ломится, потому как,
Michael Shigorin (ok), 14:10 , 16-Май-21, (76) –4 //
- 0,
Аноним (-), 14:18 , 16-Май-21, (79) –3
- Открывал И более того - правил И даже - не свались со стула - чистил вилкой за ,
Dzen Python (ok), 15:58 , 16-Май-21, (95) +1 //
- Но никаких выводов о том, что там и черта лысого спрятать можно - не сделал ,
Аноним (-), 16:47 , 16-Май-21, (110) +2
- Да он там максимум опции компилятора поправил, потому что через automake, config,
Аноним (37), 17:02 , 16-Май-21, (116) –1
- При желании, да Но в принципе, это атака на невнимательность и на использование,
Dzen Python (ok), 19:36 , 16-Май-21, (157)
- Что у тебя подгорело и ты бросился оспаривать что-то, придуманное тобою же, я уж,
Аноним (-), 20:43 , 16-Май-21, (167) +1
- Давай я задам вопрос прямо - дорогой ты наш читатель жопой, где в Интересно,,
Аноним (-), 21:39 , 16-Май-21, (175)
- Мда ну что тут сказать цитаты великих, не иначе Можно каждое предложение ра,
Likern (?), 21:47 , 16-Май-21, (177) +2
- Так это и есть мода на переусложнение Как собственно и кресты И сишка туда-же М,
Аноньимъ (ok), 09:37 , 17-Май-21, (210) +1 //
- Интересно, какой придурок додумался встраивать пакетный менеджер в ЯП Он вообще,
Аноним (5), 08:33 , 16-Май-21, (7) +4 //
- Непосредственно в ЯП ничего не встроено, если хотите - используйте rustc вручную,
боня (?), 08:56 , 16-Май-21, (12) +6
- динозавр, ты ничего не понимаешь в современном программировании привык к своим ,
Аноним (13), 08:58 , 16-Май-21, (13) –2 //
- Если бы код, делающий то же самое, встроили не в макрос, а в тело функции - силь,
inferrna (ok), 09:34 , 16-Май-21, (20) –5 //
- зато не дырявая сишка бебебе,
hindoohindoo (?), 12:05 , 16-Май-21, (39) –1 //
- скрипты сборки сишки не менее дырявые ,
Аноним (100), 16:22 , 16-Май-21, (100) +1 //
- А при чём тут скрипты сборки Вы только скачали из какого-нибудь github исходник,
Совершенно другой аноним (?), 08:35 , 17-Май-21, (204) –1
- А сишкины макросы языковым сервером не раскрываются ,
Аноньимъ (ok), 09:50 , 17-Май-21, (213) –1
- Где У меня - нет, не раскрываются И в C, насколько я понимаю, никаких процедур,
Совершенно другой аноним (?), 11:13 , 17-Май-21, (223)
- Чтобы произвести компиляцию нужно развернуть макросы Чтобы обнаружить ошибки в к,
Аноньимъ (ok), 15:19 , 17-Май-21, (232) +1
- Макросы для C не разворачиваются компилятором C, соответственно не могут быть вы,
Совершенно другой аноним (?), 17:26 , 17-Май-21, (249) +2
- Молодец, ты, наверное, единственный на этой помойке кто действительно решил в чё,
Прорыв_запарты_фелиал (ok), 19:42 , 17-Май-21, (261)
- Ага, и этот код получается никак не ограничен в доступе к внешним ресурсам Фс и,
Аноньимъ (ok), 21:41 , 17-Май-21, (267)
- Ладно, когда исходный код используется злонамерено, но написаные на современных ,
Константавр (ok), 08:43 , 16-Май-21, (9) +18 //
- Дырявый, но очень безопасный Может исследователи не увидели unsafe рядом с макр,
Аноним (-), 08:56 , 16-Май-21, (11) –1
- Скрыто модератором,
Аноним_t (?), 08:59 , 16-Май-21, (14) –5 //
- Скрыто модератором,
Аноним (15), 09:04 , 16-Май-21, (15) +4
- Скрыто модератором,
Аноним (13), 09:08 , 16-Май-21, (16) +1
- Скрыто модератором,
Аноним (19), 09:31 , 16-Май-21, (19) +1
- Америку открыли Помнится, при открытии проектов с гитхаба визуалстудия выдаёт п,
Нанобот (ok), 09:18 , 16-Май-21, (17) +6 //
- Опеннетчики не смогли осилить умом, что атака возможна на любой язык и редактор,,
Аноним (18), 09:22 , 16-Май-21, (18) +19 //
- любой редактор кода, раскрывающий процедурные макросы любой ,
Fractal cucumber (ok), 10:53 , 16-Май-21, (28) +8 //
- Дело не в процедурных макросах Любой код, который запускает редактор из проекта,
Аноним (37), 12:29 , 16-Май-21, (46) –1 //
- И много редакторов, запускающих код из проекта, вы знаете Даже VSCode скорее все,
Онаним (?), 12:53 , 16-Май-21, (51) +3
- Чего, забыли как nodejs выполняет код при установке зависимостей То рекламу в к,
Аноним (138), 18:23 , 16-Май-21, (138)
- Но это ни чем принципиально не отличается от установки православных deb rpm па,
Аноним (37), 18:40 , 16-Май-21, (141)
- В случае deb rpm мейнтейнеры вполне известны А вот в случае проектиков, собранны,
Онаним (?), 20:32 , 16-Май-21, (166)
- а толку-то Как будто у тех 48 часов в сутках, знание всех ведомых и неведомых я,
нах.. (?), 18:42 , 17-Май-21, (255)
- И всё равно надёжнее сиволапого васяна просто по определению Ну и я подозреваю ч,
Онаним (?), 20:17 , 17-Май-21, (263)
- почему надёжнее - потому что да, у него завтра ещё овердохера пакетов, и рука у,
Онаним (?), 20:18 , 17-Май-21, (264)
- Васян сделает лучше потому что ему один раз надо это сделать качественно И он и,
Аноним (37), 00:39 , 18-Май-21, (272)
- nodejs - таки не редактор, но да, это вторая фееричная оверхайпленная хипстерска,
Онаним (?), 20:30 , 16-Май-21, (165) +1
- Idea при каждой сборке проекта на java выполняет код процессоров аннотации и сбо,
Аноним (202), 07:39 , 17-Май-21, (201) +2
- Месье, вы с утра упоролись грибами что ли Как при подсветки синтаксиса можно пе,
Аноним (58), 12:59 , 16-Май-21, (58) +2
- Легко Также как и для линтинга передают eslint js То что конкретно для этой фич,
Аноним (37), 13:08 , 16-Май-21, (62)
- Вы понимаете, что интепретация кода и его имплементация это разные понятия Чтобы,
Аноним (58), 14:06 , 16-Май-21, (74)
- Что Вы о чём Я вам привёл неполный список фич редактора, где это может всплыть ,
Аноним (37), 14:35 , 16-Май-21, (83)
- Исполняется естественно не сам файл любой в проекте , который открывается А от,
Аноним (37), 14:44 , 16-Май-21, (85)
- Вы будете смеяться, VSCode для этого использует JSON-RPC https microsoft gith,
n00by (ok), 14:45 , 16-Май-21, (86) +5
- я тебе открою секрет - редактор VSCode вообще ни-при-чем В VSCode-е за все отве,
Аноним (-), 08:02 , 18-Май-21, (279) //
- vi, make Ваш ход, болтун ,
Michael Shigorin (ok), 16:35 , 16-Май-21, (103) +1 //
- Ну как, сделай мне в vi вывод файлов где используется какая-то функция или класс,
Аноним (37), 17:04 , 16-Май-21, (117) –1 //
- Просто надо перейти на модно-молодёжные vim8 and neovim, для которого аж 6 реали,
n00by (ok), 10:16 , 17-Май-21, (216)
- Просто надо почитать вот это https microsoft github io language-server-protoco,
n00by (ok), 10:28 , 17-Май-21, (218)
- Сухун ,
Аноним (293), 19:04 , 18-Май-21, (293)
- дополню анонима выше - текст новости тоже отдаёт желтизной ssh id_rsa - эт,
x3who (?), 09:50 , 16-Май-21, (22) //
- Всего-то Фигня какая Уася может запустить у тебя на тачке скрипт от имени тебя ,
Аноним (24), 10:28 , 16-Май-21, (24) +5 //
- Ну, конкретно такие файлы имеют права вроде rw-------, и если рассчитывать на та,
Аноним (225), 12:44 , 17-Май-21, (225)
- Кошмар какой А ещё cargo build может использовать build-скрипты, которые суть и,
Ordu (ok), 10:23 , 16-Май-21, (23) //
- Сказано же Раст безопасен Наверное дело в MSCode Надо его на расте переписат,
Аноним (24), 10:33 , 16-Май-21, (25) //
- Да, и autotools тоже, вместе с make, meson, и прочими, чтобы избавить их от возм,
Ordu (ok), 10:57 , 16-Май-21, (29) +1 //
- С этими достаточно просмотреть мейкфайл, чтобы убедиться в безопасности сборки ,
Аноним (42), 12:19 , 16-Май-21, (42) –1
- Хоть раз смотрел риторический вопрос Теоретики-впопеннета-рука-лицо жпг там ,
Аноним (49), 12:57 , 16-Май-21, (56) +3
- Сюда уже захожу в комментарии чисто поржать Эксперты оппеннета поражают своей к,
Аноним (37), 13:12 , 16-Май-21, (63) –2
- скачиваем курлом скрипт инсталлятора и перенаправляем сразу в шелл, а вы тут про,
Sw00p aka Jerom (?), 13:45 , 16-Май-21, (69) –1
- Так я и говорю - проблема не в скриптах Проблема в Linux, в её древней модели б,
Аноним (37), 14:21 , 16-Май-21, (81) –1
- Не надо, там через жопу Особенно в 11 ,
Аноним (42), 16:09 , 16-Май-21, (98)
- Ох, каждый первый дурак должен вылезти всех учить, потому как не в курсе о синдр,
Michael Shigorin (ok), 16:40 , 16-Май-21, (106) –2
- дыркер все исправит песочница для системы сборки,
Sw00p aka Jerom (?), 00:10 , 17-Май-21, (193)
- Я там что-то ни одной хорошей идеи не видел, учитывая то, что второй раст от гуг,
Аноним (-), 12:54 , 17-Май-21, (227) +1
- Да, смотрю, а что В мелких проектах нет никакой кучи, а большие уже опакечены в,
Аноним (42), 16:07 , 16-Май-21, (96) –1
- Проблема и маленькая и большая одновременно и касается она ЛЮБОЙ прграммы, в к,
Сергей (??), 10:50 , 16-Май-21, (27) +1 //
- Не корректно сказато что это дыра в редакторе Корректно сказать что это дыра в ,
Msk2 (?), 11:30 , 16-Май-21, (32) +1 //
- Вы, может быть, подумали, что это какое-то Undefined Behavior Ничего подобного,,
Аноним (-), 12:06 , 16-Май-21, (40) +1
- Это не новость, в JS при открытии проекта автоматически подхватывается файл линт,
Аноним (37), 12:20 , 16-Май-21, (43) –2 //
- Естественно эта атака делается на любой редактор Включая vim ,
Аноним (37), 12:23 , 16-Май-21, (44) +1
- Ну так запрети через SELinux сеому говнолинтеру шариться по системе, делов-то ,
Аноним (42), 12:27 , 16-Май-21, (45) +1 //
- Показывает ущербность Линукса и подхода Огромная дыра в безопасности много лет ,
Аноним (37), 12:38 , 16-Май-21, (47) –1 //
- Ну да, в других-то ОС такого конечно же нет, чтобы программы имели доступ к файл,
Аноним (42), 12:41 , 16-Май-21, (48) +2
- Нет конечно В его любимой десяточке все программы плиточкой на экране выложены, ,
Онаним (?), 12:55 , 16-Май-21, (54)
- Мне не интересно что в других системах Мне интересно в Linux А то что где-то та,
Аноним (37), 12:58 , 16-Май-21, (57) –1
- Не сами по себе утекают, а юзер запускает помойный софт, суёт в него помойные фа,
Аноним (42), 13:19 , 16-Май-21, (64)
- Как ты определяешь помойный от непомойного ДО запуска приложения Поделис,
Аноним (37), 13:24 , 16-Май-21, (66) –2
- По репутации Когда речь идёт об npm, rust и связанных инструментах, очевидно чт,
Аноним (42), 13:46 , 16-Май-21, (70)
- При чём тут Rust и npm Это для разработчиков А глубже копнуть Пользователь зап,
Аноним (37), 14:06 , 16-Май-21, (72) –1
- В прошлом веке ещё в линукс были ограничения прав различных пользователей и возм,
Аноним (42), 15:46 , 16-Май-21, (92)
- Какие пользователи Пользователь всего один И у него много приложений, с разным,
Аноним (37), 16:50 , 16-Май-21, (112) –2
- Приложению по просмотру фоточек и их каталогированию я хочу дать доступ к папке ,
Аноним (37), 16:57 , 16-Май-21, (114) –1
- Apparmor selinux flatpack ,
Аноним (42), 17:11 , 16-Май-21, (119) +1
- Что ты мне названиями тыкаешь Ты покажи как это легко Конкретно, на примере Fl,
Аноним (37), 17:24 , 16-Май-21, (123) –1
- А мне оно не надо, я ж не параноик Шлакпак чужд идеологически, apparmor не нуже,
Аноним (42), 17:32 , 16-Май-21, (125)
- и когда понадобится выложить фотографию в веб или отправить почтой другому васян,
нах.. (?), 00:34 , 18-Май-21, (270) +1
- 0 слово приложение предлагаю резко забыть есть процессы,у процессов есть UID,
СеменСеменыч777 (?), 12:43 , 17-Май-21, (224)
- Это не так просто, потому что нужно проследить чтобы у ресурсов защищаемых пол,
Аноним (178), 21:49 , 16-Май-21, (178)
- Яндекс не помойка получается ,
Аноним (18), 14:40 , 16-Май-21, (84) +1
- Не то, что в богоспасаемой виндавс Тот не только в профиль пускает, но и дает н,
Dzen Python (ok), 12:51 , 16-Май-21, (50) +2 //
- правильнее сказать проблемы вообще нет Но 99 коментирующих этого не поняли ,
Аноним (-), 08:10 , 18-Май-21, (283)
- Хруст перенёс на этапы компиляции не только проверку на возможные уязвимости, но,
Онаним (?), 12:54 , 16-Май-21, (52) //
- Rust, vscode, безусловно запускающиеся макросы, фанатом которых является разрабо,
Псевдоним (??), 12:54 , 16-Май-21, (53) //
- Проблема в Rust, а пишется что могут быть проблемы и в других местах Это двойны,
Аноним (61), 13:06 , 16-Май-21, (60) //
- Скрыто модератором,
ржачников_накрыло (?), 13:26 , 16-Май-21, (68) –1 //
- глобально и надёжно,
mos87 (ok), 13:49 , 16-Май-21, (71)
- Ну що, сынку Помог табе твой раст ,
Аноним (-), 15:22 , 16-Май-21, (88) –2
- Ну що, сынку Помог табе твой раст ,
Тарас Б. (?), 15:22 , 16-Май-21, (89) –2
- А вообще да, вся новость сводится к стандартному Если пользователь запустит на ,
Dzen Python (ok), 15:52 , 16-Май-21, (93) +1
- Дикие полотна configure sh тоже работают до непосредственно сборки и прямо из ко,
Аноним (100), 16:22 , 16-Май-21, (99) +3 //
- Жесть, сейчас проверил, вскод даже в снап-версии ставится в классическом режиме,
Аноним (100), 16:26 , 16-Май-21, (101) //
- А говорили rust надежный язык Код еще не даже не скомпилировался, а уязвимости ,
Аноним (102), 16:48 , 16-Май-21, (111) –3 //
- зря микрософт на гитхабе запрещает использование паролей, принудительно навязыва,
Аноним (115), 17:01 , 16-Май-21, (115) +1 //
- Фрактал, ау Ты где ,
Аноним (-), 17:19 , 16-Май-21, (121)
- Rustовая дырень,
Аноним (128), 17:48 , 16-Май-21, (128) –3 //
- Вот зачем на этом ресурсе пропагандировать подобное Теперь малодалекие будут ци,
Аноним (137), 18:22 , 16-Май-21, (137) //
- да какая разница, мелкие проблемы, которые скоро пофиксят, не мешают расту продо,
Аноним (100), 18:26 , 16-Май-21, (139) –2 //
- Раст пора законодательно запретить Чтобы малодалекие не писали ерунда про какую,
Аноним (151), 19:26 , 16-Май-21, (150) –2 //
- Не бывает ничего безопасного, но на фоне C C это СУПЕР безопасный язык ,
Аноним (100), 19:38 , 16-Май-21, (159) +3 //
- все познается в сравнении,
Ааа (?), 19:42 , 16-Май-21, (161)
- Надеюсь, раст его заменит ,
Аноним (174), 21:35 , 16-Май-21, (174) +2
- нет такого языка C C Или Си или Си Одно из двух,
Аноним (-), 08:17 , 18-Май-21, (285) +1
- В расте дырень Вот это да он же безопасный язык, как так-то а ,
Аноним (151), 19:24 , 16-Май-21, (147) //
- Скоро во всех растоманских IDE Открытие этого rs файла может привести к краже з,
Аноним (42), 19:52 , 16-Май-21, (162) //
- Для JavaScript проектов уже так спрашивает про выполнение настроек линтера в пр,
Likern (?), 22:14 , 16-Май-21, (183) +1
- не умеешь ты писать ide, как мы поглядим ну кто ж так делает-то Работать как,
Современные разработчики (?), 19:40 , 17-Май-21, (260) +1
- В java проектах уже сейчас так Idea спрашивает открыть его в безопастном режиме,
Аноним (202), 23:05 , 17-Май-21, (269)
- Спасибо, Кэп Все и так знали, что растоманы - смузихлёбы, и что их пакетный мен,
Аноним (176), 21:42 , 16-Май-21, (176) +2 //
- Демонстрация атаки на редакторы кода я слеп или в статье ничего кроме VScode,
Аноним (203), 08:12 , 17-Май-21, (203) //
- Если говорить об эпичности новости, вопрос в том, насколько полно языковой серве,
n00by (ok), 11:09 , 17-Май-21, (222) //
- Растоманство ,
Аноним12345 (?), 12:54 , 17-Май-21, (226)
- Предлагаю уже царю запилить свой язычок и пиарить, главное, надо нанять BLM для ,
Аноним (-), 13:00 , 17-Май-21, (228)
- Это скорее не новость, а забавное замечание того, что можно делать с просто ред,
Аноним (225), 13:01 , 17-Май-21, (229)
//
- тут, кстати, нового прекрасного привалило https ubuntu com security notices US,
нах.. (?), 03:02 , 18-Май-21, (274) +1
- Юзеры г0вноподелия VSCode должны страдать Скажем дружное нахрен любым Жабо,
Gogi (??), 22:14 , 18-Май-21, (296)
- Всмысле демонстрация атаки Я посмотрел код, он же просто сделал вызов нужного,
Аноним (298), 20:47 , 26-Май-21, (297)
1,2,6,7,9,11,17,18,22,23,27,32,40,43,52,53,60,71,88,89,93,99,101,111,115,121,128,137,147,162,176,203,222,226,228,229,274,296,297
|
Вариант для распечатки
