Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Атака по захвату кошельков Electrum через zero-day уязвимост..., opennews (??), 15-Фев-18, (0) [смотреть все] Игрушечные языки такие игрушечные , Аноним (-), 12:11 , 15-Фев-18, (1) +15 // В своё время была истерия по поводу goto в результате которой про эту команду уж, A.Stahl (ok), 12:15 , 15-Фев-18, (3) +13 // Это копипастакодеры, а не программисты , pavlinux (ok), 14:01 , 15-Фев-18, (17) –9 code __label__ exit for u32 foo HUGE foo --foo for u32 bar HUGE2 , eganru (?), 17:09 , 15-Фев-18, (38) +2 // И , A.Stahl (ok), 17:25 , 15-Фев-18, (41) +5 Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен , Аноним (-), 22:30 , 15-Фев-18, (71) +2 i лучше в отдельную функцию выделить i - и это будет яркий пример костыля лиш, eganru (?), 00:15 , 16-Фев-18, (77) +1 Кстати про единорогов Правильность кода - это не пустые слова Можешь хоть ско, iPony (?), 05:58 , 16-Фев-18, (82) –4 i этакого фундаментального по голове i - я неоднократно видел как куски CENS, eganru (?), 08:32 , 16-Фев-18, (87) PS https twitter com Code_Analysis status 963450814059696129, iPony (?), 05:59 , 16-Фев-18, (83) Даёшь каждому циклу по функции А лучше - по целому классу о времена, о нрав, anomymous (?), 12:55 , 17-Фев-18, (113) bool cancel false for u32 foo HUGE foo cancel --foo for u32 ba, Аноним (-), 02:30 , 16-Фев-18, (80) По производительности уступает варианту с goto Всё в функцию и return - это да , mickvav (?), 09:26 , 16-Фев-18, (88) +1 на создание дополнительной функции должны быть серьезные аргументы добавит ли в , eganru (?), 11:12 , 16-Фев-18, (90) Конечно Гораздо же лучше одна функция на тысячи две строк и с кучей вложенных д, А (??), 23:13 , 16-Фев-18, (104) i Гораздо же лучше одна функция на тысячи две строк i - это Вы написали Я эт, eganru (?), 08:58 , 17-Фев-18, (109) В ядре Linux полно таких goto И ничего - всё нормально , anomymous (?), 12:56 , 17-Фев-18, (115) Так это твоих рук дело, аноним Приберись там, негоже оставлять после себя мусор, Anonymoustus (ok), 19:02 , 17-Фев-18, (122) Таки goto обычное дело в обработке ошибок Потому что если все профакапилось, вл, Аноним (-), 17:09 , 18-Фев-18, (127) Уговорил , Anonymoustus (ok), 20:31 , 18-Фев-18, (134) gt оверквотинг удален Сами догадаетесь, почему этот метод является ущербным , anomymous (?), 12:56 , 17-Фев-18, (114) for u32 foo HUGE foo --foo for u32 bar HUGE2 bar --bar if , Аноним (-), 15:59 , 17-Фев-18, (119) классический костыль руки отрывать , Аноним (-), 12:29 , 21-Фев-18, (140) GOTO -- нормальная команда Без нее нет жизни Для выскочить из вложенного цикла, adolfus (ok), 19:19 , 15-Фев-18, (58) +2 // Ты забыл сообщить нам что вода мокрая и у квадрата целых 4 прямых угла , A.Stahl (ok), 19:41 , 15-Фев-18, (60) –1 А нечего вложенные циклы лепить Функциональщики и вовсе без них как-то живут, и, Аноним (-), 20:59 , 15-Фев-18, (66) +1 Функциональщики и прочие маргиналы неплохо обходятся и без программирования вооб, Аноним (-), 22:20 , 15-Фев-18, (69) –4 У функциональщиков есть лямбды, Аноним (-), 12:30 , 21-Фев-18, (141) Если синтаксический разбор делать yacc-ом, то все goto он создаст сам, а в коде , mickvav (?), 09:29 , 16-Фев-18, (89) –1 Согласен В школьные годы всегда считал, что в каждом нормальном языке должна бы, Онаним (?), 06:09 , 16-Фев-18, (84) –2 // Насколько чуть Полгода хотя бы прошло , Аноним (-), 20:31 , 17-Фев-18, (123) +1 Про ассемблерный JMP такой бучи не было, Аноним (-), 14:37 , 16-Фев-18, (96) +1 // Вот да, только хотел предложить убрать JMP и оформлять всё CALL RET ами , anomymous (?), 12:57 , 17-Фев-18, (116) Т е использование eval вас смущает, а широковещательная рассылка сообщений с , pda (?), 15:48 , 15-Фев-18, (32) +3   // И что именно там смущать должно , Аноним (-), 17:39 , 15-Фев-18, (42) +2   // Может то же самое, что и вариант чисто широковещательного TCP без маршрутировани, Аноним (-), 12:35 , 21-Фев-18, (142)   Возможно, изучение протокола по новостям на опеннете - не самый лучший подход , Аноним84701 (ok), 18:14 , 15-Фев-18, (53) +1   Ты все правильно понял, у штуки проблемы с масштабированием В конце концов хипс, Аноним (-), 22:30 , 15-Фев-18, (70)   Эталон дырявости , Аноним (-), 12:12 , 15-Фев-18, (2) Питон, одним словом , Аноним (-), 12:31 , 15-Фев-18, (5) –1 // Ага, не проверите границы массивов в С - привет переполнение, рут права Не в , курлык курлык (?), 12:36 , 15-Фев-18, (6) +1 // Используй range-based for loop, передавай по ссылке, и не будет переполнения , Аноним (-), 13:51 , 15-Фев-18, (14) –1 // Так вот в чистом Си range-based и нет, она только в плюсах , trolleybus (?), 13:56 , 15-Фев-18, (15) В Си есть макросы Python лучше сравнивать с C Си - скорее системный язык , Аноним (-), 14:04 , 15-Фев-18, (18) Для любителей хайлевела на си есть libcello Там и итераторы есть, и лямбды, и ч, Аноним (-), 21:42 , 19-Фев-18, (135) Но и скорость у этого либчелло соответствующая, ближе к жабе и ЖС Сборщик мусор, Аноним (-), 22:30 , 19-Фев-18, (139) ну вот и пользуйтесь плюсами, Crazy Alex (ok), 18:34 , 15-Фев-18, (54) а мы будем и дальше за границы массива выходить Думаю так задумывалось, Он самый (?), 19:56 , 15-Фев-18, (62) Э кем задумывалось Если обо мне речь - то наоборот, я не вижу ни одной причи, Crazy Alex (ok), 21:08 , 15-Фев-18, (67) На сях в коде больше народа потом может разобраться На плюсах заканчивается тем, Аноним (-), 17:13 , 18-Фев-18, (128) Питон - высокоуровневый язык И программист, и пользователи за это платят гигант, Аноним (-), 13:59 , 15-Фев-18, (16) // удивленно глядя на пару питоновских сервисов не микро, в смысле, не падают, их , нах (?), 14:06 , 15-Фев-18, (19) –2 Дело не в Ваших сервисах Дело в том, что подобные вещи пропагандируются и пропи, Аноним (-), 14:40 , 15-Фев-18, (25) +2 убунтовцы упаковщики, а не разработчики если у них нет денег, чтобы спроектиров, Аноним (-), 14:52 , 15-Фев-18, (26) Стим работает приемлемо Не так плохо, как скайп, но и не хорошо При том до это, Аноним (-), 16:29 , 15-Фев-18, (35) Как угодно но игроделы это все-же не хипстеры И плохо, не плохо, напиши лучше и, Аноним (-), 17:53 , 18-Фев-18, (129) Всё правильно Поэтому надо строить фабрики по сжиганию программистов Слишком и, Anonymoustus (ok), 18:06 , 15-Фев-18, (51) +1 Точнее не в людях, а в пороге вхождения Пока научишься на С делать что-то удобов, Iaaa (ok), 15:25 , 15-Фев-18, (29) А что скажут анонимные аналитки о недавней уязвимости в КДЕ https www opennet , Аноним (-), 17:55 , 15-Фев-18, (47) +2 // А вот в Rust такого не было бы https doc rust-lang org std process struct Comm, Нет ты (?), 20:53 , 15-Фев-18, (63) Втыкал флешку в Plasma 5 10 с меткой тома kcalc , не запускается Похоже, что и, Аноним (-), 10:37 , 18-Фев-18, (124) Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций где нужно было бы исп, Пиони (?), 12:46 , 15-Фев-18, (7) +8 // Это Вы эталонную реализацию клиента для p2p-сети Bitmessage ещё не пробовали пис, анончег (?), 13:12 , 15-Фев-18, (8) +8 // Если без eval никак да еще и со взодящими данными то это уже вопрос компетентнос, Анонй (?), 13:26 , 15-Фев-18, (9) +7 // Не знаю как там с компетентностью писателей, но твой детектор сарказма явно неис, A.Stahl (ok), 13:35 , 15-Фев-18, (10) +5 Говорить о компетентности среди гвидобейсиководов, это как говорить в доме повеш, Аноним (-), 14:15 , 15-Фев-18, (22) –2 https www opennet ru opennews art shtml num 48038Всегда знал, что кедерасты на, Аноним (-), 17:48 , 15-Фев-18, (45) +1 Пишу на perl и не один раз встречал ситуацию где оптимальнее использовать eval , Аноним (-), 17:44 , 15-Фев-18, (43) +1 // Иногда в ИТ 8212 очень часто проблема в инструменте Точнее в том, что не с, Anonymoustus (ok), 18:09 , 15-Фев-18, (52) +1 // Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда обез, Аноним (-), 19:56 , 15-Фев-18, (61) +1 И кто же тогда будет писать и переписывать приложения для браузеров, менять ме, Аноним (-), 20:58 , 15-Фев-18, (65) +2 Действительно, я упустил из виду необходимые и важные для обезьян вещи , Аноним (-), 00:51 , 16-Фев-18, (78) А как это сделать Раньше этому препятствовал сравнительно высокий порог вхожден, Anonymoustus (ok), 22:36 , 15-Фев-18, (73) заменить их работу алгоритмами, Аноним (-), 00:52 , 16-Фев-18, (79) Проблема не в инструменте Проблема в доступе обезьяны к таковому , anomymous (?), 12:59 , 17-Фев-18, (117) Вы не путайте перловый эвал, который eval code here с питоновским эвалом, , Аноним (-), 14:26 , 16-Фев-18, (94) // подскажите в чем отличие Перл может евалить как выражение, так и блок по сутиэто, Аноним (-), 14:40 , 16-Фев-18, (97) perldoc -f evalДостаточно исчерпывающая дока , Аноним (-), 06:17 , 17-Фев-18, (107) В перле две формы eval a, если что eval , оно не влияет на скорость выполнен, Аноним (-), 06:16 , 17-Фев-18, (106) Честно говоря не встречал в перле случаев, когда евал нужен не для обработки иск, Аноним (-), 14:37 , 16-Фев-18, (95) // Выше, 106, Аноним (-), 06:20 , 17-Фев-18, (108) Либо вам не надо было встраивать бекдоры, либо вы взяли что-то похитрее вроде pi, Аноним (-), 23:37 , 15-Фев-18, (76) // на самом деле pickle для внешних данных это тоже бекдор Если нужно обмениватьс, pangolin (?), 08:24 , 16-Фев-18, (85) // Именно так Но половина пакетов поставляется с пиклами Вторая половина не имеет, Аноним (-), 18:42 , 18-Фев-18, (132) Понимаешь, веб-макака, шифрованные сообщения и криптографические ключи не очень , Аноним (-), 21:51 , 19-Фев-18, (136) Вот вам и типа безопасные языки И они от уязвимостей не застрахованы, а то тут , Аноним (-), 13:42 , 15-Фев-18, (11) // Фронты производительности, потребления ресурсов и безопасности питона прорваны , Аноним (-), 14:10 , 15-Фев-18, (20) +3 // Такое и других скриптовых языков может касаться и исполняемой в JVM Жабы тоже , Аноним (-), 10:42 , 18-Фев-18, (125) php не менее безопасный И местами более производительный А толку , PnDx (ok), 17:17 , 15-Фев-18, (39) +2 Eval внешних данных - это не уязвимость Это бэкдор , тоже Аноним (ok), 13:46 , 15-Фев-18, (12) +10 // Бэкдор - это если добавлено умышленно с целью получения несанкционированного дос, Нанобот (ok), 16:17 , 17-Фев-18, (120) // Правдоподобное отрицание plausible deniability , как термин, не зря придумали, Аноним84701 (ok), 18:02 , 17-Фев-18, (121) вот бывают же идииоты человеку не хватило возможностей языка СВЕРХвысокого уров, Xasd (ok), 13:48 , 15-Фев-18, (13) +4 // Люди не хотят думать и работать Поэтому питон, электрон и им подобные в тренде , Аноним (-), 14:54 , 15-Фев-18, (27) +5 Мозгов ему не хватило, Crazy Alex (ok), 18:38 , 15-Фев-18, (56) Ничего страшного, там ещё есть запас в 2 eval a, для любителей похакать https , ILoveIslam (?), 14:16 , 15-Фев-18, (24) +4 // Второй вполне себе напоминает бэкдор address userInput What address would you, Аноним (-), 15:08 , 15-Фев-18, (28) +1 // Это божественно , username (??), 21:09 , 16-Фев-18, (102) +1 // С каких пор codermonkey относят к священным животным , Аноним (-), 21:55 , 19-Фев-18, (137) Атака по захвату кошельков Electrum через zero-day уязвимост..., Аноним (-), 15:26 , 15-Фев-18, (30) +2 // Не просто уязвимость с eval, а передача untrusted input для выполнения в eval Э, anomymous (?), 13:01 , 17-Фев-18, (118) electrum wallets Они же шифрованные, пока пароль не введёшь Electrum не знает, Аноним (-), 15:42 , 15-Фев-18, (31) // Ну может пароль в глобальной переменной скриптонщиков всего можно ожидать Тогд, Аноним (-), 16:27 , 15-Фев-18, (34) прям все шифрованные , Аноним (-), 16:52 , 15-Фев-18, (36) а дальше беспощадный брут, Аноним (-), 15:57 , 15-Фев-18, (33) // Делать больше нечего Вешаешь кей-логгер Если не терпится, можно спровоцирова, PnDx (ok), 17:22 , 15-Фев-18, (40) я, видимо, туповат Поясните, пожалуйста, какая взаимосвязь междуPyBitmessage ни, Аноним (-), 17:04 , 15-Фев-18, (37) +1 // То, что Bitmessage используют в основном те, кто занимается криптовалютами - оно, Crazy Alex (ok), 18:39 , 15-Фев-18, (57) // я с 2013-го года имею дело с криптойв основном по работени разу не слышал про Bi, Аноним (-), 19:20 , 15-Фев-18, (59) // По-моему хайп на эту тему был лет пять назад, вместе с хайпом по поводу неймкоин, Crazy Alex (ok), 21:17 , 15-Фев-18, (68) Его пишут хипстеры и пользуются такие же хипстеры Даже не панки Cypherpunks пр, Аноним (-), 17:58 , 18-Фев-18, (130) Это прекрасно и православно , Anonymoustus (ok), 18:02 , 15-Фев-18, (49) +3 Авот на телеграме , Аноним (-), 22:31 , 15-Фев-18, (72) –1 // Минимум у одного свидетеля безопасного телеграма рвануло, найс , Аноним (-), 08:31 , 16-Фев-18, (86) Это не уязвимость, а бекдор Если проект использует eval, compile, pickle, shelv, Аноним (-), 22:59 , 15-Фев-18, (74) +1 // Насчет бэкдора - согласен Насчет припарок к питону - нет Так можно на каждый с, Аноним (-), 11:32 , 16-Фев-18, (91) // Сама по себе система не защищает Зато она даёт индикацию, что может скомпромити, Аноним (-), 22:43 , 16-Фев-18, (103) +1 After all, we are all consenting adults here , неймфаг (?), 11:46 , 16-Фев-18, (93) // Оно и видно, что доступ к кошелькам был санкционированным , Аноним (-), 23:58 , 16-Фев-18, (105) Милашка Как простыню бреда писать - так пожалуйста, как запостить туда, где она, Crazy Alex (ok), 20:25 , 16-Фев-18, (101) Знаешь, если хоть раз в жизни bitmessage увидеть - это таки может быть и уязвимо, Аноним (-), 18:01 , 18-Фев-18, (131) // Тупняк это, возможно, мельтдаун eval же удаленной строки данных - это не тупняк, Аноним (-), 18:45 , 18-Фев-18, (133) // Ты все-же посмотри код этого bitmessage, или вообще попробуй его скачать Что ту, Аноним (-), 22:04 , 19-Фев-18, (138) 1,2,5,7,11,12,13,24,30,31,33,37,49,72,74

Сообщения

[Сортировка по времени | RSS]

	32. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+3 +/–
	Сообщение от pda (?), 15-Фев-18, 15:48
	Т.е. использование eval() вас смущает, а широковещательная рассылка сообщений с попыткой их расшифровки и масштабирование этой схемы на весь мир - нет? ;-)
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	42. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+2 +/–
	Сообщение от Аноним (-), 15-Фев-18, 17:39
	> а широковещательная рассылка сообщений с попыткой > их расшифровки и масштабирование этой схемы на весь мир - нет? > ;-) И что именно там смущать должно?
	Ответить | Правка | Наверх | Cообщить модератору

	142. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+/–
	Сообщение от Аноним (-), 21-Фев-18, 12:35
	>> а широковещательная рассылка сообщений > И что именно там смущать должно? Может то же самое, что и вариант чисто широковещательного TCP без маршрутирования? Пускай все пакеты получают все узлы, кто получил чужой - просто дропает.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+1 +/–
	Сообщение от Аноним84701 (ok), 15-Фев-18, 18:14
	> Т.е. использование eval() вас смущает, а широковещательная рассылка сообщений с попыткой > их расшифровки и масштабирование этой схемы на весь мир - нет?  ;-) Возможно, "изучение" протокола по новостям на опеннете - не самый лучший подход? Автор(ы), как минимум, подумали над этим: https://bitmessage.org/bitmessage.pdf (whitepaper) > 4.  Scalability > If all nodes receive all messages, it is natural to be concerned about the system’s scalability. > To address this, we propose that after the number of messages being sent through the Bitmessage network reaches a > certain threshold, nodes begin to self‐segregate into large clusters or streams. Users would start out using > only stream 1. The stream number is encoded into each address. Streams are arranged in a hierarchy. Другое дело, что лично меня, в первую очередь бы смущал этот самый "Proof of Work" перед отсылкой (если по памяти, ибо перечитывать еще раз неохота) , который должен работать с адекватной скоростью и на лэптопе и на смартфоне. Слишком сложный PoW – и на смартфоне фиг воспользуешся. Слишком простой (или более-менее ложащийся на GPU) – и здравствуй атака Сивиллы, привет ddos и банальный спам.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	70. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+/–
	Сообщение от Аноним (-), 15-Фев-18, 22:30
	> Т.е. использование eval() вас смущает, а широковещательная рассылка сообщений с попыткой > их расшифровки и масштабирование этой схемы на весь мир - нет? ;-) Ты все правильно понял, у штуки проблемы с масштабированием. В конце концов хипстеры заметили что атакующие могут ресурсы жрать, всего-то рассылая сообщения. Они разлетятся по всей сети. Сотни трафика и места на диске под хранение спама. У вообще всех. От 1 спамера. Это ли не круто? Что сделали бидонохипстеры? Поделили хомяков на группы, тыщ по 5. Чтобы спамили не совсем броадкастом а группе до 5000 хомяков. Но анонимность стала не очень анонимная, адресат вычисляется 1 из 5000. Это тоже не очень, но лучше чем 1 из 7 миллиардов. И proof of work, как же без него. Поэтому сообщение отсылается минут 10 и дико грузится проц. Иначе заспамливают. Не всю сеть так 5000 хомяков за присест, что тоже неплохо. Поэтому на практике это работает со скоростью дохлей емыла и офгенно грузит проц. И вообще эта штука всем своим видом показывает как именно питон не тормозит.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема