The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в OpenSSL и LibreSSL, приводящая к утечке содержимого памяти

08.02.2023 13:50

Опубликованы корректирующие выпуски библиотек OpenSSL (3.0.8, 1.1.1t) и LibreSSL (3.5.4, 3.6.2) в которых устранена опасная уязвимость (CVE-2023-0286), позволяющая добиться получения содержимого произвольных областей памяти процесса при обработке подконтрольного атакующему списка отозванных сертификатов (CRL) или токена с временной меткой.

Уязвимость вызвана неправильной интерпретацией типов (Type Confusion) при обработке адреса X.400 в расширении X.509 GeneralName. В частности, адрес X.400 разбирался с использованием типа ASN1_STRING, в то время как для поля x400Address в структуре GENERAL_NAME был использован тип ASN1_TYPE, что приводило к использованию при сравнении (GENERAL_NAME_cmp) типа ASN1_TYPE вместо ASN1_STRING. При включённой проверке в списке отозванных сертификатов (выставлении в приложении флага X509_V_FLAG_CRL_CHECK) уязвимость позволяет атакующему добиться передачи произвольных указателей в функцию memcmp, что может быть использовано для чтения содержимого памяти или инициирования аварийного завершения процесса.

В большинстве ситуаций для успешного осуществления атаки злоумышленник должен контролировать используемый список отозванных сертификатов (CRL) и цепочку доверия сертификата. Атака также может быть проведена в случае контроля над одним из указанных элементов, но в этом случае в качестве точки распространения CRL должен фигурировать адрес X.400, что встречается достаточно редко. В связи с этим предполагается, что уязвимость в основном затрагивает приложения, в которых применяется собственная реализация функциональности загрузки CRL по сети.

Помимо рассмотренной проблемы в OpenSSL 3.0.8 также устранено несколько менее опасных уязвимостей:

  • CVE-2022-4304 - атака по сторонним каналам, позволяющая определить исходные данные через измерение сетевых задержек при выполнении операций RSA, использующих режимы добавочного заполнения PKCS#1 v1.5, RSA-OEAP и RSASVE. Атака представляет собой вариацию метода Блейхенбахера, суть которого в том, что атакующий на основании разной реакции сервера может отделить корректные и некорректные блоки добавочного заполнения (padding oracle), используемые для выравнивания зашифрованных данных по границе блока. Для успешного проведения атаки требуется отправка очень большого объёма пробных сообщений для расшифровки.

    С практической стороны атака, например, может быть применена для определения мастер-секрета TLS-соединения, который передаётся клиентом на сервер в зашифрованном виде. Атакующий, который имеет возможность перехватить соединение между клиентом и сервером, может восстановить значение мастер-секрета через отправку серверу большого числа пробных сообщений и анализ времени их обработки. После определения мастер-секрета атакующий может дешифровать данные, отправляемые через рассматриваемое TLS-соединение.

  • CVE-2022-4203 - чтение из области вне границ буфера при верификации сертификатов X.509 со специально оформленным полем Name. Атака может привести к аварийному завершению приложения или утечке содержимого памяти процесса, выполняемого на стороне клиента, в случае подключении к подконтрольному злоумышленнику серверу, или на стороне сервера, если сервер запрашивает аутентификацию у клиента, подконтрольного атакующему.
  • CVE-2023-0215 - обращение к области памяти после её освобождения (Use-after-free) в функции BIO_new_NDEF, применяемой для потоковой передачи данных ASN.1 через интерфейс BIO. Наиболее вероятно, что уязвимость ограничена возможностью инициирования аварийного завершения процесса.
  • CVE-2022-4450 - двойное освобождение памяти после вызова функции PEM_read_bio_ex. Предполагается, что уязвимость ограничена возможностью инициирования аварийного завершения процесса.
  • CVE-2023-0216 - некорректное разыменование указателя в функциях d2i_PKCS7(), d2i_PKCS7_bio() и d2i_PKCS7_fp() при обработке специально оформленных данных PKCS7. Уязвимость может привести к аварийному завершению процесса.
  • CVE-2023-0217 - разыменование указателя NULL при проверке открытого ключа DSA в функции EVP_PKEY_public_check(). Предполагается, что уязвимость ограничена возможностью инициирования аварийного завершения процесса.
  • CVE-2023-0401 - разыменование указателя NULL при проверке данных PKCS7. Предполагается, что уязвимость ограничена возможностью инициирования аварийного завершения процесса.


  1. Главная ссылка к новости (https://www.mail-archive.com/o...)
  2. OpenNews: Критическая уязвимость в OpenSSL
  3. OpenNews: Сайт проекта OpenSSL был взломан через уязвимость в гипервизоре хостинг-провайдера
  4. OpenNews: В OpenSSL обнаружена критическая уязвимость, которая может привести к утечке закрытых ключей (Heartbleed)
  5. OpenNews: Сервисы Mozilla Persona и Firefox Account были подвержены уязвимости в OpenSSL
  6. OpenNews: Критическая уязвимость в OpenSSL
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58622-openssl
Ключевые слова: openssl, libressl
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (155) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, полуфрактал (?), 14:59, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +14 +/
    > что может быть использовано для чтения содержимого памяти или инициирования аварийного завершения процесса.

    классика

     
     
  • 2.10, Аноним (10), 15:15, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +21 +/
    Опять сишники ненастоящими оказались.
     
     
  • 3.38, kusb (?), 16:33, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Вас послушать, так единственные проблемы с уязвимостью - сишные дырени и структуры языка. Си против Раста и наоборот, причём без уточнений - как же надоело это читать.
    Хотя для меня, как для человека между разбирающимися и не разбирающимися в программировании людьми очень удивительно, что уязвимостей столько, такое ощущение, что их больше, чем букв в программах. За гранью прогнозов. Наше IT удивительно дыряво.
    Что-то не так с самим устройством программ или с их идеей...
     
     
  • 4.42, kusb (?), 16:41, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    :)
     
  • 4.44, Аноним (44), 16:47, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Не единственные, но по статистике уязвимостей проблемы с памятью занимают в районе 70%.

    Можно сколько угодно кричать о том, что программисты плохие. Однако практика показывает, что пока код пишут люди, ошибки будут неизбежно.
    И смысл инструментов типа раста и прочих более высокоуровневых языков в том, чтобы как можно больше  проверок переложить с мясных мяшков на плечи самой машины.

     
     
  • 5.111, _kp (ok), 20:21, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>по статистике уязвимостей.. 70%..

    Так это потому что весь системный софт пишется в основном на C и C++.
    Странно, что не 99% ;)

     
  • 5.128, Аноним (128), 22:28, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не-не, там была четкая формулировка.
    "~70% of the vulnerabilities Microsoft assigns a CVE each year continue to be memory safety issues"
     
     
  • 6.220, Аноним (220), 19:39, 12/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Он так и написал. А еще у Linux Foundation, и Google Chrome схожий процент.
     
  • 4.68, asdasd (?), 17:16, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Все очень просто, это криптографические библиотеки, которые, в числе прочего, должны быть быстрыми. От сюда и начинаются всякие хитрые оптимизации, которые и ведут к таким вещам (и того-же Rust'а это точно так-же касается).
     
     
  • 5.72, Анонн (?), 17:47, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Возможно потому что они должны быть сначала надежными, а потом быстрыми?
    А не наоброт?
     
     
  • 6.144, Аноним (144), 06:43, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет. Медленные не нужны.
     
  • 5.107, пох. (?), 19:51, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    вынужден тебя огорчить, дыра ни разу не в оптимизированном коде и быстрым ему быть вообще незачем - он выполняется раз на соединение.

    Проблема что SSL/TLS - протокол придуманный м-ками получателями грантов и профессорами универов, ни разу в жизни не получавшими в подворотне в рыло от нигра.
    Просто потому что они никогда из своей тачки там не вылазят.

    Его нереально нормально написать вообще. Добавляет проблем то что openssl стоит на фундаменте ssleay написанном чуваком которому вообще пое..ть было на такие проблемы - его единственной целью было сделать чтоб https сайты хоть как-то можно было хостить на линуксах забесплатно.

     
  • 3.83, ihatenpm (?), 18:18, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    то то у несуществующих проектов - ни одной уязвимости нет
     
     
  • 4.106, пох. (?), 19:47, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    чаво это несуществующих? Я уже и CoC закомитил, и readme.md !
     
  • 4.221, Аноним (220), 19:47, 12/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Только дайте что-нибудь на раст, сразу сломаю!

    Всего тебе https://ossrank.com/p/506-rustdesk?page=1
    наилучшего

     

  • 1.2, another_one (ok), 15:00, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Повторюсь:

    Так и не понял, зачем нужен LibreSSL, если в итоге эксплойты повторяются в обоих проектах. Эталонный NIH синдром, а обещали "обеспечение высшего уровня безопасности" (с).

     
     
  • 2.8, annonn (?), 15:13, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +7 +/
    там просто неправильные С программеры
    как говорил автор 14 вариантов инициализации "зачем вы пишете с багами? просто пишите без багов!"

    вот если бы программеры были правильные, то все было бы без ошибок

     
     
  • 3.58, Аноним (58), 17:01, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    14 вариантов в плюсах, где автоматическое управление памятью больше 10 лет как уж, точно такое же как в этих ваших растах.
     
     
  • 4.104, Бьярн Страуструп (?), 19:19, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Может уже auto писать, а не ручками 14 раз? Я хоть и автор но понимаю толк в инциализации.
     
     
  • 5.118, A (?), 21:28, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Просто все 14-ть - с ошибками, повторяющимися в проектах.

    :) Вероятно.

     
  • 4.147, Аноним (147), 08:13, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ошибки всё те же, что и в Си.
     
  • 3.218, мишютка (?), 12:24, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    золотые слова
     
  • 3.222, САВА (?), 15:15, 13/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мышки, станьте ёжиками!
     
  • 2.16, Аноним (16), 15:28, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Так LibreSSL это форк OpenSSL, но с чисткой от устаревшего кода. В новости одна уязвимость относится к LibreSSL и восемь к OpenSSL.
     
     
  • 3.157, nmorozov (ok), 09:23, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это не совсем так
     

  • 1.3, ryoken (ok), 15:05, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>В частности, адрес X.400 разбирался с использованием типа ASN1_STRING, в то время как для поля x400Address в структуре GENERAL_NAME был использован тип ASN1_TYPE, что приводило к использованию при сравнении (GENERAL_NAME_cmp) типа ASN1_TYPE вместо ASN1_STRING.

    Тёплое с мягким?

     
     
  • 2.5, полуфрактал (?), 15:09, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    си и раст
     
  • 2.7, annonn (?), 15:12, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    типобезопастноть, зочем!?
    нам главное скорость и пофиг что у пол интернета будет дыра в шифровании
     
     
  • 3.18, анон (?), 15:32, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У пол-интернета дырень в прокладке между стулом и клавиатурой, дыра в шифровании тут вторично.
     
     
  • 4.21, animenimus (?), 15:37, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    великолепная идея!
    аналогично можно сказать про автомобили и прокладкой между рулем и сидушкой
    давай теперь выкинем из авто абс, есп, удержание в полосе, ну и до кучи поворотники и тормоза

    не хочешь тут выложить свой ip и пароль?

     
     
  • 5.31, анон (?), 15:53, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Предлагаю выкинуть всех костяных мешков с этой планеты в космос для оптимизации эволюции.

    >не хочешь тут выложить свой ip и пароль?

    Это нарушит законы Российской Федерации о персональных данных, поэтому - нет.

     
  • 5.108, пох. (?), 19:53, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так, прекрати подсказывать автотазу! Он уже и так половину твоего бизнес-плана реализовал.

    Учти, пешком ты от них тоже не увернешься!

     
     
  • 6.184, Аноним (184), 14:59, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо. Сегодня Вы в ударе!
     
  • 5.148, Аноним (148), 08:18, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Современные машины умеют сами останавливаться если водитель от страха лицо руками закроет.
     
     
  • 6.187, Омномним (?), 15:06, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И старые тоже умели. Достаточно тяжёлое препятствие решает проблему на раз.
     

  • 1.6, annonn (?), 15:09, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    > чтение из области вне границ буфера
    > обращение к области памяти после её освобождения
    > двойное освобождение памяти
    > некорректное разыменование указателя
    > разыменование указателя NULL

    мва-хаха! они что решили собрать все возможные типичные баги?
    воистину в слове CVE первая буква С не просто так

    наверное опять неправильные пограмисты нагадили в код
    надо было просить экспертов с пенька написать хорошо, правильно и без ошибок

     
     
  • 2.55, Вы забыли заполнить поле Name (?), 16:58, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Любители батплагов молчать!
     
     
  • 3.84, ihatenpm (?), 18:20, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А то, они же в школе маятся и на парах (я удаленщик работаю когда хочу, если что)
     
  • 2.86, ihatenpm (?), 18:22, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > правильно и без ошибок

    это у тебя кристалл глупости сформирован фанатичными представлениями об идеальном

     
  • 2.122, Аноним (122), 22:03, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и где ваш rustssl то?
     
     
  • 3.149, Аноним (148), 08:20, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/rustls/rustls

     
     
  • 4.161, Аноним (122), 10:25, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Rustls is a modern TLS library written in Rust. It uses ring for cryptography and webpki for certificate verification.

    ring exposes a Rust API and is written in a hybrid of Rust, C, and assembly language.

    Most of the C and assembly language code in ring comes from BoringSSL, and BoringSSL is derived from OpenSSL

     
     
  • 5.212, Аноним (212), 07:44, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обертка над оберткой над форком той же самой OpenSSL, в общем =\
     

  • 1.9, Аноним (9), 15:14, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > в OpenSSL 3.0.8 также устранено
    > чтение из области вне границ буфера
    > обращение к области памяти после её освобождения
    > двойное освобождение памяти
    > разыменование указателя NULL

    Господи, как же это прекрасно. Прсто бинго типичного секьюрного проекта на сишечке, на котором держиться вся мировая критическая сетевая ифраструктура.

     
     
  • 2.40, kusb (?), 16:37, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А статистический анализатор уровня выполнения справился бы с тем, чтобы найти эти проблемы?
     
     
  • 3.150, Аноним (148), 08:24, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Стати́ческий ана́лиз ко́да (англ. static code analysis) — анализ программного обеспечения, производимый (в отличие от динамического анализа) без реального выполнения исследуемых программ.

    Надо просто изобрести статический анализ уровня выполнения и он найдет все ошибки

     
     
  • 4.160, maximnik0 (?), 09:45, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Надо просто изобрести статический анализ уровня выполнения и он найдет все ошибки

    Все изобретено уже давно,просто в железе на это забили -"потенциальная адресация" ,примерный термин с английского не переводиться.Указатели заменяются специально защищёнными объектами (аппаратные атрибуты).Данные и код размещают в разной памяти.А также можно использовать микрокод,как в майфреймах.И все - 80% кривых ошибок ,особенно с памятью выявляются на аппаратном уровне.

     
     
  • 5.171, Аноним (171), 11:53, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А это точно будет работать быстрее чем java/c# и go?
    В java вместо указателей strong link. Неосвободить память и освободить дважды невозможно потому что её освобождает сборщик мусора. Обратиться за границы массива невозможно, возникнет IndexOutOfBoundsException, обратиться к пустому указателю не возможно, возникнет NullPointerException. Присвоить неправильный тип невозможно возникнет ClassCastException.
     
     
  • 6.176, maximnik0 (?), 12:45, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А это точно будет работать быстрее чем java/c# и go?

    По крайне мере на  майфреймм Ибм микрокод с атрибутами работает быстрей Явы, но там разница не критическая,и понятно что там оптимизации под микрокод. Может быть что аппаратная реализация оптимизированная под байт код будет тоже быстрая,есть же на Арм аппаратная реализация Явы.

     
     
  • 7.199, Аноним (199), 18:44, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Дело в том, что на мейнфреймах IBM есть оптимизации и для jvm. Но берут их не потому, что там hello world на микросекунды быстрее отрабатывает, а для массовой параллелизации задач, бесперебойной работы при выходе оборудования из строя и ещё немного потому, что до сих пор никого не уволили за то, что он выбрал продукцию IBM.
     
     
  • 8.203, maximnik0 (?), 22:07, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что тяжко ломаются эти майфрейммы Есть у этих аппаратов из за этого ограничения ... текст свёрнут, показать
     
  • 2.51, Вы забыли заполнить поле Name (?), 16:56, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > держиться вся мировая критическая сетевая ифраструктура

    В том числе и твой любимый безопасный язычок. Теперь живи с этим.

     
     
  • 3.59, X86 (ok), 17:06, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Раст можно переписать на расте и тогда будет тру)
     
     
  • 4.87, ARM Cortex (?), 18:23, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Rust? Мы не поставляем ни одной библиотеки и прослойки для наших ядер, и компиляторов тоже.
     
     
  • 5.200, Аноним (199), 18:46, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да это и неважно, внутри Андроида джава в основном. А больше-то применений у армов и нет особо. А не, в домашних роутерах ещё, но там от ядра всё зависит, а UI на похапе.
     

  • 1.13, Аноним (13), 15:23, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Говорят есть язык который мог бы от такого случая спасти…
     
     
  • 2.14, annonn (?), 15:25, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    только не произноси его вслух!
    а то набегут и начнут рассказывать про ножи, поваров, свободу программистов портить память когда они этого хотят и тд
     
     
  • 3.26, Аноним (26), 15:42, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >только не произноси его вслух!

    Паскаль? Ада?

     
  • 3.41, kusb (?), 16:41, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну смотри - в детстве я показывал соседке, что значит идиома "бежать сломя голову", из-за чего разбил стеклянную часть двери и сильно порезался. Кто-то бы сказал, что хорошо бы связать мне ноги чтобы я быстро не бегал, но нафиг такую защиту.
     
     
  • 4.71, vdb (?), 17:46, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Когда по делу сказать нечего, приводят аналогии и рассказывают притчи.
     
     
  • 5.73, kusb (?), 17:52, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Абстрагирование - важная вещь в понимании. Мы способны найти общее и даже общие закономерности в разных процессах и это важно.
    Я про то, что если что - много ограничений может появиться, что плохо. Не только инструментально плохо, но и психологически.
     
  • 4.139, Аноним (139), 01:53, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так borrow checker не связывает ноги
     
  • 4.182, freecoder (ok), 14:31, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Машину вы используете тоже без ремней безопасности? Они же пристёгивают вас к креслу!
     
     
  • 5.197, kusb (?), 17:32, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Машину вы используете тоже без ремней безопасности? Они же пристёгивают вас к
    > креслу!

    У меня нет машины. А вообще - я не говорил, что всегда плохи ограничения, я говорил, что плохо когда всегда ограничения, или не по теме.

     
     
  • 6.198, kusb (?), 17:34, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Впрочем я не умею пристёгиваться. Ибо редко езжу. Один раз довелось ехать в газельке на переднем сиденье. Может быть из-за этого меня выставили назад... а может из-за пакета с лошадиным говном, но возможно я его даже не просыпал на пол водителю..
     
  • 6.219, freecoder (ok), 13:10, 11/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > плохо когда всегда ограничения, или не по теме.

    Если мешают ограничения borrow checker'а, то используй сырые указатели. Никто не заставляет всегда пользоваться только ссылками.

     
  • 2.15, Каледин (?), 15:27, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ОБС (Одна Бабка Сказала)...
     
     
  • 3.46, Вы забыли заполнить поле Name (?), 16:51, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот чем бабки у подъезда занимаются... код пишут оказывается
     
  • 3.140, Аноним (139), 01:53, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А я думал это софт для стриминга
     
  • 2.45, Вы забыли заполнить поле Name (?), 16:50, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мог бы если бы на нем что-то писали
     
  • 2.89, ihatebtards (?), 18:28, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В том то и дело, что только говорят. Языком про язык любой анонимус через тор коммент на опеннете напишет.
     
  • 2.214, Аноним (-), 15:24, 10/02/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.19, animenimus (?), 15:34, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    было бы неплохо услыгать аргументы не-любителя-нпм
    даже не могу придумать как он объяснит почему это правильно
     
     
  • 2.94, ihatebtards (?), 18:42, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Раст бы помог убрать чтение данных за пределами буфера, но отказ в обслуживании ... большой текст свёрнут, показать
     
     
  • 3.100, Анонимусс (?), 19:04, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А еще double-free и use-after-free (0215, 4450).
    И разыменование указателя NULL (0217, 0401).
    Точнее он даже бы не позволил допустить такую ошибку.
    Т.е. почти все проблемы он бы решил.
     
     
  • 4.136, ihatebtards (?), 23:32, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, ждём от вас rsSSL, а покамест будем пользоваться сабжем
     
     
  • 5.141, Аноним (141), 02:38, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да вы и после rsSSL сабжем пользоваться будете, толку то.
     
     
  • 6.189, Омномним (?), 15:10, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Догадайтесь с трёх раз, почему.
    - Память не резиновая.
    - Проц законы физики тоже не нарушает.
    - 1.5 неоттестированных фичи из пары сотен - это маловато.
     
  • 5.143, Cucumber (?), 05:45, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Уже есть https://github.com/rustls/rustls
     
     
  • 6.159, Аноним (122), 09:39, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот скажи мне, растаман. Это такая шутка? Ты хоть открывал ссылку то?

    Цитирую: Rustls is a modern TLS library written in Rust. It uses ring for cryptography and webpki for certificate verification.

    Открываем этот ring:  ring exposes a Rust API and is written in a hybrid of Rust, C, and assembly language.

    Most of the C and assembly language code in ring comes from BoringSSL, and BoringSSL is derived from OpenSSL

     
     
  • 7.172, Аноним (-), 12:13, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А что не так?
    Баги в статье в криптографии? - Нет.
    Поэтому твоя отсылка на то что ring взял сишные и асм куски из BoringSSL/OpenSSL - пердеж в лужу.
     
     
  • 8.173, Аноним (122), 12:29, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты что грубишь то Отсылка на то, что это не безопасно, чекер не сможет пр... текст свёрнут, показать
     
     
  • 9.183, Анонн (?), 14:45, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Когда вы уже поймете что раст это не серебрянная пуля Он нужен чтобы из восьми ... текст свёрнут, показать
     
     
  • 10.190, Омномним (?), 15:11, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И ещё десятка три функциональных логических, внесённых при переписывании ... текст свёрнут, показать
     
     
  • 11.191, Анонин (?), 15:16, 09/02/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
     
  • 12.192, Омномним (?), 15:21, 09/02/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     
  • 10.195, Аноним (122), 16:05, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Никогда, мы считаем, что раст это ЯП, к-й решает все проблемы Он даже может авт... текст свёрнут, показать
     
  • 4.145, Аноним (144), 06:48, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    На такие [возможные] проблемы нормальный компилятор выдает предупреждения, чтобы программист их хотя бы прочитал.
     
  • 3.188, Омномним (?), 15:09, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Э, вот не надо за анимешников.
    Я дереализованный яркими дергаными фантазиями анимешник и тот самый прогер по совместительству.
     

     ....большая нить свёрнута, показать (16)

  • 1.34, Ivan_83 (ok), 16:15, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ниачом.

    Читать через memcmp() - ну удачи, сколько там, 1 байт за попытку.
    А попытки раз в час?

    Остальные "уязвимости" тоже из области эксплуатации в собственном специально подготовленном коде на своих особых данных на локалхосте.

     
  • 1.35, birdie (ok), 16:16, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Я предлагаю с этого дня удалять все комментарии где есть слово раст или rust.

    За*ло.

    Все, кто хочет видеть rust в $проект_X, приглашаются к тому, чтобы переписать код на rust и убедить upstream, чтобы ваш патч приняли.

    Все, кто думает, что rust избавит от всех уязвимостей, советую ознакомиться с типами уязвимостей и обнаружить для себя, что несколько их классов, например, ошибки в логике, rust никак не решает.

    Когда ж это закончится.

     
     
  • 2.36, Анонимусс (?), 16:31, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > и убедить upstream, чтобы ваш патч приняли.

    И как ты представляешь убедить отбитых хейтеров его принять.

    Именно, растаманы знают, от каких классов ошибкок он защищает.
    И ты можешь заметить, что из всей пачки ошибок из новости только две можно отнести к логическим -
    измерение сетевых задержек и сравнение типов ASN1_TYPE (и то с натяжкой, потому что при нормальной системе типов, при нормальных enum ее допустить крайне сложно).
    Остальное - лютейший гoвнokoд c памятью.

     
     
  • 3.43, Аноним (26), 16:42, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Остальное - лютейший гoвнokoд c памятью.

    БОльшей части этих ошибок можно было бы избежать, если бы кто-то использовал анализаторы и санитайзеры(удивлен, что их мало кто использует). Я уверен, что даже на -Wall болт положили. Поэтому нужно боротьтся и менять саму культуру разработки, а не создавать языки, которые под лычкой "модная система типов" и "боров чекер" имеют обычные анализаторы и просто не дают совершить потенциально опасное действие.  

     
     
  • 4.50, Вы забыли заполнить поле Name (?), 16:55, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Плюсую. Вот ради интереса санитайзер в проекте топика используется?
     
  • 4.53, Анонимусс (?), 16:58, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты ж понимаешь, что своим утверждением просто заявляешь разрабам openssl нacpaт... большой текст свёрнут, показать
     
     
  • 5.61, Аноним (26), 17:07, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Ты ж понимаешь, что своим утверждением просто заявляешь "разрабам openssl нacpaть на безопасность, они не включили даже варнинги не то что анализаторы"?

    Да.
    Я вообще уверен, что 90% всего opensource(и не очень)-кода написано в пьяном угаре, а так как переделывать никто не хочет, то и продолжают лепить старое. Поэтому стараюсь использовать только те программы, которые имеют маленькую кодовую базу(можно прочитать) и которые не имеют лишний функционал.
    Например, продукты движения suckless.

     
     
  • 6.92, Аноним (92), 18:35, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Только анонимы опеннета знают как правильно писать на Си. Жаль только что их никто не просит исправить все проекты мира...
     
     
  • 7.102, Аноним (26), 19:10, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Жаль только что их никто не просит исправить все проекты мира...

    А мы бы и не пошли, даже за большие деньги.
    У нас уже есть своя тайная сеть, ОС и прикладной софт, о котором смертные не знают. Нам просто незачем помогать насекомым.

     
  • 7.215, 1111 (??), 16:22, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Только анонимы опеннета знают как правильно писать на Си. Жаль только что их никто не просит исправить все проекты мира...

    они ещё умеют писать на расте, но потом весь код на расте почему то превращается в тыкв... то есть в высеры на опеннете . Программисты на расте такие токсичные потому что они уже все программы мира переписали на раст уже 18 раз,но весь код превратилсяя в токсичные высеры.

     
  • 5.69, fsb4000 (?), 17:28, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот можешь посмотреть их пайплайн: https://github.com/openssl/openssl/actions/runs/4124496105

    Для Ъ: openssl используют санитайзеры. И собирает разными компиляторами с предупреждениями.

     
  • 5.70, Анонимусс (?), 17:41, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да, часть уже видел, но бот посчитал мой коммент плохим и потер((
    Получается им это все не помогло. Печально, нужно новые инструменты.
     
  • 5.121, Аноним (122), 21:54, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Воу-воу-воу. Ок, мы поняли. Где rustssl то? Где он?
     
     
  • 6.125, Аноним (128), 22:18, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так вот же он - rustls, уже пишется!
     
  • 6.126, Аноним (126), 22:18, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Где rustssl то? Где он?

    Воу-воу-воу. Палегчи! Не всё сразу! Растовиков просто на всех не хватает, ты же и другие опеннетные онолитеги не кинулись на расте переписывать? Вот, допустим, нашелся бы такой герой, написал бы тебе rustssl, но ты бы уже кричал "а где ffmpegrust? где QEMUrust? где BlederRust?". Там столько за десятилетия на_манки_кодили, что тебе бы на тысячу лет хватило бы немногочисленных (по сравнению с сишниками) растаманов троллить. Гниленький приёмчик.

     
     
  • 7.216, 1111 (??), 16:27, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >Воу-воу-воу. Палегчи! Не всё сразу! Растовиков просто на всех не хватает, ты же и другие опеннетные онолитеги не кинулись на расте переписывать? Вот, допустим, нашелся бы такой герой, написал бы тебе rustssl, но ты бы уже кричал "а где ffmpegrust? где QEMUrust? где BlederRust?". Там столько за десятилетия на_манки_кодили, что тебе бы на тысячу лет хватило бы немногочисленных (по сравнению с сишниками) растаманов троллить. Гниленький приёмчик.

    если  растаманов так мало то почему в каждом углу их помёт и на весь интерент воняет? может это такая порода которая даёт только помёт и совсем не даёт моло... тоесть кода?

     
  • 4.90, Анонн (?), 18:32, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как отписали во внутренней ветке выше с пруфами на пайплайн - нет, у них куча всяких санитайзеров, включены варнинги (не Wall, но тем не менее) и даже fuzzing.
    И ничего им не помогло.
     
     
  • 5.95, Аноним (95), 18:54, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У раста вообще задница он при сборке себя выдаёт гигабайты предупреждений. И при сборке единственной программы, жырнолиса, ещё больше.
     
     
  • 6.98, Анонн (?), 18:58, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Может тогда нужно их просто исправлять?
    В сборке кода на си тоже можно включить хоть все ворнинги и гордо их игнорировать. И что?

    Зато в расте действительно важные вещи - это ошибка компиляции, а не ворнинг.
    Ее так просто не проигноришь.

     
     
  • 7.103, Аноним (95), 19:12, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Но если компилятор предлагает сделать хуже? С нормальным языками то же самое, может, меньше неочевидного в итоге, но проседают эффективность и читаемость. Когда разрабы не способны отключить срач в логе, это о чём то, да говорит.
     
     
  • 8.110, Анонн (?), 20:20, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если предлагает сделать хуже - ты suppress ишь ворнинг и пишешь развесистый комм... текст свёрнут, показать
     
     
  • 9.114, Аноним (95), 20:35, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Каждую неделю выходит новая версия компилятора, где всё то, к чему тебя приучали... текст свёрнут, показать
     
     
  • 10.127, Аноним (126), 22:24, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    какое фейеричное вранье Открыл старый растовский проект, который не трогал 2 го... текст свёрнут, показать
     
     
  • 11.129, Аноним (95), 22:33, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Называть вот это -- редко Даже не знаю Тут ни сами разработчики языка, ни един... текст свёрнут, показать
     
     
  • 12.130, Аноним (126), 22:41, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    с самой последней версией с дефолтными настройками... текст свёрнут, показать
     
     
  • 13.132, Аноним (95), 22:51, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Может быть, это очередной привет мир Мой привет мир тоже требует 100 гб на диск... текст свёрнут, показать
     
     
  • 14.133, Аноним (126), 22:57, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ниже тебе отписал, но ты похоже устал читать, слабенький Функционал - чтение и ... текст свёрнут, показать
     
     
  • 15.134, Аноним (95), 23:04, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Хмм, ну, ты написал это после того, как я обновил страницу И, собственно, подтв... текст свёрнут, показать
     
  • 12.131, Аноним (126), 22:45, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    перепроверил хотя обновляю сразу, как новое выходит - версия 1 67 0 Моего код... текст свёрнут, показать
     
  • 8.112, фттщтт (?), 20:23, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ты это серьезно Времена когда компилятор сделал хуже прошли лет 10 назад Сей... текст свёрнут, показать
     
     
  • 9.115, Аноним (95), 20:39, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Компилятор всегда будет делать хуже, кроме того, он не предсказуемый и с каждым ... текст свёрнут, показать
     
     
  • 10.117, Аноним (-), 21:05, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Компилятор должен соответствовать стандарту Т е - или в нем был баг ну, быва... текст свёрнут, показать
     
     
  • 11.119, Аноним (95), 21:30, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Баги или не баги, сложно сказать Что-то и баги, как с IPA, а что-то и вполне ко... большой текст свёрнут, показать
     
     
  • 12.138, Анонн (?), 00:17, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Что-то мне подсказывает, что такие вещи как будет ли переменная помещена в реги... текст свёрнут, показать
     
  • 4.168, Аноним (168), 11:06, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > этих ошибок можно было бы избежать, если бы кто-то использовал анализаторы и санитайзеры

    "Избежать" ошибок таким образом нельзя чисто по определению, потому что анализаторы и санитайзеры отлавливают ошибки уже после того, как их совершили.

    В том-то вся соль...

     
  • 4.169, Аноним (148), 11:11, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Статический анализ почти никто не использует? Зачем тратить время на его настройку и переписывание уже написанного за несколько лет, кое-как работающнго кода если можно его не тратить.

     
  • 4.170, Аноним (148), 11:22, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы программисты использовали санитайзеры и обесклычиватели https://kosmetiksavto.ru/images/catalog/tovar/_thumbs/_file609d2f126111f_x270_ тогда небывало бы большинства ошибок и не понадобились моднявые язычки с бортов чекером и лычкой системы типов.
    Но повестка навязывает язычок хотя достаточно санитайзера и обесклычивателя
     
  • 2.39, kusb (?), 16:36, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ошибки в логике, это что-то более трудное и высокоуровневое. Для того, чтобы справляться с ними компилятор должен делать предположения типа "что же подразумевалось" и может строить модель программиста.
    К сожалению у меня чувство, что мы придём к этому. Ну а потом уже и программисты будут особенно не нужны.
     
  • 2.47, Вы забыли заполнить поле Name (?), 16:53, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Либо это троил пишут, либо целенаправлено такиделают. В любом случае комментарии без тех обоснования надо удалять я считаю.
     
     
  • 3.56, kusb (?), 16:59, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Моя жизнь просто скучна и я отправляю комментарии ради них самих. Я считаю, что избыточная коммуникация - это вполне себе особенность нашего вида.
    Надеюсь к нам не прилетят болтуны из Ложной Слепоты за это.
     
     
  • 4.142, Аноним (141), 02:46, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Эх, скорей бы.
     
  • 4.210, Аноним (-), 05:38, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Моя жизнь просто скучна и я отправляю комментарии ради них самих

    Как рассказать всему миру что ты овощ. Definitive guide. Ты можешь книжку такую выпустить.

     
  • 3.211, Аноним (-), 05:39, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В любом случае комментарии без тех обоснования надо удалять я считаю.

    Если тебе не нравится некий комент, жми "сообщить модератору" и обоснуй.

     
  • 2.96, Анонн (?), 18:55, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда кто-то только начинает переписывать, то сразу же набегает куча особо одаренных с криками "зачем переписывать!", "годами же работало!"...
    А когда кто-то таки переписывает - то начинается другая песня "зачем переписали!", "это ж еще llvm тащить", "на моей некроплатформе оно не соберется, плак-плак" и тд

    Закончится это когда сишники перестануть делать такие ошибки.

     
     
  • 3.120, iZEN (ok), 21:46, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Закончится это когда сишники перестануть делать такие ошибки.

    И перейдут, наконец, к изучению языка Modula-3.

     
     
  • 4.208, Аноним (-), 05:34, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Этого не случится никогда. Слишком уж паскалеобразная гадость. А попробовав разок сишку на паскаль назад уже вообще совсем не хочется. Хоть там что.
     
  • 2.123, Аноним (126), 22:08, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Все, кто думает, что rust избавит от всех уязвимостей

    Таких "всех" почему-то придумывают только сишники и приписывают это утверждение растовикам. Растаманы всегда поправляют таких "забулдыг" (заблуждающихся) как ты и каждый раз, неустанно, тыкают тебя носом в то, что это избавит от 70% ошибок типичных сишных ошибок - ошибок работы с памятью, а 30% "логических" (как ты написал) останутся. Чудес не бывает. Забудь мантру про "от всех ошибок". И, на опережение, забудь мантру "если не от всех ошибок и 30% остается - значит нинужна". Тебе может и не нужно, ведь ответственный код ты не пишешь.

     
  • 2.124, Аноним (9), 22:17, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > За*ло. Все, кто думает, что rust избавит от всех уязвимостей

    А постоянный поток новостей о бесконечно текущих сишных проектах вас, извиняюсь не, з*л? Rust избавит не от всех, а от 70%, связанных с памятью в дырявом C/C++ - а это уже хорошо.

    > ошибки в логике, rust никак не решает.

    Странный аргумент. Ошибки в логике вообще никакик языки не решают, банально потому, что язык (и даже компилятор) не может знать, что у разработчика в голове.

     
     
  • 3.209, Аноним (-), 05:37, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В вебе сей почти нет - а поток CVEшек эвон какой. А если учесть что он еще и стимулирует подход что за кодера подумают другие - это станет какой-нибудь более легко эксплуатируемой и более вредной пакостью, типа расшифровки все и вся, детских логических атак (которые на openssl и то что использует его впрочем и сейчас прекрасно работают) и проч. С упиранием ключей или вклиниванием MITM.
     
  • 2.146, Аноним (146), 07:54, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Напиши фильтр для адблока или юзерскрипт, делов-то, если такой слабонервный.
     
  • 2.193, Аноним (193), 15:32, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто нужно доказать растерам, что всё нужно писать на паскале, а паскальщикам, что всё нужно писать на расте и стоять с попкорном, смотреть как они бурлят)
     
  • 2.196, Аноним (-), 16:33, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как подгорает от правды да? Как только очередная сишная дырень, так сразу со стороны параши раздаются возгласы сишников "запретите им нас обижать".
     

     ....большая нить свёрнута, показать (50)

  • 1.67, Аноним (67), 17:11, 08/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Непонятная фигня. Давай что-то про некрожелезо, хочу потроллить пенсичей с их 4 пнями. Сюда для этого только и захожу.
     
     
  • 2.116, Аноним (95), 20:52, 08/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Просто никто не любит безграмотных людей с тупыми вопросами. И дело вовсе не в отличиях в предпочтениях. А грамотный специалист получит уважение независимо от используемой платформы.
     

  • 1.151, Аноним (151), 08:40, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А они ведут статистику по авторам этих уязвимостей? Было бы интересно нет ли там чего-то подозрительного...
     
     
  • 2.180, Аноним (180), 14:22, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    По статистике 100% авторов - корявые сишники.
     
  • 2.206, Аноним (-), 05:29, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не знаю как насчет автырей но темп они держат изумительно: если месяц прошел без CVE в openssl, значит пентестеры и исследователи просто взяли отпуска.
     

  • 1.156, Аноним (156), 09:13, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Безопасность в голове, а не на языке. Ни одна машина в наше время не будет подсказывать как добиться безопасности, в виду того, что даже опасности машина увы тоже не понимает, а когда машина научится понимать, люди станут не нужны.
     
     
  • 2.179, Аноним (180), 14:21, 09/02/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В голове, верно. Только умная голова безопасность автоматизирует. А глупая - уповает.
     
     
  • 3.207, Аноним (-), 05:32, 10/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Автоматизация потом приводит к тому что кодер начинает считать что за него подумает вон то. И в какой-то момент продалбывает все и вся. Most dangerous time is when you feel yourself safe.

    Ну вон матрикс. Такой из себя безопасный, только end to end crypto сломали. В их дефолтной либе которую они всем раздавали. А после этого все остальное как-то уже и не важно, они провалили свое основное обещание. Кого на этом фоне мелочи волнуют?

    Впрочем openssl не лучше: это плохая либа, деланая дилетантами в крипто, которые к тому же не разу не безопасники, зато упертыне на реализации всех фич SSL/TLS. Достаточно фатальное сочетание, т.к. гарантирует жесткий багодром.

     

  • 1.175, YetAnotherOnanym (ok), 12:40, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > анализ времени их обработки

    Вознесём же благодарственную молитву спасительному джиттеру!

     
  • 1.177, Аноним (180), 14:19, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Знаете, в чем концептуальная разница между сишкой растом? Если ошибка памяти возникнет в проекте на сишке - все на неё положат и она повторится в другом месте. А если в сейф коде на расте - будет скандал и раст будут чинить. А сишка никто никогда не починит.
     
  • 1.181, Аноним (180), 14:23, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очередная поебда CVE-languages.
     
  • 1.185, Омномним (?), 15:02, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Опять в разборе ASN.1 задница.
    Выдумавшему эту нотацию надо дать орден за одну из самых невменяемых к реализации теорий, да.
     
  • 1.201, Аноним (201), 20:22, 09/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    О, отлично, видать заодно пофиксили багу, которая крашила мой второй конфиг OpenVPN. Хех, прикольно, я уже чуть не поседел из-за странных сегфолтов.
     
  • 1.205, anoni (?), 01:16, 10/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мы создаем LibreSSL так как дыры в OpenSSL нас достали, говорили они...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру