forum.opennet.ru

"Критическая уязвимость в OpenSSL 1.1.0a"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Критическая уязвимость в OpenSSL 1.1.0a"	+/–
Сообщение от Аноним84701 (?), 28-Сен-16, 14:33
> Массивы чаще всего используются так 'a[i]' или так 'a[i]=...', то есть читается > или пишется один элемент. Даже если это делается в цикле, проходящем > по всем элементам, то это ничего не меняет, проверка нужна на > каждое обращение. Нет. Нужна проверка адреса на валидность перед циклом и ширины шага в самом цикле (последнее, если не заниматься извращениями, вполне нормально проверяется компилятором). Если за один шаг цикла мы не можем перескочить "стража" .... то проверять каждое обращение конечно можно, но только "потому что гладиолус". > Этого можно избежать в языках с конструкциями each/foreach, которые > избавляют от явного индексирования, но в С их нет. Там таки обычно используются разновидности итераторов, которые или сами проверяют при каждой итерации (т.е. та же проверка, только в профиль) или, "тихой сапой", компилятором преобразуется в рановидность цикла со счетчиком. > mprotect это очень тяжелая операция, Никто не говорил, что mprotect так уж "легок", но strace ls strace time Вполне себе применяется для "разметки" границ стека или кучи.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Критическая уязвимость в OpenSSL 1.1.0a, opennews, 26-Сен-16, 17:46 [смотреть все]

Почему в критически важных программах до сих пор используют указатели, а не пров, iZEN, 26-Сен-16, 17:46 (1) //
- Потому что в критически важных программах особенно в криптографии критически в, Аноним, 26-Сен-16, 17:54 (4) //
  - Как использование ссылок вместо указателей влияет на производительность , Аноним, 26-Сен-16, 18:25 (5) //
    - Ты дурак OpenSSL написан на С, откуда там ссылки , Аноним, 26-Сен-16, 18:57 (12)
  - Но в Go как-то решили обе эти проблемы Или нет http golang-book ru chapter-08, iZEN, 27-Сен-16, 00:46 (40) //
    - http benchmarksgame alioth debian org u64q compare php lang go lang2 gcc, angra, 27-Сен-16, 02:37 (49)
      - Результат предсказуем прежде всего из-за слабенького по сравнению с GCC оптими, Led, 27-Сен-16, 03:00 (51)
        
        Если ты оптимизируешь проверки границ массивов - тормозить, конечно, перестанет,, Аноним, 27-Сен-16, 11:58 (68)
        
        Вы еще расскажите, что проверки границ достаточно крупных массивов обязятельно д, Аноним84701, 27-Сен-16, 14:31 (76)
        
        Нет, не гладиолус, а по причине того, что проверка выполняется при каждой операц, angra, 27-Сен-16, 23:38 (97)
        
        При последовательном обходе, копировании в из и т д mprotect , PROT_NONE на , Аноним84701, 28-Сен-16, 00:47 (99)
        
        Массивы чаще всего используются так a i или так a i , то есть читается , angra, 28-Сен-16, 02:15 (100)
        
        Нет Нужна проверка адреса на валидность перед циклом и ширины шага в самом цикл , Аноним84701, 28-Сен-16, 14:33 (105)
        
        for i 0 i n i if smth i m a i a i-1 a i-2 b i f a i Вот тебе, angra, 29-Сен-16, 01:34 (107)
        Ну-ну 1 То, что вариант с smth true a -1 a -2 failможно, совершен, Аноним84701, 29-Сен-16, 03:35 (108)
      - Хороший результат у Go Даже в таком виде , Аноним, 27-Сен-16, 10:23 (61)
        
        Хороший, не спорю, но Изя то говорил про полное решение проблем с производительн, angra, 27-Сен-16, 10:49 (65)
- Потому что C - это религия , Аноним, 26-Сен-16, 18:25 (6) //
  - Никогда не считал себя религиозным фанатиком, но ты мне не нравишься ушёл соби, Какаянахренразница, 27-Сен-16, 03:06 (53)
- OpenSSL написан на сишечке, там ссылок нет, Аноним, 26-Сен-16, 18:26 (7)
- Проверяемые кем Висячие ссылки не менее реальны, чем висячие указатели И потом, Аноним, 26-Сен-16, 18:28 (8) //
  - Он даже в джаве теоретик, что перед ним бисер метать , Аноним, 26-Сен-16, 19:42 (15)
- Потому, что ссылка, указатель и адрес в памяти есть тождественные синонимы одног, КО, 26-Сен-16, 22:51 (27)
- Потому что ссылки это C , а тупoрылые ретрограды которые пишут OpenSSL, и, кста, Аноним, 27-Сен-16, 00:01 (32) //
  - Как же всё-таки безнадёжно выглядят вот такие организмы, почему-то не берущие во, Michael Shigorin, 27-Сен-16, 00:11 (37) //
    - да куеватуча бест практис по секурному кодингу на сях, видать никто не читает, п, Sw00p aka Jerom, 27-Сен-16, 01:34 (43)
      - есть еще копипейст и очепятки, причём во всех языках , труляляй, 27-Сен-16, 10:46 (63)
      - А можно ссылочку , аноним2, 27-Сен-16, 15:28 (82)
        
        Гугл помощь, или примеру на cert org посмотри, там есть книжка по secure codin, Sw00p aka Jerom, 27-Сен-16, 21:21 (94)
    - Так я на C пишу И что-то дырок в моих проектах каждый день по десятку не нахо, Аноним, 28-Сен-16, 11:02 (102)
      - Джо, но где же Ваша реализация SSL-библиотеки Может быть Только что-то уже пов, Michael Shigorin, 28-Сен-16, 11:41 (103)
  - А уж генетический код то какой устаревший Все эти ДНК,РНК и т д УЖАСТЬ КАКО, невидимка, 27-Сен-16, 11:45 (67)
Фак Ну сколько можно так косячить , Онаним, 26-Сен-16, 17:47 (2) //
- Если не будет постоянных багов - программисты останутся без работы Это как с по, Аноним, 26-Сен-16, 21:14 (18) //
  - Вы так говорите, будто это что-то плохое , scor, 26-Сен-16, 23:21 (28)
  - ага и касперский пишет вирусы , Sw00p aka Jerom, 27-Сен-16, 01:36 (44) //
    - fix, Аноним, 29-Сен-16, 04:31 (109)
  - Создавать новые программы для тебя не вариант Предпочитаешь паразитировать на и, angra, 27-Сен-16, 02:32 (46) //
    - Для меня - вполне себе вариант Я говорил о сишниках и об их деятельности по мно, Сторонник прогресса, 27-Сен-16, 02:50 (50)
      - Как для маковода - вполне предсказуемые действия , Led, 27-Сен-16, 03:01 (52)
      - То ли дело Java программисты Только вперёд Если класс, то только с новой функци, curious, 27-Сен-16, 10:23 (60)
        
        К чему это или о чем , мда, 27-Сен-16, 14:31 (77)
        Не удержался , Аноним, 29-Сен-16, 08:45 (110)
      - То есть с точки зрения эльфа баги есть только в Сишных программах На php, где н, angra, 27-Сен-16, 10:47 (64)
        
        На пыхе баги в основном касаются бизнес-логики А на сишечке -- бизнес-логика , Аноним, 27-Сен-16, 12:00 (69)
        
        И много sql injections или csrf бывает в I бузинес-логике I всяких joomla с p, Michael Shigorin, 27-Сен-16, 12:23 (70)
        
        Причина ошибок что с sql-инъекциями, что со stack overflow, одна и та же невним, Аноним, 27-Сен-16, 13:18 (71)
        
        Ура Ну вот, опять сказки пошли Да-да, неломающиеся и неглючащие роботы, которы, Michael Shigorin, 27-Сен-16, 13:33 (72)
        
        Повсеместное использование query-build-еров и подстановок - сказка Отнюдь Пыхе, Аноним, 27-Сен-16, 13:48 (73)
        
        Разница между распространением и гарантией понятна Так-то и сишные функции раб, Michael Shigorin, 27-Сен-16, 13:58 (75)
        
        Слишком жЫрно Те же prepared statements появились в рен-знает-каком году В пых, Аноним84701, 27-Сен-16, 13:55 (74)
        Они уже умные и заранее работают с ДОСТАТОЧНОЙ эффективностью Работа как видите, Аноним, 27-Сен-16, 15:21 (79)
        
        Работа полицейских в плане противодействия преступности могла бы закончиться, ес, Michael Shigorin, 27-Сен-16, 15:27 (81)
        
        В моём районе есть кирпич и водители постоянно под него едут, и полицейские прие, Аноним, 27-Сен-16, 15:49 (84)
        
        Выясните, кто занимается выставлением дорожных знаков кажется, в моём аналогичн, Michael Shigorin, 27-Сен-16, 17:53 (89)
        
        Станислав Лем Звездные дневники Ийона Тихого Путешествие двадцать четвертое, Аноним, 27-Сен-16, 16:28 (85)
        
        Там не люди что до, что после гармонизации PS но всяко спасибо , Michael Shigorin, 27-Сен-16, 20:06 (93)
        
        Спасибо, посмеялся Обучаемость основной массы пыхеров это просто пять с плюсом,, angra, 27-Сен-16, 23:58 (98)
        Может случиться в любой программе на любом языке, от незнания криворукости устал, Аноним, 29-Сен-16, 08:47 (111)
- В следующих сериях нашего сериальчика Вы также увидите рассказы клоунов нашего с, Andrey Mitrofanov, 28-Сен-16, 14:53 (106)
Всем разрабам срочно нобелевскую премию за успешные попытки сделать IT мир не оч, rt, 26-Сен-16, 17:49 (3)
Кто там в соседней теме про ха-ха писал , KM, 26-Сен-16, 18:47 (9) //
- Да тут и http www opennet ru openforum vsluhforumID3 109194 html 3 спрашивали , Michael Shigorin, 26-Сен-16, 19:24 (14) //
  - Ну а куда без неё , KM, 26-Сен-16, 22:28 (26)
Еще один факт, доказывающий что в OpenSSL некомпетентные люди пилят Вообще Open, eRIC, 26-Сен-16, 18:50 (10) //
- с ситемой то будет поставляться либра, а вот половина софта из портов пакетов , Sw00p aka Jerom, 27-Сен-16, 01:38 (45) //
  - согласен, но со временем и софт с портов начнет внедрять поддержку LibreSSL , eRIC, 27-Сен-16, 07:01 (56)
  - половина в OpenBSD я недавно насчитал 6 штук или 5 причём половина из них - и, бедный буратино, 27-Сен-16, 07:05 (57)
- Void Linux как раз на либре , kachsheev, 27-Сен-16, 03:25 (54)
Шикарная формулировка This security update addresses issues that were caused b, YetAnotherOnanym, 26-Сен-16, 18:52 (11)
ну классика - В релизе X было исправленно Y ошибок Просто о том, сколько при , ALex_hha, 26-Сен-16, 19:06 (13)
Нужен еще один аудит, а потом заставить всех опеннетчиков читать код или делать, Аноним, 26-Сен-16, 21:26 (20) //
- Аноним - не читатель, аноним - писатель - , KonstantinB, 26-Сен-16, 21:48 (25) //
  - Пусть эти, как их зарегистрированные читют , Andrey Mitrofanov, 27-Сен-16, 10:39 (62)
Буратино тоже использует OpenSSL , Аноним, 26-Сен-16, 23:31 (29) //
- Интересно, с чего вдруг такое предположение, если ББ сидит на OpenBSD, где Libre, Аноним, 26-Сен-16, 23:43 (30) //
  - уже выпустили, за примерное поведениесва-бо-ду бу-ра-ти-нам , бедный буратино, 27-Сен-16, 01:22 (42)
Снова, опять , Аноним, 27-Сен-16, 08:19 (58)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру