1.4, Аноним (4), 10:33, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Хейтеры Раст типа такие:
уязвимости работы с памятью это фигня, надо просто хорошо писать
| |
|
2.7, Аноним (7), 10:44, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
А разве нет? Если хорошо писать, уязвимостей не будет. Здесь написали плохо (:
| |
|
3.65, X512 (?), 12:42, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Человек Разумный хорошо писать сколь-нибудь крупные программы на Си не умеет каким бы крутым специалистом он не был. Железный медицинский факт. Людям свойственно ошибаться.
| |
|
4.143, Аноним (143), 21:32, 10/09/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Человек Разумный хорошо писать сколь-нибудь крупные программы на Си не умеет каким
> бы крутым специалистом он не был. Железный медицинский факт. Людям свойственно
> ошибаться.
Вообще-то умеет. И прекрасно летает в космос, использует в авиации, критичных областях и проч. Просто для этого надо правила вкатить - ну вот нечто наподобие MISRA, Embedded C coding standard и тому подобного. И как вы понимаете, типовой раздолбай взвоет если его заставить - вот так.
Хрустики кстати тоже выть начнут если вон те автомотивщики - рекомендации для них выкатят. Не, извините, серебряных пуль - нет. Есть - метотичная работа над проблематикой. И это не эпичный хайп - а занудная рутина, внимание к мелким деталям, и хорошо поставленные workflow.
| |
|
5.145, Аноним (-), 21:47, 10/09/2024 [^] [^^] [^^^] [ответить] | +/– | Хм а разве авиация и ракеты это не АДА А космос это всякие ThreadX Думаю ядр... большой текст свёрнут, показать | |
|
6.162, Аноним (-), 03:10, 11/09/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Там много всякого разного Никакой монополии у ады нет А чертова куча критичных... большой текст свёрнут, показать | |
|
7.173, Аноним (-), 08:43, 11/09/2024 [^] [^^] [^^^] [ответить] | +/– | Конечно можно Вопрос только в удобстве Можно и пару студентов посадить, пусть ... большой текст свёрнут, показать | |
|
8.184, Аноним (-), 13:31, 11/09/2024 [^] [^^] [^^^] [ответить] | +/– | Для хруста будет все то же самое Ибо его дефолтные рулесы - про что угодно но н... большой текст свёрнут, показать | |
|
7.187, Аноним (-), 15:04, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>факап Arian V стал самым дорогим багом в истории человечества.
а это на сколько % дороже чем Therac-25 вышло?
| |
|
|
|
|
3.83, Аноним (83), 14:05, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Здесь написали плохо (:
Подожди, еще вчера нам рассказывали про академический код Фряхи, а теперь вдруг стало плохо.
| |
|
4.92, Аноним (92), 14:20, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Одно другому не мешает.
Или тебе привести пачку академических факапов?
Погугли хотя бы про отвертку и две бериллиевые сферы.
| |
|
5.176, Аноним (83), 10:11, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Погугли хотя бы про отвертку и две бериллиевые сферы.
Не, то стартаперы были, а во фряхе Си-илита-академики, которые сколько лет уже выходят за границу буфера и используют после освобождения?
| |
5.202, Аноним (-), 12:42, 12/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Одно другому не мешает.
> Или тебе привести пачку академических факапов?
> Погугли хотя бы про отвертку и две бериллиевые сферы.
По моему они были нифига не бериллиевые а очень даже урановые, и - больше критической массы суммарно. Так что долбоклюй с отверткой - в конце концов получил свое. И, пожалуй, это 1 из самых мучительных способов склеить ласты.
| |
|
|
|
2.14, Аноним (-), 10:57, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Правильно
"Зачем вы программу с багами пишете?! Просто пишите без багов!"
Как рассказывают местные акса-калы (ну в частности тот, который даже парсер без удаления всей пользовательской базы написать не смог):
> Всё куда проще. Я в своё время тоже напрыгался с подобными вещами. А потом просто выработал для себя несколько простых правил, которые позволяют подобных ошибок избегать. В частности например, "пишешь delete - дважды проверь, что именно". Пока что работает.
Так что надо просто делать как местные гении и все наладится!
| |
|
3.111, ProfessorNavigator (ok), 16:08, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> ну в частности тот, который даже парсер без удаления всей пользовательской базы написать не смог
This is love. Извините, но взаимностью я вам ответить не могу))
| |
3.192, Аноним (192), 16:34, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
"Смог, не смог" - это демагогия в чистом виде. Вопрос не языка и не умения, а тестирования. Однако, странно такое требовать в проекте от энтузиаста, куда можно и нужно придти и сделать самому, а не языком в интернетах махать с умным видом. Так любой дурак может. И только дурак так и будет самоутверждаться.
| |
|
|
|
|
|
|
7.81, Karl Richter (?), 13:59, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Как всегда, исправлять. Компилятор Rust помогает устранить самые распространенные уязвимости, связанные с памятью. Их устранение, при разработке кода, уже закроет множество дыр, которые активно используются и встречаются в ПО.
| |
|
|
|
|
|
2.75, Ivan_83 (ok), 13:23, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет.
Хэтеры раста:
1. у растоманов хосты без ECC и слушать от них про безопасную работу с памятью просто смешно, ибо они даже не могут гарантировать что из памяти прочитано то что записано.
2. реального ущерба ноль или он стремится к нулю в денежном выражении, притом что переписывание проекта на раст будет стоить космических денег, космического времени и рискует никогда не завершится и погубить проект.
| |
|
1.5, Аноним (5), 10:39, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –8 +/– |
Неплохой список достижений сишников. Интересно, сумеют ли они сделать из него выводы...
| |
|
2.8, Аноним (-), 10:46, 10/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Естественно!
Я могу даже написать по пунктам:
0. СИ это божетсвенный дар, он совершеннен!
Кто не согласен еретик и достоен быть наказанным.
1. Все UB в СИшке необходимы!
Они позволяють делать такие вещи, которые даже предстваить трудно.
2. Нам очень важно поддержать платформу, которая умерла уже 20 лет назад.
3. Да мы уже десятки лет делаем одни и те же ошибки, но это все неправильные программисты!
4. СИ это всего лишь итнструмент, не как нож или болгарка без кожуха! Нельзя обвинять его в несовершентстве.
....
| |
|
3.10, Аноним (10), 10:53, 10/09/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
Ждём Ваши патчи переписывания ядра на руст.
И главное без блоков unsafe!!!
| |
|
4.19, пох. (?), 11:00, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
можно с блоками - ониж безопастные.
Все равно мы никаких патчей не дождемся. Ресдох - кое-как научился запускать квейк1, воистину, победа достойная 1994го года. Ой... кажется, криокамера таки потекла? Какое там тысячелетье на дворе, нельзя ли уточнить?
| |
|
5.161, Фрол (?), 02:51, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Дрю Дефолт давеча научился дум запускать на ядре, которое он за месяц (вместе с портом дума) от нечего делать написал.
а сколько лет родоксу на это понадобилось?
| |
|
6.175, пох. (?), 10:08, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
ну... может его авторы еще где-то работают, к примеру. Но в целом как-то конечно так себе дела у нескучной кодовой базы.
От Дрюши и то больше пользы человечеству - "вот волки, они санитары леса. а от хрустеров антисанитария одна"
| |
|
|
|
3.11, Аноним (-), 10:53, 10/09/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
> 2. Нам очень важно поддержать платформу, которая умерла уже 20 лет назад.
> 3. Да мы уже десятки лет делаем одни и те же ошибки, но это все неправильные программисты!
> 4. СИ это всего лишь итнструмент, не как нож или болгарка без кожуха! Нельзя обвинять его в несовершентстве.
Редокс из соседней новости ждет вас. Надеюсь, что вы как истенные ценители безопасТности запостили свои коменты - из редсдоха, а не каких-то там сишных еретических операционок.
| |
3.12, Денис Попов (?), 10:54, 10/09/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
ЖЫР.
Остается спросить: что ненавистники Си и FreeBSD делают в этой теме?
Могу сразу предложить вариант ответа: прославить Rust и Linux можно только попыткой опустить других.
| |
|
|
5.197, Аноним (197), 18:02, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Пожалуйста не надо ставить в один ряд M$ Rust и Linux. Спасибо.
Ты хотел сказать Rust и MS Linux ?
Потому, что бочку гнать, на платинового спонсора, вообще-то хамство.
| |
|
6.203, Аноним (-), 12:43, 12/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Пожалуйста не надо ставить в один ряд M$ Rust и Linux. Спасибо.
> Ты хотел сказать Rust и MS Linux ?
> Потому, что бочку гнать, на платинового спонсора, вообще-то хамство.
Так в хрусте они вообще - в совете директоров, если что :)
| |
|
7.206, Аноним (206), 13:13, 12/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Потому, что бочку гнать, на платинового спонсора, вообще-то хамство.
> Так в хрусте они вообще - в совете директоров, если что :)
А в линуксе в совете и директорах кто сидят? Волшебные гномики?
linuxfoundation.org/about/leadership
Посмотри кто Sony, Red Hat, Intel, Huawei, Qualcomm, Microsoft и тд.
Кто такая Sarah Novotny и из какой она компании?
Подсказка, она часть Azure Office.
Давай! Включай думалку)
| |
|
|
|
|
|
2.126, YetAnotherOnanym (ok), 17:55, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Неплохой список достижений сишников. Интересно, сумеют ли они сделать из него выводы...
Да, вывлод очень простой - на растовиков надеяться не приходится, они только по форумам бегать могут. Единственный выход - писать на си, с посиоянным аудитом и переаудитом своего и чужого кода.
| |
|
3.129, Фнон (-), 18:08, 10/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Да, вывлод очень простой - на растовиков надеяться не приходится, они только по форумам бегать могут.
Неправда.
Если у тебя есть выбор: пилить прикольный Редокс или погружаться в кучу сишного кода (а рядом будет дед бухтеть), то он очевидно в пользу редокса, космика или других проектов.
Диды-бракоделы уже показали свое лицо в ситуации с ядром.
> Единственный выход - писать на си, с посиоянным аудитом и переаудитом своего и чужого кода.
Звучит классно.
Я бы еще добавил: написать побольше тестов, добавить самые жествкие флаги компилятора, санитайзер, фаззинг...
Но кто это будет делать? Пока, подобное я вижу только единицах сишных проектов.
| |
|
4.136, нах. (?), 19:50, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Если у тебя есть выбор: пилить прикольный Редокс или погружаться в кучу сишного кода (а рядом
> будет дед бухтеть), то он очевидно в пользу редокса
а чего тогда ресдох до сих пор - бесполезное неработоспособное г-но?
| |
|
5.138, Аноним (-), 20:40, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> а чего тогда ресдох до сих пор - бесполезное неработоспособное г-но?
Хм.. ну дум там уже запустили)
А может просто все ушли пилить COSMIC и он уже не хуже гнома.
Надо смотреть какая цель проекта.
Если цель
Redox is an attempt to make a complete, fully-functioning, general-purpose operating system with a focus on safety, freedom, stabillity, correctness, and pragmatism.
то они честно пишут - это попытка.
С другой стороны - фря на десктопе это тоже малорабочее г-но.
С задачками "подбери железо чтобы дрова были".
Про всякие Хурды я вообще молчу.
| |
|
4.156, Ivan_83 (ok), 00:29, 11/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Чувак, оба варианта - дно.
И я тебе страшную тайну открою - прадеды и прапрадеды тебе в дом электричество страшное провели, оно ваще убивает.
| |
|
|
|
1.6, Аноним (-), 10:40, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Хахаха
> связана с целочисленным переполнением,
> может использоваться для повышения своих привилегий путем перезаписи областей памяти в системных процессах или ядре.
Где там Ivan_83 со своим фирменным
"Да да, и чо? Работает же, и ладно."
А ведь сколько анонов и не только, порвались в прошлой теме, доказывая что "UB при сложении 2 интов это очень нужно"!
| |
|
2.23, Аноним (20), 11:08, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Какое ub тут как раз все четко. А вот на русте любое действие ub. Никогда не знаешь когда тебе отстрелит ногу. Потому что время владения ногой истекло.
| |
|
3.27, пох. (?), 11:09, 10/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Какое ub тут как раз все четко. А вот на русте любое
> действие ub. Никогда не знаешь когда тебе отстрелит ногу. Потому что
> время владения ногой истекло.
придет боров и откусит, в чем проблема? Не компилитцо - нет уязвимостей.
| |
|
2.76, Ivan_83 (ok), 13:25, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Работает и ладно. (с)
Я даже ничего обновлять не стану внепланово.
Как обычно когда буду по какой то причине перезагружатся тогда и обновлюсь. Надеюсь через пару месяцев.
| |
|
3.85, Аноним (83), 14:09, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну логично, твой локалхост никому не интересен. Можешь хоть в DOS сидеть.
| |
|
4.112, Ivan_83 (ok), 17:01, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, потому что того чем меня может в теории задеть практически нет.
| |
|
3.95, Минона (ok), 14:29, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Работает и ладно. (с)
> Я даже ничего обновлять не стану внепланово.
> Как обычно когда буду по какой то причине перезагружатся тогда и обновлюсь.
> Надеюсь через пару месяцев.
Кстати, чего хотел спросить.
Фря единственная где осталась поддержка 304 дров нвидии?
В каком-нибудь актуальном линуксе есть?
| |
|
4.108, Ананий (?), 15:31, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Port: nvidia-driver-304-304.137_10
Path: /usr/ports/x11/nvidia-driver-304
Info: NVidia graphics card binary drivers for hardware OpenGL rendering
Maint: danfe@FreeBSD.org
как там в линуксах - хз
неужто умельцы с какого-нибудь gentoo неосилят?
| |
4.163, Аноним (-), 03:17, 11/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Кстати, чего хотел спросить.
> Фря единственная где осталась поддержка 304 дров нвидии?
> В каком-нибудь актуальном линуксе есть?
В эту игру можно играть и вдвоем. А вот расскажите как вы будете юзать более новые нвидии - с GPLным модулем ядра? Ессно линуховым от и до? Или новых нвидий у вас - не будет?
| |
|
5.171, Минона (ok), 08:22, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Кстати, чего хотел спросить.
>> Фря единственная где осталась поддержка 304 дров нвидии?
>> В каком-нибудь актуальном линуксе есть?
> В эту игру можно играть и вдвоем. А вот расскажите как вы
> будете юзать более новые нвидии - с GPLным модулем ядра? Ессно
> линуховым от и до? Или новых нвидий у вас - не
> будет?
Меня новые не интересуют.
Мне нужна:
1. поддержка GF 7300 GT.
2. актуальный флатпак.
Поэтому и спрашиваю в каком линуксе 1-е условие выполняется.
| |
|
6.185, Аноним (-), 13:33, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Меня новые не интересуют.
> Мне нужна:
> 1. поддержка GF 7300 GT.
> 2. актуальный флатпак.
А, ну понятно, ваша хата с краю - ничего не знаю :). А я догадываюсь к чему это все ведет.
> Поэтому и спрашиваю в каком линуксе 1-е условие выполняется.
Если честно я без понятия: не интересуюсь проприетаропроблемами. Извините.
| |
|
|
|
3.117, crypt (ok), 17:25, 10/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Работает и ладно. (с)
а нифига и не работает. как обновил до 14.1, так софт стал падать хоть пересобранный, хоть из бинарных реп. а все ваши только и говорят УМВР! надо будет перейти нафиг на RHEL10, когда он выйдет. а вы потом спрашивайте: ой, как же так! юзеры уходят! давайте новый инсталлятор забацаем что ли!
| |
|
4.157, Ivan_83 (ok), 00:32, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это ваши личные проблемы, похоже помьютеры это не для вас.
У нас на работе переход с 13 stable до 14 stable прошёл вообще не заметно для большинства.
Да и у меня дома всё так же без приключений обошлось.
| |
|
5.170, crypt (ok), 07:47, 11/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да и у меня дома всё так же без приключений обошлось.
и давно ты стал мерилом истины? может, тестирование релизов вообще отменить? просто будем давать образы тебе на проверку) "обожаю" УМВР аргумент. несмотря на его полный идиотизм, его повторяют с завидным постоянством.
| |
|
6.191, Ivan_83 (ok), 16:32, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так очевидно же что настолько глючное как вы описали никто бы не выпустил в релиз, как минимум выпускающие сами на этом сидят.
| |
|
|
|
|
|
1.13, Анонимусс (-), 10:56, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Пххх, кто там писал что БСД надежная?
Ее просто не ковыряли))
А про сами дырени вообще говорить нечего...
Лучше посмотрим на фиксы:
cgit.freebsd.org/src/commit/?id=4938f554469b
- KASSERT(reg->ushm_refcnt > 0,
+ KASSERT(reg->ushm_refcnt != 0,
...
- KASSERT(reg->ushm_refcnt > 0, ("ushm_reg %p refcnt 0", reg));
+ KASSERT(reg->ushm_refcnt != 0, ("ushm_reg %p refcnt 0", reg));
Ахаха, проверку перепутали, забыв что ushm_refcnt' unsigned.
И получили дыру 10 из 10!
cgit.freebsd.org/src/commit/?id=9c2ef102166e
+ if (tmp[len - 1] != '\0') {
+ ERRNO_SET(EINVAL);
+ return (NULL);
+ }
Игрался со строками. И проиграл.
cgit.freebsd.org/src/commit/?id=90af1336ed5e
- if (streamid > devep->ep_MaxPStreams)
+ if (streamid >= devep->ep_MaxPStreams)
И получили out-of-bounds write... я даже не знаю как это комментировать...
В общем в очередной раз лучшие погромисты на божественном йазыге доказали что они достойны своих дидов!
| |
|
2.28, Аноним (28), 11:10, 10/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Ахаха, проверку перепутали, забыв что ushm_refcnt' unsigned.
...
> погромисты на божественном йазыге
Логические ошибки можно делать на любом языке. Вброс не принят.
| |
|
3.33, Аноним (33), 11:14, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> погромисты на божественном йазыге
> Логические ошибки можно делать на любом языке. Вброс не принят.
Так вот же - чудный пакет cve-rs который позмоляет CVE без единого unsafe :). Оказывается так можно было.
| |
|
4.40, Аноним (-), 11:25, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Так вот же - чудный пакет cve-rs который позмоляет CVE без единого unsafe :). Оказывается так можно было.
Да, тот самый который приходится исправлять каждое обновление ночной сборки.
И в который пришлось написать самописный null_mute, модифицировать transmute() подменив там crate::null_mut на самописный... и даже после этого получается ошибка компиляции
error[E0133]: dereference of raw pointer is unsafe and requires unsafe function or block
error: could not compile 'cve-rs' (lib) due to previous error
Отличный пример "насколько сложно сломать Раст, даже если очень захочется"
| |
|
5.41, Аноним (41), 11:31, 10/09/2024 [^] [^^] [^^^] [ответить] | +/– | Ну так какой ЯП - такие и вулны И, собссно, что Так можно было и это не unsa... большой текст свёрнут, показать | |
|
6.47, Аноним (-), 11:43, 10/09/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
> И, собссно, что? Так можно было и это не unsafe, в чем проблемы? :)
Т.е чтобы получить CVE без единого unsafe нужно неделю пыхтеть над кодом?
Так это отличный результат!
Ты сейчас напоминаешь мужиков из анекдота про японскую бензопилу и стальной лом.
> А, именно поэтому они в stdlib'е у себя CVE недавно законопатили? :)
Ты лучше ссылку кидай.
А тебе конечно верю, но не до такой степени.
| |
|
7.146, Аноним (-), 21:50, 10/09/2024 [^] [^^] [^^^] [ответить] | +/– | Я б согласился, но там такой синтаксис что и над остальным кодом пыхтеть надо Н... большой текст свёрнут, показать | |
|
|
|
|
3.34, Анонимусс (-), 11:17, 10/09/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
> Логические ошибки можно делать на любом языке
146%!
Но на любом языке ли языке логическая ошибка приводит к Use-After-Free или записи за границу выделенного буфера?))
| |
|
4.120, Аноним (120), 17:39, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
на любом низкоуровневом
C - это продвинутый кроссплатформенный макроассемблер, не надо от него требовать того, чем он не является
| |
|
5.133, Аноним (-), 18:38, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
А что такое низкоуровневый?
(если что "делать какой-то RawBufferPointer" можно и на питоне или swift'e)
> не надо от него требовать того, чем он не является
Например корректного повторяемого выполнения при смене компилятора?
godbolt.org/z/hjhdG1fnE
| |
5.149, Аноним (-), 22:10, 10/09/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Из низкого уровня всегда можно сделать высокий Скажем libcello сложно назвать ... большой текст свёрнут, показать | |
|
|
|
2.73, Аноним (73), 13:01, 10/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Круто быть таким смелым, когда вместо тебя уже все нашли и исправили. Просто прошелся по чужим исправлениям. Ты для начала сам найди такие дыры, я уверен у тебя получится - ведь их там полным-полно
| |
2.77, Ivan_83 (ok), 13:27, 10/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
KASSERT() - это вообще отладочная фигня, у меня лично оно выбрасывается при сборке ибо я не собираюсь ядро дебажить, пока оно не начнёт стабильно падать на нужных мне действиях.
| |
|
3.150, Аноним (-), 22:12, 10/09/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
> KASSERT() - это вообще отладочная фигня, у меня лично оно выбрасывается при
> сборке ибо я не собираюсь ядро дебажить, пока оно не начнёт
> стабильно падать на нужных мне действиях.
Не хошь дебажить? Значит вот те CVE в рыло! В принципе так то - понимаемо, это опенсорс :)
| |
|
2.88, Аноним (83), 14:12, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Академиги не ошибаются, это компиляторы недостаточно умные, чтобы правильно скомпилить их UB!
| |
2.106, anon2 (?), 15:18, 10/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Ахаха, проверку перепутали, забыв что ushm_refcnt' unsigned.
Так ничего не изменилось же.
Для unsigned > 0 и != 0 эквивалентно, т.к. unsigned по-определению не может быть < 0.
| |
|
3.135, Аноним (-), 18:39, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Тише ты!
Этот фикс будет сделан на следущей неделе.
Если исправить все сразу, то можно и без работы остаться!
| |
|
2.153, Аноним (153), 23:00, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Насчет ushm_refcnt' unsigned?
Это как раз проблема рефакторингов.
Когда условия и циклы пишутся для одного. А потом меняем тип. И вуаля... Фокус удался.
При таких рефакторингах надо пошагово менять названия членов данных, перемненных и параметров, выявляя компиляцией места всех использований и переделывая их.
А потом все переименовывать взад.
Это долго. Поэтому тяп-ляп и впродакшон.
| |
|
3.164, Аноним (-), 03:22, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Насчет ushm_refcnt' unsigned?
> Это как раз проблема рефакторингов.
> Когда условия и циклы пишутся для одного. А потом меняем тип. И
> вуаля... Фокус удался.
Как говорит програмерская мудрость, иногда вместо refactor получается, увы, refucktor. Это именно тот случай,
> При таких рефакторингах надо пошагово менять названия членов данных, перемненных и параметров,
И еще нехило бы трекать варнинги с дофига ключей, в идеале все вплоть до -Wconversion какого.
| |
|
|
1.15, Аноним (28), 10:57, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Неужели нет компайл флага, который запретит приложению писать за границу выделенного буфера?
| |
|
|
3.79, Аноним (-), 13:51, 10/09/2024 [^] [^^] [^^^] [ответить] | +/– | Опус конечно занятный Они считают, что неопределённое поведение приводит к ош... большой текст свёрнут, показать | |
|
4.154, Аноним (153), 23:04, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Учитывая, что int a + int b это уже UB, то мне было бы интересно взглянуть на программу которая ʼне приводят к поведению, не определённому в стандартеʼ
Как ни странно, но только у НЕКОТОРЫХ программ. Если у тебя стоят проверки, то все нормально.
И есть возможность использовать функции для автоматизации таких проверок. Типа, запустил расчеты, они быстро посчитались, в конце проверил флаг.
И все по стандарту.
| |
4.169, Аноним (169), 06:58, 11/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> "Они считают, что неопределённое поведение приводит к ошибкам в программе, хотя на самом деле всё наоборот — это ошибки в программе приводят к поведению, не определённому в стандарте."
Ахаха, «вы просто неправильно его держите»
| |
|
3.80, Анонимусс (-), 13:58, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>это делают опции -fsanitize=bounds, -fsanitize=bounds-strict, -fsanitize=object-size, включённые в -fsanitize=undefined, так как нарушения памяти — это тоже неопределённое поведение. Они не дают 100% в защите, но достаточно хороши.
К сожалению оно плохо работает даже на простых примерах
int square(int num) {
return num * num;
}
int main() {
int a = 0;
for (int i = 0; i < INT_MAX; i++) {
a = square(i);
}
return a;
}
godbolt.org/z/zT4dn5onh
GCC 14.1
Флаги -fsanitize=undefined -Werror --pedantic-errors - именно то, что вы писали выше
И ни одного ворнинга! А переполнение вот оно))
| |
|
4.91, Tita_M (ok), 14:18, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Возможно для целочисленного переполнения нужно использовать другие опции компилятора. Comdiv пишет о -ftrapv
Плюс эти проверки работают не на этапе компиляции, а во время работы программы.
| |
|
5.96, Анонимусс (-), 14:33, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Для целочисленного переполнения должны быть другие опции компилятора.
> Comdiv пишет о -ftrapv
-ftrapv просто фиксирует поведение и UB исчезает.
А речь шла про то, что современные компиляторы не фиксируют часть UB даже при самых злых флагах ворнингов.
И ядро, насколько знаю, рекомендуют собирать именно с такими флагами (но вроде с fwrapv), как раз потому что там много омнокода, который завязан на переполнение, а когда компиляторы его оптимизируют, то все ломается.
Не помню правда, это рекомендация или требование.
А эти флаги - просто костыли подпирающие язык.
| |
|
6.166, Аноним (-), 04:03, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> -ftrapv просто фиксирует поведение и UB исчезает.
> А речь шла про то, что современные компиляторы не фиксируют часть UB
> даже при самых злых флагах ворнингов.
А ты точно переживешь самые злые? Ну тогда вкати своему коду -Wconversion. Теперь удачи это починить! :)
| |
|
5.100, гулигули (?), 14:49, 10/09/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
таки да
$ gcc -fsanitize=undefined t.c
$ ./a.out
t.c:4:16: runtime error: signed integer overflow: 46341 * 46341 cannot be represented in type 'int'
| |
|
6.101, Аноним (-), 15:08, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так это уже рантайм.
Если это вычислимые или внешние данные, то ты, при разработке, на это можешь попасть примерно никогда.
А потом, окажется что "на специально оформленных входных данных" идет переполнение и какая-то бяка.
| |
|
7.105, Tita_M (ok), 15:15, 10/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Так это уже рантайм.
А как вы сделаете проверку на численное переполнение не во время выполнения программы?
По моему даже Раст такое не может.
| |
|
|
5.200, Comdiv (ok), 22:29, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
-ftrapv в примере помог бы, но и -fsanitize=undefined вылавливает целочисленное переполнение, просто комментатор почему-то ожидал, что это произойдёт в выводе статического анализа, а надо было запустить программу:
square.c:4:16: runtime error: signed integer overflow: 46341 * 46341 cannot be represented in type 'int'
Предотвратить уязвимость из новости эти ключи бы не помогли, потому что авторы кода использовали беззнаковые величины, для которых переполнение как раз не является неопределённым поведением, и приводит лишь к молчаливому отсечению старших разрядов. Это задача, мягко говоря, не из лёгких — объяснить всем, почему для более безопасного программирования необходимо использовать числа со знаком, для которых переполнение является тем самым «страшным» неопределённым поведением.
| |
|
4.115, Ivan_83 (ok), 17:06, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Сантизайинг - это рантайм всякие штуки для отлова багов, вы бы хоть инструкцию почитали перед использованием.
| |
|
3.114, Ivan_83 (ok), 17:05, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это опции для ОТЛАДКИ!!!
Только конечнный идиот будет собирать с ними релиз и отдавать его кому то для использования.
| |
|
4.121, Tita_M (ok), 17:43, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Это опции для ОТЛАДКИ!!!
> Только конечнный идиот будет собирать с ними релиз и отдавать его кому
> то для использования.
Это на текущий момент их можно использовать в основном только для отладки из-за того, что компиляторщики не достаточно оптимизировали их для условий релизов. Но, думаю, всё только начинается для их широкого применения поскольку как минимум до компиляторщиков дошло, что с безопасностью программ на Си нужно что-то делать.
Что касается влияния на скорость, то вот, например, бенчмарк таких проверок https://vostok-space.blogspot.com/2022/09/benchmark-.html
И один из выводов в статье:
>Проверки имеют вполне приемлемую цену для того, чтобы во многих случаях их никогда не отключать даже при компиляции исходного кода на C, не говоря уже про Oberon. | |
|
5.128, Фнон (-), 18:00, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Но, думаю, всё только начинается для их широкого применения поскольку как минимум до компиляторщиков дошло, что с безопасностью программ на Си нужно что-то делать.
Сомневаюсь.
> Что касается влияния на скорость, то вот, например, бенчмарк таких проверок https://vostok-space.blogspot.com/2022/09/benchmark-.html
>>Проверки имеют вполне приемлемую цену для того, чтобы во многих случаях их никогда не отключать даже при компиляции исходного кода на C, не говоря уже про Oberon.
Там разница местами о 2х до 3х раз!
Да любой СИшник (да и не только он) удавится если ему скажут "код замедлится в 2 раза".
Проще уже на раст переписать - там исполнение сравнимо с сишкой и плюсами, а замедление будет только при компиляции (т.е у конечных пользователей его не будет)
| |
5.158, Ivan_83 (ok), 00:37, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Вам ещё учится и учится.
Сходите почитайте что такое санитайзинг и как он работает, сразу поймёте почему это никогда не должно идти в продакшин и вообще запускатся за пределами процесса отладки.
Прога которая так работает как оно под санитайзерами - нафиг не нужна, проще переписать на луа или ещё чем то.
| |
|
4.125, Фнон (-), 17:51, 10/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Это опции для ОТЛАДКИ!!!
Тебя удивляет нецелевое использование флажков?
Это вполне нормально, для людей которые привыкли срезать углы, например ускорять код за счет UB.
> Только конечнный идиот будет собирать с ними релиз и отдавать его кому то для использования.
Ты в блоге видел слово "оберон"? так вот, оно там не случайно))
| |
|
5.159, Ivan_83 (ok), 00:40, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
С - это компромис между переносимостью кода и трансляцией близкой к тому что может железо.
И все эти UB - это сознательный выбор во время проектирования языка и компилятора.
Блог - фуфло, я пролистал по диагонали.
| |
|
|
3.151, Аноним (-), 22:20, 10/09/2024 [^] [^^] [^^^] [ответить] | +/– | А не используют ubsan по 1 простой причине это ни в раз не халявно и сишка начи... большой текст свёрнут, показать | |
|
4.160, Ivan_83 (ok), 00:43, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Там не только это, санитайзер памяти выгребает все возможные страницы памяти чтобы отлавливать page fault. Это всё страшно выглядит.
Но нубы считают что это какая то безобидная опция, вроде -msse2, типа что есть что нет но в роде как лучше когда есть.
| |
|
5.165, Аноним (-), 03:56, 11/09/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Конкретно ubsan - значительно менее интрузивная штука Там просто немного кода и... большой текст свёрнут, показать | |
|
6.201, Ivan_83 (ok), 22:31, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> dir traversal
Вроде достаточно использовать openat() чтобы гарантировать что выше из диры никто не выйдет.
| |
|
7.204, Аноним (-), 13:01, 12/09/2024 [^] [^^] [^^^] [ответить] | +/– | Тебе никогда не приходило в голову что чем сложнее атакующему прорубиться - тем ... большой текст свёрнут, показать | |
|
|
|
|
|
|
1.17, Аноним (17), 10:58, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
С одной стороны, чем маргинальнее система, тем больше ненайденных закладок и дыр. С другой, чем выше популярность, тем больше заинтересованных эти дыры туда пропихнуть. Но дыры конкретно во фряхе это всегда всеобщее благо, лишняя возможность избежать цифровой тюрьмы.
| |
|
2.30, Аноним (-), 11:11, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> С одной стороны, чем маргинальнее система, тем больше ненайденных закладок и дыр.
Не думаю что это именно закладки.
Для этого нужно хотя бы надеяться что фряха получит больше чем 0.01% рынка.
> С другой, чем выше популярность, тем больше заинтересованных эти дыры туда пропихнуть.
Но глаз которые будут на код смотреть тоже будет больше.
> Но дыры конкретно во фряхе это всегда всеобщее благо, лишняя возможность избежать цифровой тюрьмы.
Да, да, "то что тебя поимеют это благо, главное что если вдруг понадобится, то ты сам сможешь себя поиметь!"
Ты наверное дверь в квартире не закрываешь? Ну вдруг ключи потеряешь?
| |
|
3.38, Аноним (17), 11:23, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Да, да, "то что тебя поимеют это благо, главное что если вдруг
> понадобится, то ты сам сможешь себя поиметь!"
> Ты наверное дверь в квартире не закрываешь? Ну вдруг ключи потеряешь?
Это моё дело, что я делаю с купленным оборудованием. Скидок за зондированность мне не давали, даже наоборот, за бренд отсыпать попросили.
| |
|
2.43, Аноним (41), 11:33, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> пропихнуть. Но дыры конкретно во фряхе это всегда всеобщее благо, лишняя
> возможность избежать цифровой тюрьмы.
А в чем именно это благо состоит и для кого именно? И нельзя ли его ремотно, чтоли, делать? :)
| |
2.67, X512 (?), 12:47, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Дырявого Си хватит на все спецслужбы и хакеров так что специально вставлять закладки не будет надобности.
| |
|
3.72, Аноним (17), 12:55, 10/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так это в проприетарных системах: вендах и прочих юниксах. В опенсорце чёт не хватает.
| |
|
4.94, Фнон (-), 14:25, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это про тот самый опенсорс, куда NSA засунула бекдор Bvp47, который тысячи глаз не замечали больше 10 лет?
Или это про другой опенсорс, где у анонов нет вирусни и бекдоров.
А можно мне к вам?
| |
|
5.113, Аноним (17), 17:01, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну видишь, была самая богатая и успешная спецслужба, а желающих то много. В том числе желающих защитить себя от таких желающих. А прятать в байткоде это буквально положить на виду, всё равно никто проверять не будет. Кстати, инструменты анализа сомнительных хаков продолжают совершенствоваться, в новом коде прятать сложнее.
| |
|
6.148, Аноним (-), 22:01, 10/09/2024 [^] [^^] [^^^] [ответить] | +/– | Хаха, сложнее Просто делаешь use-after-free opennet ru opennews art shtml num ... большой текст свёрнут, показать | |
|
|
|
|
|
1.71, 1 (??), 12:53, 10/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
забавно наблюдать, как комментаторы, много лет назад снисходительно бросающие "зачем тебе фаервол", обсуждают необходимость ухода от си
| |
|
2.127, Аноним (119), 17:58, 10/09/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
Забавно наблюдать как форс Раста вызвал обратный эффект неприятия даже у тех кто был изначально не против его.
| |
|
3.140, Аноним (140), 20:50, 10/09/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да какой это форс. Просто тролли нашли где кормиться. Им до раста дела нет.
| |
3.178, Аноним (178), 10:38, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
Подтверждаю, мне внушили неприязнь в Расту в комментариях, хотя я в жизни никогда не сталкивался с ним.
| |
|
2.132, Аноним (132), 18:35, 10/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
>много лет назад снисходительно бросающие "зачем тебе фаервол"
И в каком же конкретно году такое было?
| |
|
1.180, Аноним (180), 11:59, 11/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Отличная система. Удобная для кроссплатформенной разработки на Qt5 и Qt6, а также для отдыха (просмотр видео с Youtube и фильмов). Хорошо, что система поддерживается, а ошибки исправляются.
| |
1.194, riokor (?), 17:09, 11/09/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Система универсальная. Ставится на минималках. А после хоть сервер, хоть десктоп из неё делай.
| |
|
2.195, Аноним (195), 17:17, 11/09/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Система универсальная. Ставится на минималках. А после хоть сервер, хоть десктоп из неё делай.
А дрова где на нее искать?
Или придется, как обычно, читать сайты "какой файфай выбрать", "на каком ноуте оно вообще запустится" и тд?
| |
|
3.198, Аноним (199), 22:04, 11/09/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
TP-Link PCI-E сразу завелся. А залоченные на офтопик свистки и для самого офтопика не стоит покупать.
| |
|
4.205, Аноним (-), 13:05, 12/09/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> TP-Link PCI-E сразу завелся. А залоченные на офтопик свистки и для самого
> офтопика не стоит покупать.
"TP-Link PCI-E" может подразумевать пару дюжин довольно разных железок, так что по такому гайду можно и обломаться.
И кстати якобы-win свистки и в линухе отлично работают. Разве что с броадкомом кривизна бывает порой, но вот его еще найти - ухитриться надо. Реально только очень сильно некоторые ноуты с этим.
| |
|
|
|
|