The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в Git, позволяющие перезаписать файлы или выполнить свой код"  +/
Сообщение от opennews (??), 26-Апр-23, 11:18 
Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.40.1, 2.39.3, 2.38.5, 2.37.7, 2.36.6, 2.35.8,...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=59033

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –8 +/
Сообщение от Аноним (1), 26-Апр-23, 11:18 
ну что тут скажешь, уязвимости были, есть и будут, выбор ЯП от этого них спасает, такая уж архитектура современных пекарей и серверов
Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –2 +/
Сообщение от soarin (ok), 26-Апр-23, 11:21 
Да.
Главное не быть луддитом, и во время затыкать дырки 🍩
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (5), 26-Апр-23, 11:30 
Луддиты тоже могут затыкать дырки, если ты понимаешь о чём я.
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –1 +/
Сообщение от Аноним (82), 27-Апр-23, 02:10 
Одну дырку заткнут, две добавят.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

83. Скрыто модератором  –1 +/
Сообщение от поссы на меня (?), 27-Апр-23, 04:27 
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

93. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Антонимка (?), 27-Апр-23, 17:03 
> Главное не быть луддитом, и во время затыкать дырки 🍩

Главное ерунды не писать, как спешунчики. И тогда неолуддитам новое тоже начнёт нравиться.

Проблема в глупости, а не новизне.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +11 +/
Сообщение от Аноним (3), 26-Апр-23, 11:27 
Не совсем так. Это говорит об уровне разработки.

Одно дело уязвимости в каких-то сложных алгоритмах и структурах данных, многопоточности и т.п.


Другое дело не уметь обработать правильно чуть более длинную строку.

Это днищенское дно ((

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –3 +/
Сообщение от Аноним (5), 26-Апр-23, 11:29 
У тебя с детства заученное чувство вины и ты его на всех теперь проецируешь.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –3 +/
Сообщение от Аноним (15), 26-Апр-23, 12:27 
Поработать бы сишникам в областях, где от ПО зависят человеческие жизни - вот тогда бы они узнали, что такое чувство вины.

А так чел правильно написал. Одни сишечные г*кодеры десятилетиями продолжают писать сишечный г*код. Другие сишечные г*кодеры рассказывают, что это норма и иначе нельзя.

Слава богу, что всех этих экспертов отфильтровал естественный отбор, и они еще в нулевых осели на выгребании вонючего embeddedда за гроши. Там им и место.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +12 +/
Сообщение от Аноним (16), 26-Апр-23, 12:39 
Embedded это есть сфера от которой часто зависят человеческие жизни ты в интеллект вообще умеешь?
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –1 +/
Сообщение от Аноним (15), 26-Апр-23, 13:28 
Только вот не весь embedded написан на си. Если бы ты вылез из сишечного танка, то знал, что embedded, от которого зависят человеческие  жизни (тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС), еще с восьмидесятых не пишут на сях.

Я уже представляю, как после условного падения самолета с N человеческих жертв сишечный кодер разводит руками: "ну что тут скажешь, уязвимости были, есть и будут...". Самому-то не смешно? Слава богу, таких горе-экспертов к серьезному программированию не допускают.

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (49), 26-Апр-23, 16:01 
> embedded, от которого зависят человеческие  жизни [...] еще с восьмидесятых не пишут на сях

Интересуюсь с целью саморазвития: а на чём пишут такое embedded?

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Анонн (?), 26-Апр-23, 16:26 
SPARK Ada, Misra C (там такое количество ограничений, что с Си оно связано только синтаксисом)
Из более экзотичкского - Modula-2 - всегда хвастаются что на ней написан софт спутников ГЛОНАСС.
Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (79), 27-Апр-23, 00:09 
Спасибо, почитаю на досуге!
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (-), 27-Апр-23, 00:51 
> Спасибо, почитаю на досуге

Лучше Embedded C Coding Standard by M. Barr почитать и тому подобное по смыслу. Это более реалистичное нечто. Мисру кстати сложно прочитать нахаляву легально, заживают ее, увы.

И читать это надо не как истину в последней инстанции а для понимания общих принципов "antibug" и "понятного кода, который подлежит майнтенансу". Если вы не клали в поле грабли, вы не получите ими в лоб.

А на аде пишут очень сильно некоторое только и по популярности она ни в какое сравнение с си. Даже прсото найти вакансию на этом уже целый квест.

Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Michael Shigorinemail (ok), 26-Апр-23, 17:46 
И что, сильно легче стало паре ошпареных на станции из-за того, что одни гении решили порулить вторым контуром на j2me, а ей приспичило хлам пособирать?

Сдуйте щёки.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

86. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (86), 27-Апр-23, 09:41 
На PHP!

Очевидно, речь идёт о Ada/SPARK и т.п.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от OpenEcho (?), 26-Апр-23, 17:50 
> тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС), еще с восьмидесятых не пишут на сях.

Как же NASA отстала от передовых анонимов блин, жалко за организацию

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

75. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (75), 26-Апр-23, 23:34 
> жизни (тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС),
> еще с восьмидесятых не пишут на сях.

Вообще-то в практически всех перечисленых немеряно сишного кода. А фирмвари микроконтроллерам (которые часто last line of defence) на чем кроме сей вообще писать, по большому то счету?

> Я уже представляю, как после условного падения самолета с N человеческих жертв
> сишечный кодер разводит руками: "ну что тут скажешь, уязвимости были,

А представляете, самолеты еще и падают. И даже из-за софта. А ариан5 упал даже и с адой. Правда и там и там как раз обычно из-за алгоритмики. Для начала в внутреннюю сеть самолета совсем посторонних по задумке не очень то и пускают. Правда, с этим тоже были нюансы. Поэтому sci-fi где злой вирус перехватывает управление звездолетом постепенно перестает быть лишь sci-fi и понемногу становится буднями продвинутых инженерных систем.

Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

96. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от n00by (ok), 27-Апр-23, 17:12 
>> жизни (тот самый high-integrity software - авиация, комонавтика, ЖД, АЭС),
>> еще с восьмидесятых не пишут на сях.
> Вообще-то в практически всех перечисленых немеряно сишного кода. А фирмвари микроконтроллерам
> (которые часто last line of defence) на чем кроме сей вообще
> писать, по большому то счету?

"Yeah, I thought some time back that it would be a week till I got back to my dev system. But the 737MAX thing has turned into a really big problem. I should refrain from predicting an end time. As it looks now it might be never. Sigh."

Это пишет автор fasmarm https://board.flatassembler.net/topic.php?p=211090#211090
Интересно, зачем ему было надо адаптировать flat assembler под ARM?

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Аноним (18), 26-Апр-23, 12:43 
> Поработать бы сишникам в областях, где от ПО зависят человеческие жизни

очередной лунтик свалился, хехе

https://www.misra.org.uk/

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

48. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Анонимусс (?), 26-Апр-23, 15:49 
Мисра конечно крута, по ней код для всяких марсоходов пишут за охулиарды денег
Но... как это применимо к пользовательскому софту?
В ядре мисрой даже не пахнет - такое ***кодище невозможно на нее переписать, как и заставить тех же драйверописателей ее использовать. А про всякие поделки типа гита вообще говорить нечего.
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от name (??), 26-Апр-23, 16:26 
Для начала, MISRA запрещает аллокацию на куче... всё - нигодится нидлячего, кроме ембеда в лифтах или автомобилях.
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (18), 26-Апр-23, 18:14 
> В ядре мисрой даже не пахнет

но современные ракеты на обычном линуксе и С летают

https://www.opennet.me/opennews/art.shtml?num=53083

шах и мат военам супротив сишки

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

76. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (-), 26-Апр-23, 23:42 
> Мисра конечно крута, по ней код для всяких марсоходов пишут за охулиарды денег

Для начала по ней пишут код для автомобилистов. Который очень даже может убить своих пользователей внезапным глюком. А как вы думаете что с вами будет если ECU, ABS или что там еще начнет жить своей жизнью? Да даже просто отстрел подушек безопасности невовремя (это тоже микроконтроллер, мониторящий ускорение и его выход за безопасные пределы делает, с фирмварой на понятно чем) может вас угробить на раз.

> Но... как это применимо к пользовательскому софту?

Пользовательский софт это вообще глюкавый наколенный крап зачастую. Вон вам питоны электроны где кодеры даже не скрывают что они "время себе экономили". За счет всех остальных параметров софта, от жора ресурсов до забагованости.

> В ядре мисрой даже не пахнет - такое ***кодище невозможно на нее
> переписать, как и заставить тех же драйверописателей ее использовать.

А линух тем не менее применяют и в довольно ответственных штуках. Если кто не понял, MISRA сама по себе не панацея. А автомотивщики, авиаторы, космос и индустриалы достигают надежность и безотказность целым комплексом мероприятий. Где замена 1 яп на другой мало что меняет.

> А про всякие поделки типа гита вообще говорить нечего.

Гит критичными системами не рулит. А если что-то ну вот совсем сломается, бэкапы есть. Особенно у гита где бэкапом является каждая клонированая репа.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

99. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (3), 27-Апр-23, 22:28 
Это до тех пор пока новая версия git не попортит КАЖДУЮ локальную репу))) Это лишь вопрос времени, если такая бага просочится

Вон, на React Native новый релиз случайно поломал сборки всех прошлых версий приложений, те вообще всех приложений в мире

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (106), 29-Апр-23, 12:30 
https://repository.tudelft.nl/islandora/object/uuid:646de5ba...

"From the data obtained, we can make the following key observations. First, there are 9 out of 72 rules for which violations were observed that perform significantly better (α = 0.05) than a random predictor at locating fault-related lines. The true positive rates for these rules range from 24-100%. Second, we observed a negative correlation between MISRA rule violations and observed faults. In addition, 29 out of 72 rules had a zero true positive rate. Taken together with Adams' observation that all modifications have a non-zero probability of introducing a fault, this makes it possible that adherence to the MISRA standard as a whole would have made the software less reliable."

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

19. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Проффесорemail (?), 26-Апр-23, 12:43 
Может сможешь привести пример ЯП или области где все шоколадно? Или только дерьмом поливать умеешь?
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

22. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Местный эксперт (?), 26-Апр-23, 12:52 
> Поработать бы сишникам в областях, где от ПО зависят человеческие жизни -
> вот тогда бы они узнали, что такое чувство вины.
> А так чел правильно написал. Одни сишечные г*кодеры десятилетиями продолжают писать сишечный
> г*код. Другие сишечные г*кодеры рассказывают, что это норма и иначе нельзя.

Да, то ли дело г@вн@код на других ЯПах, они ещё и выдают жирное потребление ресурсов, зато стильно, модно, молодёжно и со вкусом смузи, как вы это любите. xD

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

100. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (3), 27-Апр-23, 22:32 
Там хотя бы библиотеки есть и структуры данных)))

Здесь как бомжара шаришься чтобы по всему интернету чтобы собрать всякие ring buffer, queue, linked list, red black tree, etc.

Вообще ничего нормального нет 🤣
Либо писать своё наколеночное г.но. Но зная уровень Сишников уровень этих поделок предсказуем.

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (104), 28-Апр-23, 10:21 
> Здесь как бомжара шаришься чтобы по всему интернету чтобы собрать всякие ring buffer, queue, linked list, red black tree, etc.

это проблема не языка а тупых поисковиков

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Антонимка (?), 27-Апр-23, 17:05 
> У тебя с детства заученное чувство вины и ты его на всех теперь проецируешь.

Посмотри код SVN и Git. Сравни. Это объясняет критицизм Гита.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

50. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Анонин (?), 26-Апр-23, 16:03 
Просто сишка - это пыхыпэ для системного программирования.
Порог вхождения околонулевой, кодить на си можно научить даже обезьяну, а на баги, cve и всякие ub всем пофиг. Надо же быстрее фигак-фигак и релизить.
Вот сишка и вытеснила нормальные надежные языки типа Ада из масс-маркета, потому что сишные быдлокоделы оказались дешевле нормальных программистов, а остальным языкам достались только узкие ниши.

Потом уже, после кучи факапов, сишники начали задумываться как сделать это Г надежным.
И первая мисра вышла аж в 1998 для с89/90, это ж через столько лет после самой сишки.
И в большей часте свелось к запретам всяких динамических штук, потому что и так было понятно, что заставить ЭТО быть надежным никто не может, а отвечать за факапы не хотелось... в общем проще было запретить))

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

51. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –1 +/
Сообщение от Аноним (15), 26-Апр-23, 16:22 
Все так и есть... Забавно при этом читать, как эти сишные макаки авторитетно заявляют "уязвимости были, есть и будут, выбор ЯП от этого них спасает". Сразу чувствуется уровень экспертизы и компетенции :)
Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +3 +/
Сообщение от name (??), 26-Апр-23, 16:29 
Мне интересно, как ты комментируешь новости об уязвимостях на rust. Покраснев обходишь стороной?
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Аноним (60), 26-Апр-23, 17:03 
> Вот сишка и вытеснила нормальные надежные языки типа Ада из масс-маркета

наркоман? Вытеснила оттуда, где Ады никогда не было? Ада появилась через 10 лет после С.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

62. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Анонин (?), 26-Апр-23, 17:18 
Первый стадарт на язык:
Ada 87 - ISO 8652:1987 - 1987 год (хотя по факту еще раньше - ANSI/MIL-STD 1815A или "Ada 83" из 1983 без изменений перекочевал в ISO)
ANSI C - 1989 год
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Аноним (71), 26-Апр-23, 18:41 
Одно дело стандарт, другое, когда сделали. С был сделан в 1969 году, годом релиза 1973 считается.
Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (60), 27-Апр-23, 09:42 
И как же страуструп свой С++ писал поверх Сишки за два года до того, как эта сишка появилась. Да, еще UNIX написали на языке созданном в будущем, и sendmail. Сарказм, если что.
Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

73. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Анонимусс (?), 26-Апр-23, 19:45 
Ада изначально разрабатывалась вояками для написания критических систем, систем реального времени и всякого embedded.
Сишка создавалась как "переносной ассемблер" для  ̶б̶ы̶д̶л̶о̶к̶о̶д̶и̶н̶г̶а̶ быстрого переноса программок с одной архитектуры на другую во времена PDP-11. А за счет своей  ̶у̶б̶о̶г̶о̶с̶т̶и̶ простоты компилятор для него мог написать практически любой погромист, чем многие и развлекались в 70х-80х.
Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

95. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Антонимка (?), 27-Апр-23, 17:08 
> Просто сишка - это пыхыпэ для системного программирования.

Кодить можно на чём угодно научить кого угодно.

А вот понимать чужой код... ;)))))))))))))

Си - это то, как работает процессор. А потому и сейчас хорошо и ещё долго будет хорошо.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

98. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (98), 27-Апр-23, 22:09 
> Си - это то, как работает процессор.

Угу, процессор где-то из 70х, примерно оттуда же родом что этот копролит.
Где нет многоуровневых кешей, многоядерности, спекулятивного выполнения, где ради пары тактов готовы удавиться и выкинуть любые проверки, и заодно получить пару cveшек.

> А потому и сейчас хорошо и ещё долго будет хорошо.

И сейчас баговоный кусок, и таким и останется до скончания времен. Ибо обратная совместимость.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (104), 28-Апр-23, 09:57 
> заодно получить пару cveшек

это ерунда, через год ИИ всё будет находить а вот что делает наркоманский раст проверить невозможно

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –2 +/
Сообщение от НяшМяш (ok), 26-Апр-23, 11:52 
И кто-то внял голосу разума: https://github.com/Byron/gitoxide
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

27. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (27), 26-Апр-23, 13:36 
Уязвимость - не в доступе в неразрешенное место памяти. А в обработке симлинков. Ваш раст бы от этого не защитил.
Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (15), 26-Апр-23, 16:28 
Но наш Раст защитил бы от CVE-2023-29007 и CVE-2023-25815 из новости, о которых ты решил тактично не упоминать.
Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (15), 26-Апр-23, 12:19 
> ну что тут скажешь, уязвимости были, есть и будут, выбор ЯП от этого них спасает, такая уж архитектура современных пекарей и серверов

Суть CVE-2023-29007 в том, что необучаемые сишечные кудесники по привычке опять влепили "char buf[1024]" вместо использования нормального строкового типа.

Так что конкретно от такого выбор ЯП как раз спасает. И коллеги спасают, не пропуская такую дрянь на ревью. Но ведь здесь сишники г*кодят на сишечке, поэтому такая дичь для них - это в порядке вещей и "было, есть и будет". По другому мы не умеем...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

24. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (60), 26-Апр-23, 13:10 
> Суть CVE-2023-29007 в том, что необучаемые сишечные кудесники по привычке опять влепили "char buf[1024]" вместо использования нормального строкового типа.

Эти твои нормальные строковые типы работают с кучей, чтоб раздвигать булк^W границы массива, а потому медленные. Этот char buf[1024] создается на стеке и это самый быстрый способ работать со строками.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +3 +/
Сообщение от Аноним (15), 26-Апр-23, 13:33 
Ох уж эти сишечные душевные терзания с выбором между скоростью и пачкой CVE.

Ты профайлер-то запусти прежде чем говорить, какие части кода тормозят.

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (18), 26-Апр-23, 15:03 
> это самый быстрый способ работать со строками

и память освобождается автоматически

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

44. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Бывалый смузихлёб (?), 26-Апр-23, 15:24 
> создается на стеке и это самый быстрый способ работать со строками.

учитывая что тот разбор строк подразумевает чтение данных с диска, все эти ускорения дадут примерно нулевой результат

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

46. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от oficsu (ok), 26-Апр-23, 15:31 
А ещё можно написать строковый тип, который со строками до 1024 работает "быстро" (мы, конечно же, поверим на слово, что разница в быстроте обнаружима), а больше — корректно, но корректность — это... знаете ли, как-то не по нашему, не по сишному
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

58. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от ИмяХ (?), 26-Апр-23, 16:34 
>>это самый быстрый

поспешишь - людей насмешишь.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

70. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (27), 26-Апр-23, 18:29 
То есть с функцией alloca вы не знакомы.
Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

88. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (60), 27-Апр-23, 09:44 
Знаком, но она может стек повредить при неправильном использовании. Примерано как VLA.
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от n00by (ok), 27-Апр-23, 17:23 
Ну поскольку к тому же хорошо знакомы с оптимизацией, значит слышали о спекулятивном исполнении и предсказателе переходов. То есть проверка займёт 0 тактов.
Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (32), 26-Апр-23, 14:02 
>вместо использования нормального строкового типа.

Это какого, например? Даже в Аде несколько типов строк, потому что универсального решения для строк еще не придумали.

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

37. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (15), 26-Апр-23, 14:40 
Любого динамически аллоцируемого. Вот конкретный фикс этого char[1024]:

https://github.com/git/git/commit/528290f8c61222433a8cf02fb7...

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (98), 26-Апр-23, 14:48 
Ты чаво это! На куче выделять память очень долго!111
Оно же тормозить на всяком мусоре будет!!111
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноньимъ (ok), 27-Апр-23, 00:59 
Скажите спасибо что не на баше говнокодят.
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

90. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –1 +/
Сообщение от anonymous (??), 27-Апр-23, 11:24 
Тут не выбор ЯП решает, а архитектура. git - это нагромождение скриптов, понятное дело, что они глючат. Не хочешь таких багов, используй софт, который разрабатывается как единое целое, например Fossil
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

8. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (8), 26-Апр-23, 11:57 
Вот что бывает, когда вместо JSON используешь свой нескучный формат со своим нескучным парсером.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (16), 26-Апр-23, 12:01 
JSON не нужен.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (8), 26-Апр-23, 12:08 
JSON нужен, а нескучные форматы не нужны, тем более если они дают CVE RCE.
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (16), 26-Апр-23, 12:40 
Нет не нужен. У всего должен быть свой формат, вся это универсальщина зло.
Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Аноним (8), 26-Апр-23, 12:49 
JSON нужен, а нескучные форматы, несовместимые между собой - не нужны. Иначе для N форматов придется писать M конвертеров из одного нескучного формата в другой. А это N + M уязвимых библиотек -- настоящее раздолье для любителей RCE.
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –1 +/
Сообщение от Аноним (16), 26-Апр-23, 13:39 
Чего тогда doc не перейдет на json? Да потому что твой json ненужен прими это как данность.
Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +5 +/
Сообщение от Аноним (8), 26-Апр-23, 13:54 
Какой док? Док Эмметт Браун или какой-то другой? JSON - не серебряная пуля, применять его надо только там, где уместно. Хранение конфигов, предназначенных для человека - это уместно. А с твоими нескучными форматами наблюдаем RCE, потому что "шел сишник по буферу, видит - буфер уже закончился, вышел за его пределы и CVE-шнулся".
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (16), 26-Апр-23, 14:06 
В этой жизни кроме хранения конфигов ещё очень много интересных задач, которые тебе неведомы.
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (8), 26-Апр-23, 14:15 
Я бы не назвал изобретение очередного нескучного формата и RCE-парсера к нему "интересной задачей". Но возможно тебя это прикалывает, и ты готов этим заниматься всю жизнь. Для по-настоящему интересных задач у тебя времени не останется - будешь пилить нескучные RCE-форматы. А я использую JSON и другие изобретения человечества, поэтому занимаюсь только новыми задачами -- такими, к которым человечество еще не приступало. Стою на плечах гигантов. А ты путайся у гигантов под ногами со своими RCE-велосипедами.
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Michael Shigorinemail (ok), 26-Апр-23, 17:51 
> занимаюсь только новыми задачами -- такими,
> к которым человечество еще не приступало

Кажется, у нас впервые комментируют марсиане :D

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Матцумото (?), 27-Апр-23, 09:26 
Первый контакт, получается
Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от 1 (??), 27-Апр-23, 09:52 
или рептилоиды (не впервые)
Ответить | Правка | К родителю #66 | Наверх | Cообщить модератору

31. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от _RORO_ (ok), 26-Апр-23, 13:57 
Может потому, что MS не пытались сделать нормальный формат, а наоборот более сложный, чтоб никто его полностью не смог реализовать (libreoffice так и не смогли)
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

34. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (16), 26-Апр-23, 14:06 
Нет формат документа сделанных на json это ещё хуже чем doc.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от soarin (ok), 26-Апр-23, 15:25 
> Может потому, что MS не пытались сделать нормальный формат, а наоборот более
> сложный, чтоб никто его полностью не смог реализовать (libreoffice так и
> не смогли)

Какой-то бред.

1) LibreOffice особо и не пытались. У них нет такой задачи, потому что у них другой формат документов во многом не совместимый.

2) У многих офисов для которых формат MSO родной (а это считай чуть ли не все кроме LO/OO) с совместимостью вполне нормально.

3) Проблемы с совместимостью есть везде при использовании сложных форматов для сложных задач. Даже между LO и OO поколов хватает. Как и глюков в самом LO.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

38. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (15), 26-Апр-23, 14:45 
> Чего тогда doc не перейдет на json?

Потому что современный doc (который docx) и так уже на html.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

39. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +3 +/
Сообщение от Аноним (15), 26-Апр-23, 14:47 
> уже на html

(фикс) на xml.

Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от _RORO_ (ok), 26-Апр-23, 15:00 
*на xml. Это разные вещи.
Хотя лучше бы на html был, как markdown. Не лучший формат конечно, но хотя бы не такое нагромождение всякого ненужного, как OOXML
(docx,xlsx,pptx) и читается любым браузером
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

41. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (41), 26-Апр-23, 14:56 
Если ты про офисный doc, так его использовали до нулевых, а потом поняли, что получилась фигня и выкинули, перейдя на docx, который, внезапно, просто zip архив с набором xml файлов. Т.е. даже ms заюзала стандартизированные форматы, вместо самописных велосипедов.
Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

78. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (-), 26-Апр-23, 23:49 
> Если ты про офисный doc, так его использовали до нулевых, а потом
> поняли, что получилась фигня и выкинули,

Эта "фигня" является чем-то типа виртуальной ФС так то, и используется газилионом майкрософтовских тулсов во всех закоулках и по сей день.

> перейдя на docx, который, внезапно, просто zip архив с набором xml файлов.

...со спеками на 6000 страниц, фоточку ЭТОГО можно у гугл картинок попросить.

После чего народ попробовал по этим спекам файлы делать и оказалось что мсовский же эксель и ворд не открывают самые тривиальные примеры сделаные по майкрософтовским же спекам.

> Т.е. даже ms заюзала стандартизированные форматы, вместо самописных велосипедов.

И получилась фигня под другим соусом. И тоже самописный велосипед - потому что ODF на тот момент уже был стандартом, и они продавливали второй стандарт для одного и того же. Почему его за это "самописным велосипедом" не назвать бы?

Ответить | Правка | Наверх | Cообщить модератору

84. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от soarin (ok), 27-Апр-23, 06:10 
> ...со спеками на 6000 страниц

Да. Так и ODT к этому подбирается.
А то как новость про новый формат ODT. Так там постоянно что-то что в MSO уже двадцать лет есть.

А потом конечно вся это очень сложная штука кривит и ползёт. Тоже самое что с CSS в браузерах.

Так-то на простых задачах не бабахает, когда мы в рамках RTF. Ну может ещё таблицы простые без оформления.

А как сложнее, то привет. У сложных задач нет простого решения. И ODF это тоже касается.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –3 +/
Сообщение от Проффесорemail (?), 26-Апр-23, 12:50 
Зачем нужен JSON там, где его никогда не читает глазами человек? Для увеличения объема данных раз так в 6-10 ?
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

23. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +4 +/
Сообщение от Аноним (8), 26-Апр-23, 12:59 
$GIT_DIR/config предназначен для человека. Если бы не предназначался, то было бы проще его оформить в бинарном виде безо всяких JSON. Хотя бы минимально изучай тему, тогда удастся не приземляться с грохотом на лужу.
Ответить | Правка | Наверх | Cообщить модератору

67. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Michael Shigorinemail (ok), 26-Апр-23, 17:53 
> $GIT_DIR/config предназначен для человека

А json?

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от PnD (??), 28-Апр-23, 10:49 
А json предназначен для удобной сериализации сообщений при передаче из точки А в точку Б.
Отсутствие комментариев в дизайне как бы намекает.
Да, с некоторой (но гораздо скромнее чем в XML) избыточностью. Зато с возможностью кожаного мешка влезть в процесс с минимальным инструментарием (jq например).

Разумеется, конфиги тоже можно так хранить (как частный случай передачи сообщений). Но в первую очередь те что программа сохраняет сама для себя.

Для человекообразных придумали TOML. В простых случаях можно ограничиться "INI" или YAML.
Нотации вида "ключ = значение" получили широкое распространение хотя бы потому что прошиваются в голову в рамках школьного курса математики.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (-), 26-Апр-23, 23:45 
> Вот что бывает, когда вместо JSON используешь свой нескучный формат со своим
> нескучным парсером.

Коректно парсить все приколы которые JSON позволяет - это целый отдельный квест. Далеко не любая программа вообще готова сжевать произвольно слепленый JSON без тех или иных спецэффектов.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +2 +/
Сообщение от Аноним (98), 26-Апр-23, 12:03 
CVE-2023-25815
переполнение буфера при обработке специально оформленных файлов
Не, ну как же без этого...
Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +3 +/
Сообщение от ip1982 (ok), 26-Апр-23, 14:35 
> избегать выполнения команды "git apply --reject"

Даже не знал о такой :)

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (47), 26-Апр-23, 15:35 
Просто строку обработать... C программисты во всей красе, лишь бы не аллоцировать кучу, зато сразу 5 CVE'шек на ровном месте.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Иваня (?), 26-Апр-23, 16:24 
Перепиши на Rust
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (47), 26-Апр-23, 16:32 
Уже переписали, надо попробывать разные имплементации
Ответить | Правка | Наверх | Cообщить модератору

68. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  –3 +/
Сообщение от Michael Shigorinemail (ok), 26-Апр-23, 17:53 
Ошибку сами найдёте? (строго говоря, две, но сперва хотя бы очевидную)
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (91), 27-Апр-23, 12:40 
Почему вы ищите ошибки в написании, когда у вас у самого море ошибок в мышлении. Но да, за то знаете как писать. И скорее всего, эти знания только в этой области ограничивается. (В каждой дырке - затычка)
Ответить | Правка | Наверх | Cообщить модератору

101. Скрыто модератором  +/
Сообщение от Аноним (-), 28-Апр-23, 04:01 
Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +/
Сообщение от Аноним (15), 26-Апр-23, 16:48 
> Перепиши на Rust

Так уже есть:

https://github.com/Byron/gitoxide

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

61. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от Аноним (60), 26-Апр-23, 17:09 
Ты Byron? Просили тебя переписать, а не тыкать в чужое переписывание.
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в Git, позволяющие перезаписать файлы или выполни..."  +1 +/
Сообщение от InuYasha (??), 27-Апр-23, 13:10 
C'mon please help me doctor git -
Моя бошка уже болит...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру