forum.opennet.ru - "Уязвимости в Node.js и libuv" (34)

"Уязвимости в Node.js и libuv"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в Node.js и libuv"	+/–
Сообщение от opennews (ok), 16-Фев-24, 20:28
Доступны корректирующие выпуски серверной JavaScript-платформы Node.js 21.6.2, 20.11.1, 18.19.1, в которых исправлено 8 уязвимостей, из которых 4 присвоен высокий уровень опасности:... Подробнее: https://www.opennet.me/opennews/art.shtml?num=60612
Ответить \| Правка \| Cообщить модератору

Оглавление

Эта платформа такая же серверная , как Java или Python Да, так сложилось, что , vvm13 (ok), 00:08 , 17-Фев-24, (24) –4

Эксперды уже не понимают что такое хромиум, V8 и электрон, Аноним (25), 01:06 , 17-Фев-24, (25) +5
Вам пора на переобучение переподготовку , мяя (?), 01:39 , 17-Фев-24, (26) +4

А в чем он не прав А вот к экспертам вопросы Зачем шуметь без аргументов, Аноним (27), 02:07 , 17-Фев-24, (27) –2

У него каша в голове и не приведённый в порядок поток сознания Он пытается сказа, мяя (?), 21:45 , 18-Фев-24, (58)

Не только Ещё исполбзуют как запускалку сборщика Webpack, Vite js , когда соби, Golangdev (?), 05:19 , 17-Фев-24, (33) +4
Да, что-то действительно есть И JavaFX можно не качать , Golangdev (?), 05:23 , 17-Фев-24, (34)
Нода сама по себе весьма удобна как очень гибкая запускалка разных скриптов почт, Бывалый Смузихлёб (??), 13:04 , 17-Фев-24, (41) +1

Twised с 2002 года существует , Пряник (?), 17:09 , 19-Фев-24, (59)

Вот тебе бабушка и джаваскрипт , Вы забыли заполнить поле Name (?), 03:38 , 17-Фев-24, (28) –2
кто специалист, откуда у nodejs elevated privileges возьмутся обычный процесс п, Роман (??), 05:07 , 17-Фев-24, (32)

Хакер в столовой , Аноним (38), 13:01 , 17-Фев-24, (38)
а как вот ты думаешь - у программ на единственноверных сях - откуда привиллегии, похъ (?), 13:28 , 17-Фев-24, (43) –1

нода в 99 случаев я видел что на ноде пишут, скажем так, скрипты общего назнач, Роман (??), 06:37 , 18-Фев-24, (47)

нет, это твой личный способ костылепердолинга В большинстве случаев совершенно н, похъ (?), 09:14 , 18-Фев-24, (50)

Сбавьте тон и тыканье, выглядит так себе Вы тут что-то проецируете, рзверните м, Роман (??), 10:19 , 18-Фев-24, (52)

Спасибо за новость Почистил от хлама pkg autoremove удалила Node js из системы, iZEN (ok), 08:52 , 17-Фев-24, (35) –1

выколол себе глазыньки чтоб греха не видать Молодец, наш кружок скопцов одобряэ, похъ (?), 13:01 , 17-Фев-24, (39)
Устанавливать ноду чтобы удалять нодуПохоже, у любителей бздей есть какая-то оче, Бывалый Смузихлёб (??), 13:22 , 17-Фев-24, (42)

Так ведь это build dependencies собирать пакеты из портов, да Редкий линуксо, iZEN (ok), 13:38 , 17-Фев-24, (44)

даром греть воздух а потом ныть что buld deps ужастные и небезопастные ПОСЛЕ то, похъ (?), 14:37 , 17-Фев-24, (45)

Ну, тру-линуксоиды надеются на дядю-дистрибутора Вот у него всё классно получае, iZEN (ok), 13:14 , 18-Фев-24, (54)

Ну как будто ты не надеешься и каждый мэйкфайл сам написал, а не от такого же дя, похъ (?), 17:45 , 18-Фев-24, (56) +1

Сам придумал 8212 сам объяснил Порт ноды к тому времени уже будет другой, iZEN (ok), 20:35 , 18-Фев-24, (57)

А если целевая поменяет - то, вот чудеса-то - ноду можно было бы не пересобирать, похъ (?), 17:30 , 19-Фев-24, (62)

А чего её греть node устанавливается пакетом из локального репозитория, если во, iZEN (ok), 14:54 , 20-Фев-24, (63)

Уязвимости в Node.js и libuv, Пряник (?), 17:11 , 19-Фев-24, (60)

полагаю поэтому они и выбирают FreeBSD, совпадает с их наклонностью или даже нак, Роман (??), 06:43 , 18-Фев-24, (48) +1

ну да, ну да - разделение на STABLE CURRENT RELENG - это ведь не за двадцать лет, похъ (?), 08:50 , 18-Фев-24, (49)

Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить, Роман (??), 10:09 , 18-Фев-24, (51)

не могли бы - или надо было сразу выбирать что угодно но не платформу с открытым, похъ (?), 13:22 , 18-Фев-24, (55)

Да, в районе раздела Фряхи на Реддите, в том срезе сообщества, при таких вводных, Роман (??), 14:13 , 23-Фев-24, (64)

- маска обрабатывается как последний элемент путиМда, вот тут сразу понимаеш, Tron is Whistling (?), 10:38 , 18-Фев-24, (53)
Новость скорее про libuv На nodejs пофиг Особенно, когда Deno и Bun есть , Пряник (?), 17:14 , 19-Фев-24, (61) –1

Сообщения [Сортировка по ответам | RSS]

24. Сообщение от vvm13 (ok), 17-Фев-24, 00:08 –4 +/–

Эта платформа такая же "серверная", как Java или Python. Да, так сложилось, что отдельно node.js используют в основном для серверов, но ведь никто не заставляет. И хотя у Java для GUI есть что-то в комплекте JDK, но JavaFX надо качать отдельно, у Python'а надо тоже что-то отдельно качать, то и у node.js похожая ситуация (используют не набор библиотек, а модифицированный Хромиум, а вместе это называется Electron).

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25, #26, #33, #34, #41

25. Сообщение от Аноним (25), 17-Фев-24, 01:06 +5 +/–

Эксперды уже не понимают что такое хромиум, V8 и электрон

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

26. Сообщение от мяя (?), 17-Фев-24, 01:39 +4 +/–

Вам пора на переобучение/переподготовку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #27

27. Сообщение от Аноним (27), 17-Фев-24, 02:07 –2 +/–

А в чем он не прав? А вот к экспертам вопросы? Зачем шуметь без аргументов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #58

28. Сообщение от Вы забыли заполнить поле Name (?), 17-Фев-24, 03:38 –2 +/–

Вот тебе бабушка и джаваскрипт.

Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Роман (??), 17-Фев-24, 05:07 +/–

кто специалист, откуда у nodejs elevated privileges возьмутся? обычный процесс под обычным юзером
> On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38, #43

33. Сообщение от Golangdev (?), 17-Фев-24, 05:19 +4 +/–

> отдельно node.js используют в основном для серверов
Не только. Ещё исполбзуют как запускалку сборщика (Webpack, Vite.js), когда собирают  фронтенд.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

34. Сообщение от Golangdev (?), 17-Фев-24, 05:23 +/–

> у Java для GUI есть что-то в комплекте JDK, но JavaFX надо качать отдельно
Да, что-то действительно есть. И JavaFX можно не качать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

35. Сообщение от iZEN (ok), 17-Фев-24, 08:52 –1 +/–

Спасибо за новость. Почистил от хлама: pkg autoremove удалила Node.js из системы. Пакет libuv-1.48.0 остался.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39, #42

38. Сообщение от Аноним (38), 17-Фев-24, 13:01 +/–

Хакер в столовой....

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

39. Сообщение от похъ (?), 17-Фев-24, 13:01 +/–

выколол себе глазыньки чтоб греха не видать? Молодец, наш кружок скопцов одобряэ!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

41. Сообщение от Бывалый Смузихлёб (??), 17-Фев-24, 13:04 +1 +/–

Нода сама по себе весьма удобна как очень гибкая запускалка разных скриптов почти на любой случай жизни
Жаба в этом смысле очень громоздкая
На питоне - раньше без махинаций было не поднять сервак который бы норм работал постоянно и подобно ноде был событийно-ориентированным. А не как пых - с нуля запускался на каждый запрос

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #59

42. Сообщение от Бывалый Смузихлёб (??), 17-Фев-24, 13:22 +/–

Устанавливать ноду чтобы удалять ноду
Похоже, у любителей бздей есть какая-то очень специфическая наклонность

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #44, #48

43. Сообщение от похъ (?), 17-Фев-24, 13:28 –1 +/–

а как вот ты думаешь - у программ на единственноверных сях  - откуда привиллегии берутся?
Вот с нодой - все то же самое. Это просто еще один нескучный язык программирования.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32 Ответы: #47

44. Сообщение от iZEN (ok), 17-Фев-24, 13:38 +/–

> Устанавливать ноду чтобы удалять ноду
Так ведь это build dependencies.
> Похоже, у любителей бздей есть какая-то очень специфическая наклонность
...собирать пакеты из портов, да. Редкий линуксойд на это решится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #45

45. Сообщение от похъ (?), 17-Фев-24, 14:37 +/–

> ...собирать пакеты из портов, да. Редкий линуксойд на это решится.
даром греть воздух а потом ныть что buld deps ужастные и небезопастные (ПОСЛЕ того как ты их запустил... от рута, я ведь правильно угадываю? на своем локалхосте)
Да, такая феноменальная глупость даже им несвойственна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #54

47. Сообщение от Роман (??), 18-Фев-24, 06:37 +/–

нода в 99% случаев (я видел что на ноде пишут, скажем так, скрипты общего назначения, а не веб сервисы) сидит в докере с его port mappings, либо работает как вебсервис [без нужды в биндингах на порты ниже 1024] за прокси, еще и желательно с набором плюшек вида
SystemCallFilter=@system-service
SystemCallErrorNumber=EPERM
LockPersonality=yes
NoNewPrivileges=yes
PrivateTmp=yes
ProtectProc=invisible

и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #50

48. Сообщение от Роман (??), 18-Фев-24, 06:43 +1 +/–

> Устанавливать ноду чтобы удалять ноду
> Похоже, у любителей бздей есть какая-то очень специфическая наклонность
полагаю поэтому они и выбирают FreeBSD, совпадает с их наклонностью или даже наклонностями - это нормально, на мой взгляд.
Из интересных наблюдений, товарищи из пользователей (и админов уж конечно) Фряхи, не понимают концепцию LTS.
Один из немногих - Drew Gallatin, https://papers.freebsd.org/author/drew-gallatin/ - FreeBSD kernel hacker. Senior Software Engineer at Netflix Open Connect, focusing on performance - этот понял.
> One the things I loved about Ubuntu LTS is the packages being essentially frozen, aside from security fixes. FreeBSD is a "rolling release" OS for 3rd party packages, even on stable branches. That's one of the reasons that I use the ubuntu LTS firefox ... I can apt-get update & apt-get upgrade just the web browser and its dependencies, rather than the 1700 unrelated packages that I'd need to update just to get the newest firefox.
from https://news.ycombinator.com/item?id=38221063
Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе:
> Не знаю как в генте, но у меня на FreeBSD это очень удобно сделано. Я просто запускаю таску POST запросом в Jenkins и через пару дней у меня будет свежый локальный репозиторий с нужнымы флагами. Процесс сам идёт, обычно даже не валится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #49

49. Сообщение от похъ (?), 18-Фев-24, 08:50 +/–

> Из интересных наблюдений, товарищи из пользователей (и админов уж конечно) Фряхи, не
> понимают концепцию LTS.
ну да, ну да - разделение на STABLE/CURRENT/RELENG - это ведь не за двадцать лет до ваших lts придумали?
Ну да, это касается только базовой системы. Потому что у проекта НЕТ столько и настолько безумных волонтеров чтобы годами вручную выковыривать патчи поштучно и  мержить их (что не всегда легко) с устаревшим кодом. Им-то убунтоиды не заплатят.

> Один из немногих - Drew Gallatin, https://papers.freebsd.org/author/drew-gallatin/
> - FreeBSD kernel hacker. Senior Software Engineer at Netflix Open Connect,
> focusing on performance - этот понял.
ну есди это теперь кернел хаксоры такие и нетфликс их нанимает - п-да и проекту и нетфликсе.
> browser and its dependencies, rather than the 1700 unrelated packages that I'd need to update just to
> get the newest firefox.
расскажите уже ему кто-нибудь, что можно не набирать make в корне дерева портов если обновить надо только фуфлофокс.
И что как и в его любимой бубунточке он может вообще просто pkg install fuflofox без всякого компиляния - и нет, оно не обновит автоматически ничего кроме необходимого для запуска минимума (и иногда промажет и не обновит и необходимое тоже).
Но если оно просто не собирается в принципе без наимоднявейших зависимостей - претензии авторам фуфлофокса не умеющим в совместимость.
Кстати, убунточка решает эту проблему шнапом. И в дальнейшем собирается ее так решать с любым софтом сложнее cat
> Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе:
вместо. Не думаю что у них есть работа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #51

50. Сообщение от похъ (?), 18-Фев-24, 09:14 +/–

> нода в 99% случаев (я видел что на ноде пишут, скажем так,
нет, это твой личный способ костылепердолинга.
В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете в swarm и в результате в докере у вас мини-операционная система, с костыльными заменами планировщику и иниту, которая чаще всего даже правильно останавливаться по docker stop не обучена)
И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким способом, и чаще всего никто не потрудится специально для тебя писать их на другом нескучном языке когда уже есть проект на ноде.
> и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.
причем тут твоя любовь к пердолингу я не пойму?
И что бы тебе и bin/ls не запускать так же, от него вреда может внезапно оказаться куда больше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #52

51. Сообщение от Роман (??), 18-Фев-24, 10:09 +/–

> ну да, ну да - разделение на STABLE/CURRENT/RELENG - это ведь не
> за двадцать лет до ваших lts придумали?
> Ну да, это касается только базовой системы. Потому что у проекта НЕТ
> столько и настолько безумных волонтеров чтобы годами вручную выковыривать патчи поштучно
> и  мержить их (что не всегда легко) с устаревшим кодом.
> Им-то убунтоиды не заплатят.
Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить.
>[оверквотинг удален]
> И что как и в его любимой бубунточке он может вообще просто
> pkg install fuflofox без всякого компиляния - и нет, оно не
> обновит автоматически ничего кроме необходимого для запуска минимума (и иногда промажет
> и не обновит и необходимое тоже).
> Но если оно просто не собирается в принципе без наимоднявейших зависимостей -
> претензии авторам фуфлофокса не умеющим в совместимость.
> Кстати, убунточка решает эту проблему шнапом. И в дальнейшем собирается ее так
> решать с любым софтом сложнее cat
>> Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе:
> вместо. Не думаю что у них есть работа.
Вполне есть:
> fwiw I have a LinkedIn job alert set for any job with "FreeBSD". It produces on average 5 positions a week in the US
Или вот https://it-notes.dragas.net/2023/03/14/how-we-are-migrating-.../

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49 Ответы: #55

52. Сообщение от Роман (??), 18-Фев-24, 10:19 +/–

>> нода в 99% случаев (я видел что на ноде пишут, скажем так,
> нет, это твой личный способ костылепердолинга.
Сбавьте тон и тыканье, выглядит так себе.
> В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете
> в swarm и в результате в докере у вас мини-операционная система,
> с костыльными заменами планировщику и иниту, которая чаще всего даже правильно
> останавливаться по docker stop не обучена)
Вы тут что-то проецируете, рзверните мысль внятно.
> И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким
> способом, и чаще всего никто не потрудится специально для тебя писать
> их на другом нескучном языке когда уже есть проект на ноде.
Скрипты общего назначения, тут вы уловили верно, кроме момента про "ради меня".
>> и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.
> причем тут твоя любовь к пердолингу я не пойму?
> И что бы тебе и bin/ls не запускать так же, от него
> вреда может внезапно оказаться куда больше.
Не уверен что вы сейчас все ещё про запуск сервисов, а не о чем то своём.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #50

53. Сообщение от Tron is Whistling (?), 18-Фев-24, 10:38 +/–

- маска "*" обрабатывается как последний элемент пути
Мда, вот тут сразу понимаешь, что где-то рядом жабоскрипт.

Ответить | Правка | Наверх | Cообщить модератору

54. Сообщение от iZEN (ok), 18-Фев-24, 13:14 +/–

> Да, такая феноменальная глупость даже им несвойственна.
Ну, тру-линуксоиды надеются на дядю-дистрибутора. Вот у него всё классно получается и зависимостей (почти) никаких ненужных, так ведь?
> даром греть воздух а потом ныть что buld deps ужастные и небезопастные
Ох, уж эти страхи-то...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #56, #60

55. Сообщение от похъ (?), 18-Фев-24, 13:22 +/–

> Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить.
не могли бы - или надо было сразу выбирать что угодно но не платформу с открытым кодом free as in free beer.
> Вполне есть:
> fwiw I have a LinkedIn job alert set for any job with "FreeBSD". It produces on average 5 positions a week in the US
то есть на ВСЕ US у него аж пять упоминаний (упоминаний! включая "опыт удаления фреелесде с диска - is a plus" - где-то в конце второй страницы после expert windows AD knowledge required и тому подобного, и то где-нибудь в Delaware) аж за НЕДЕЛЮ? (половина из них - одни и те же позиции открываемые хрюшей каждую неделю заново)
Стесняюсь спросить - ты вообще пользовался когда-нибудь линкедином?
> Или вот
подвальная лавка с ЕДИНСТВЕННЫМ сервером где-то в почти-бесплатной помойке OVH? Вот это бизнес так бизнес.
Знаешь, до того как слуцилась чтойта - у меня таких серверов (и у хостера поприличней) было аж три. И это все еще не было работой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #64

56. Сообщение от похъ (?), 18-Фев-24, 17:45 +1 +/–

Ну как будто ты не надеешься и каждый мэйкфайл сам написал, а не от такого же дяди и получил.
И не поназапускал неглядя все стопиццот этих файликов чтоб собрать один-единственный фуфлофокс, например.

И да, ненужных билд-зависимостей у них не бывает, они на билдхосте разработчиков дистрибутива остались. А вернее даже и не оставались а удалились сразу как скрипт отработал.
> Ох, уж эти страхи-то...
Ну и зачем ты тогда сам себе глазик-то выковырял? Через неделю обратно все собирать (еще неделю) будешь ведь, когда выяснится что нода нужна для сборки очень нужного тула без которого не собирается еще один очень нужный тул без которого не собрать примитивную программку которая тебе на самом-то деле нужна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #57

57. Сообщение от iZEN (ok), 18-Фев-24, 20:35 +/–

> Ну как будто ты не надеешься и каждый мэйкфайл сам написал, а
> не от такого же дяди и получил.
> И не поназапускал неглядя все стопиццот этих файликов чтоб собрать один-единственный фуфлофокс,
> например.
> И да, ненужных билд-зависимостей у них не бывает, они на билдхосте разработчиков
> дистрибутива остались. А вернее даже и не оставались а удалились сразу
> как скрипт отработал.
>> Ох, уж эти страхи-то...
> Ну и зачем ты тогда сам себе глазик-то выковырял?
Сам придумал — сам объяснил. :)))
> Через неделю обратно
> все собирать (еще неделю) будешь ведь, когда выяснится что нода нужна
> для сборки очень нужного тула без которого не собирается еще один
> очень нужный тул без которого не собрать примитивную программку которая тебе
> на самом-то деле нужна.
Порт ноды к тому времени уже будет другой версии, обновлённый, без озвученных багов — так и так пересобирать придётся. А в моём случае, если целевая программка не поменяет свою версию, то и нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56 Ответы: #62

58. Сообщение от мяя (?), 18-Фев-24, 21:45 +/–

У него каша в голове и не приведённый в порядок поток сознания.
Он пытается сказать что nodejs это словно гуёвая/клиентская платформа исходно.
Зачем-то для веса попытался приплести Java и Python и сам же показал как это притянуто за уши выглядит.
Конечно эти языки плохи для хайлоад серверов, но это можно было сказать адекватно, а не так.
Хуже всего это вот эта строчка:
> (используют не набор библиотек, а модифицированный Хромиум, а вместе это называется Electron).
Для введения, node.js это не язык, это по большей части инфраструктура (можно читать как стандартная библиотека и некоторые низкоуровневые примитивы) вокруг движка V8 (исходно является реализацией языка JavaScript в обозревателе Chrome/Chromium).
Родился он отдельно от электрона (нода 2009, электрон 2013), это ноду в электрон для возможностей добавили по примеру NW.js (который к слову исходно основывался на CEF), потому что API браузера не расчитаны на программирование полноценного приложения.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

59. Сообщение от Пряник (?), 19-Фев-24, 17:09 +/–

Twised с 2002 года существует.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

60. Сообщение от Пряник (?), 19-Фев-24, 17:11 +/–

> Ну, тру-линуксоиды надеются на дядю-дистрибутора. Вот у него всё классно получается и зависимостей (почти) никаких ненужных, так ведь?
> Ох, уж эти страхи-то...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

61. Сообщение от Пряник (?), 19-Фев-24, 17:14 –1 +/–

Новость скорее про libuv. На nodejs пофиг. Особенно, когда Deno и Bun есть.

Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от похъ (?), 19-Фев-24, 17:30 +/–

А если целевая поменяет - то, вот чудеса-то - ноду можно было бы не пересобирать еще пол-года. Пока что-то где-то не потребует именно самую распоследнюю - что точно произойдет еще не завтра и даже не через неделю.
А ты продолжай греть атмосферу. Хреты Хрюндберг на вас больше нет, а жаль.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #63

63. Сообщение от iZEN (ok), 20-Фев-24, 14:54 +/–

А чего её греть? node устанавливается пакетом из локального репозитория, если возникнет нужда в её услугах, а не пересобирается каждый раз поновой.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

64. Сообщение от Роман (??), 23-Фев-24, 14:13 +/–

> то есть на ВСЕ US у него аж пять упоминаний
Да, в районе раздела Фряхи на Реддите, в том срезе сообщества, при таких вводных - работа считается что есть.
Лично для меня - очень интересно читать там местами.
----
Отдельно, конечно, стоит упомянуть про отчёт за 3ий квартал от Фряхи - https://www.freebsd.org/status/report-2023-10-2023-12/ . Анонимным и не очень анонимным Экспертам стоит подготовиться и присесть:
> The Open Container Initiative Technical Oversight Board voted in December to approve Doug Rabson’s proposal to create a Working Group to extend the OCI runtime specification to support FreeBSD. Huge thanks to all involved! An OCI runtime extension for FreeBSD is one of the most frequently requested capabilities and I was happy to play a small role in helping to coordinate this effort so far.
и всадник апокалипсиса:
> !WARNING] The FreeBSD port of the Podman container engine is experimental and should be used for evaluation and testing purposes only.
Уверенным пользователям возможно стоит начинать подавать петиции.
https://podman.io/docs/installation#installing-on-freebsd-140

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

24. Сообщение от vvm13 (ok), 17-Фев-24, 00:08	–4 +/–
Эта платформа такая же "серверная", как Java или Python. Да, так сложилось, что отдельно node.js используют в основном для серверов, но ведь никто не заставляет. И хотя у Java для GUI есть что-то в комплекте JDK, но JavaFX надо качать отдельно, у Python'а надо тоже что-то отдельно качать, то и у node.js похожая ситуация (используют не набор библиотек, а модифицированный Хромиум, а вместе это называется Electron).
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25, #26, #33, #34, #41

25. Сообщение от Аноним (25), 17-Фев-24, 01:06	+5 +/–
Эксперды уже не понимают что такое хромиум, V8 и электрон
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

26. Сообщение от мяя (?), 17-Фев-24, 01:39	+4 +/–
Вам пора на переобучение/переподготовку.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #27

27. Сообщение от Аноним (27), 17-Фев-24, 02:07	–2 +/–
А в чем он не прав? А вот к экспертам вопросы? Зачем шуметь без аргументов
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #26 Ответы: #58

28. Сообщение от Вы забыли заполнить поле Name (?), 17-Фев-24, 03:38	–2 +/–
Вот тебе бабушка и джаваскрипт.
Ответить \| Правка \| Наверх \| Cообщить модератору

32. Сообщение от Роман (??), 17-Фев-24, 05:07	+/–
кто специалист, откуда у nodejs elevated privileges возьмутся? обычный процесс под обычным юзером > On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38, #43

33. Сообщение от Golangdev (?), 17-Фев-24, 05:19	+4 +/–
> отдельно node.js используют в основном для серверов Не только. Ещё исполбзуют как запускалку сборщика (Webpack, Vite.js), когда собирают фронтенд.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

34. Сообщение от Golangdev (?), 17-Фев-24, 05:23	+/–
> у Java для GUI есть что-то в комплекте JDK, но JavaFX надо качать отдельно Да, что-то действительно есть. И JavaFX можно не качать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

35. Сообщение от iZEN (ok), 17-Фев-24, 08:52	–1 +/–
Спасибо за новость. Почистил от хлама: pkg autoremove удалила Node.js из системы. Пакет libuv-1.48.0 остался.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #39, #42

38. Сообщение от Аноним (38), 17-Фев-24, 13:01	+/–
Хакер в столовой....
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32

39. Сообщение от похъ (?), 17-Фев-24, 13:01	+/–
выколол себе глазыньки чтоб греха не видать? Молодец, наш кружок скопцов одобряэ!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35

41. Сообщение от Бывалый Смузихлёб (??), 17-Фев-24, 13:04	+1 +/–
Нода сама по себе весьма удобна как очень гибкая запускалка разных скриптов почти на любой случай жизни Жаба в этом смысле очень громоздкая На питоне - раньше без махинаций было не поднять сервак который бы норм работал постоянно и подобно ноде был событийно-ориентированным. А не как пых - с нуля запускался на каждый запрос
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24 Ответы: #59

42. Сообщение от Бывалый Смузихлёб (??), 17-Фев-24, 13:22	+/–
Устанавливать ноду чтобы удалять ноду Похоже, у любителей бздей есть какая-то очень специфическая наклонность
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #35 Ответы: #44, #48

43. Сообщение от похъ (?), 17-Фев-24, 13:28	–1 +/–
а как вот ты думаешь - у программ на единственноверных сях - откуда привиллегии берутся? Вот с нодой - все то же самое. Это просто еще один нескучный язык программирования.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32 Ответы: #47

44. Сообщение от iZEN (ok), 17-Фев-24, 13:38	+/–
> Устанавливать ноду чтобы удалять ноду Так ведь это build dependencies. > Похоже, у любителей бздей есть какая-то очень специфическая наклонность ...собирать пакеты из портов, да. Редкий линуксойд на это решится.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #42 Ответы: #45

45. Сообщение от похъ (?), 17-Фев-24, 14:37	+/–
> ...собирать пакеты из портов, да. Редкий линуксойд на это решится. даром греть воздух а потом ныть что buld deps ужастные и небезопастные (ПОСЛЕ того как ты их запустил... от рута, я ведь правильно угадываю? на своем локалхосте) Да, такая феноменальная глупость даже им несвойственна.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #44 Ответы: #54

47. Сообщение от Роман (??), 18-Фев-24, 06:37	+/–
нода в 99% случаев (я видел что на ноде пишут, скажем так, скрипты общего назначения, а не веб сервисы) сидит в докере с его port mappings, либо работает как вебсервис [без нужды в биндингах на порты ниже 1024] за прокси, еще и желательно с набором плюшек вида SystemCallFilter=@system-service SystemCallErrorNumber=EPERM LockPersonality=yes NoNewPrivileges=yes PrivateTmp=yes ProtectProc=invisible и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #43 Ответы: #50

48. Сообщение от Роман (??), 18-Фев-24, 06:43	+1 +/–
> Устанавливать ноду чтобы удалять ноду > Похоже, у любителей бздей есть какая-то очень специфическая наклонность полагаю поэтому они и выбирают FreeBSD, совпадает с их наклонностью или даже наклонностями - это нормально, на мой взгляд. Из интересных наблюдений, товарищи из пользователей (и админов уж конечно) Фряхи, не понимают концепцию LTS. Один из немногих - Drew Gallatin, https://papers.freebsd.org/author/drew-gallatin/ - FreeBSD kernel hacker. Senior Software Engineer at Netflix Open Connect, focusing on performance - этот понял. > One the things I loved about Ubuntu LTS is the packages being essentially frozen, aside from security fixes. FreeBSD is a "rolling release" OS for 3rd party packages, even on stable branches. That's one of the reasons that I use the ubuntu LTS firefox ... I can apt-get update & apt-get upgrade just the web browser and its dependencies, rather than the 1700 unrelated packages that I'd need to update just to get the newest firefox. from https://news.ycombinator.com/item?id=38221063 Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе: > Не знаю как в генте, но у меня на FreeBSD это очень удобно сделано. Я просто запускаю таску POST запросом в Jenkins и через пару дней у меня будет свежый локальный репозиторий с нужнымы флагами. Процесс сам идёт, обычно даже не валится.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #42 Ответы: #49

49. Сообщение от похъ (?), 18-Фев-24, 08:50	+/–
> Из интересных наблюдений, товарищи из пользователей (и админов уж конечно) Фряхи, не > понимают концепцию LTS. ну да, ну да - разделение на STABLE/CURRENT/RELENG - это ведь не за двадцать лет до ваших lts придумали? Ну да, это касается только базовой системы. Потому что у проекта НЕТ столько и настолько безумных волонтеров чтобы годами вручную выковыривать патчи поштучно и мержить их (что не всегда легко) с устаревшим кодом. Им-то убунтоиды не заплатят. > Один из немногих - Drew Gallatin, https://papers.freebsd.org/author/drew-gallatin/ > - FreeBSD kernel hacker. Senior Software Engineer at Netflix Open Connect, > focusing on performance - этот понял. ну есди это теперь кернел хаксоры такие и нетфликс их нанимает - п-да и проекту и нетфликсе. > browser and its dependencies, rather than the 1700 unrelated packages that I'd need to update just to > get the newest firefox. расскажите уже ему кто-нибудь, что можно не набирать make в корне дерева портов если обновить надо только фуфлофокс. И что как и в его любимой бубунточке он может вообще просто pkg install fuflofox без всякого компиляния - и нет, оно не обновит автоматически ничего кроме необходимого для запуска минимума (и иногда промажет и не обновит и необходимое тоже). Но если оно просто не собирается в принципе без наимоднявейших зависимостей - претензии авторам фуфлофокса не умеющим в совместимость. Кстати, убунточка решает эту проблему шнапом. И в дальнейшем собирается ее так решать с любым софтом сложнее cat > Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе: вместо. Не думаю что у них есть работа.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #48 Ответы: #51

50. Сообщение от похъ (?), 18-Фев-24, 09:14	+/–
> нода в 99% случаев (я видел что на ноде пишут, скажем так, нет, это твой личный способ костылепердолинга. В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете в swarm и в результате в докере у вас мини-операционная система, с костыльными заменами планировщику и иниту, которая чаще всего даже правильно останавливаться по docker stop не обучена) И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким способом, и чаще всего никто не потрудится специально для тебя писать их на другом нескучном языке когда уже есть проект на ноде. > и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу. причем тут твоя любовь к пердолингу я не пойму? И что бы тебе и bin/ls не запускать так же, от него вреда может внезапно оказаться куда больше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #47 Ответы: #52

51. Сообщение от Роман (??), 18-Фев-24, 10:09	+/–
> ну да, ну да - разделение на STABLE/CURRENT/RELENG - это ведь не > за двадцать лет до ваших lts придумали? > Ну да, это касается только базовой системы. Потому что у проекта НЕТ > столько и настолько безумных волонтеров чтобы годами вручную выковыривать патчи поштучно > и мержить их (что не всегда легко) с устаревшим кодом. > Им-то убунтоиды не заплатят. Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить. >[оверквотинг удален] > И что как и в его любимой бубунточке он может вообще просто > pkg install fuflofox без всякого компиляния - и нет, оно не > обновит автоматически ничего кроме необходимого для запуска минимума (и иногда промажет > и не обновит и необходимое тоже). > Но если оно просто не собирается в принципе без наимоднявейших зависимостей - > претензии авторам фуфлофокса не умеющим в совместимость. > Кстати, убунточка решает эту проблему шнапом. И в дальнейшем собирается ее так > решать с любым софтом сложнее cat >> Остальные прекрасно себя чувствуют админя локалхост в дополнению к работе: > вместо. Не думаю что у них есть работа. Вполне есть: > fwiw I have a LinkedIn job alert set for any job with "FreeBSD". It produces on average 5 positions a week in the US Или вот https://it-notes.dragas.net/2023/03/14/how-we-are-migrating-.../
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #49 Ответы: #55

52. Сообщение от Роман (??), 18-Фев-24, 10:19	+/–
>> нода в 99% случаев (я видел что на ноде пишут, скажем так, > нет, это твой личный способ костылепердолинга. Сбавьте тон и тыканье, выглядит так себе. > В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете > в swarm и в результате в докере у вас мини-операционная система, > с костыльными заменами планировщику и иниту, которая чаще всего даже правильно > останавливаться по docker stop не обучена) Вы тут что-то проецируете, рзверните мысль внятно. > И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким > способом, и чаще всего никто не потрудится специально для тебя писать > их на другом нескучном языке когда уже есть проект на ноде. Скрипты общего назначения, тут вы уловили верно, кроме момента про "ради меня". >> и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу. > причем тут твоя любовь к пердолингу я не пойму? > И что бы тебе и bin/ls не запускать так же, от него > вреда может внезапно оказаться куда больше. Не уверен что вы сейчас все ещё про запуск сервисов, а не о чем то своём.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #50

53. Сообщение от Tron is Whistling (?), 18-Фев-24, 10:38	+/–
- маска "*" обрабатывается как последний элемент пути Мда, вот тут сразу понимаешь, что где-то рядом жабоскрипт.
Ответить \| Правка \| Наверх \| Cообщить модератору

54. Сообщение от iZEN (ok), 18-Фев-24, 13:14	+/–
> Да, такая феноменальная глупость даже им несвойственна. Ну, тру-линуксоиды надеются на дядю-дистрибутора. Вот у него всё классно получается и зависимостей (почти) никаких ненужных, так ведь? > даром греть воздух а потом ныть что buld deps ужастные и небезопастные Ох, уж эти страхи-то...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #45 Ответы: #56, #60

55. Сообщение от похъ (?), 18-Фев-24, 13:22	+/–
> Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить. не могли бы - или надо было сразу выбирать что угодно но не платформу с открытым кодом free as in free beer. > Вполне есть: > fwiw I have a LinkedIn job alert set for any job with "FreeBSD". It produces on average 5 positions a week in the US то есть на ВСЕ US у него аж пять упоминаний (упоминаний! включая "опыт удаления фреелесде с диска - is a plus" - где-то в конце второй страницы после expert windows AD knowledge required и тому подобного, и то где-нибудь в Delaware) аж за НЕДЕЛЮ? (половина из них - одни и те же позиции открываемые хрюшей каждую неделю заново) Стесняюсь спросить - ты вообще пользовался когда-нибудь линкедином? > Или вот подвальная лавка с ЕДИНСТВЕННЫМ сервером где-то в почти-бесплатной помойке OVH? Вот это бизнес так бизнес. Знаешь, до того как слуцилась чтойта - у меня таких серверов (и у хостера поприличней) было аж три. И это все еще не было работой.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #51 Ответы: #64

56. Сообщение от похъ (?), 18-Фев-24, 17:45	+1 +/–
Ну как будто ты не надеешься и каждый мэйкфайл сам написал, а не от такого же дяди и получил. И не поназапускал неглядя все стопиццот этих файликов чтоб собрать один-единственный фуфлофокс, например. И да, ненужных билд-зависимостей у них не бывает, они на билдхосте разработчиков дистрибутива остались. А вернее даже и не оставались а удалились сразу как скрипт отработал. > Ох, уж эти страхи-то... Ну и зачем ты тогда сам себе глазик-то выковырял? Через неделю обратно все собирать (еще неделю) будешь ведь, когда выяснится что нода нужна для сборки очень нужного тула без которого не собирается еще один очень нужный тул без которого не собрать примитивную программку которая тебе на самом-то деле нужна.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #54 Ответы: #57

57. Сообщение от iZEN (ok), 18-Фев-24, 20:35	+/–
> Ну как будто ты не надеешься и каждый мэйкфайл сам написал, а > не от такого же дяди и получил. > И не поназапускал неглядя все стопиццот этих файликов чтоб собрать один-единственный фуфлофокс, > например. > И да, ненужных билд-зависимостей у них не бывает, они на билдхосте разработчиков > дистрибутива остались. А вернее даже и не оставались а удалились сразу > как скрипт отработал. >> Ох, уж эти страхи-то... > Ну и зачем ты тогда сам себе глазик-то выковырял? Сам придумал — сам объяснил. :))) > Через неделю обратно > все собирать (еще неделю) будешь ведь, когда выяснится что нода нужна > для сборки очень нужного тула без которого не собирается еще один > очень нужный тул без которого не собрать примитивную программку которая тебе > на самом-то деле нужна. Порт ноды к тому времени уже будет другой версии, обновлённый, без озвученных багов — так и так пересобирать придётся. А в моём случае, если целевая программка не поменяет свою версию, то и нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #56 Ответы: #62

58. Сообщение от мяя (?), 18-Фев-24, 21:45	+/–
У него каша в голове и не приведённый в порядок поток сознания. Он пытается сказать что nodejs это словно гуёвая/клиентская платформа исходно. Зачем-то для веса попытался приплести Java и Python и сам же показал как это притянуто за уши выглядит. Конечно эти языки плохи для хайлоад серверов, но это можно было сказать адекватно, а не так. Хуже всего это вот эта строчка: > (используют не набор библиотек, а модифицированный Хромиум, а вместе это называется Electron). Для введения, node.js это не язык, это по большей части инфраструктура (можно читать как стандартная библиотека и некоторые низкоуровневые примитивы) вокруг движка V8 (исходно является реализацией языка JavaScript в обозревателе Chrome/Chromium). Родился он отдельно от электрона (нода 2009, электрон 2013), это ноду в электрон для возможностей добавили по примеру NW.js (который к слову исходно основывался на CEF), потому что API браузера не расчитаны на программирование полноценного приложения.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27

59. Сообщение от Пряник (?), 19-Фев-24, 17:09	+/–
Twised с 2002 года существует.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #41

60. Сообщение от Пряник (?), 19-Фев-24, 17:11	+/–
> Ну, тру-линуксоиды надеются на дядю-дистрибутора. Вот у него всё классно получается и зависимостей (почти) никаких ненужных, так ведь? > Ох, уж эти страхи-то...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #54