forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Атака по захвату кошельков Electrum через zero-day уязвимост..., opennews (??), 15-Фев-18, (0) [смотреть все]

Игрушечные языки такие игрушечные , Аноним (-), 12:11 , 15-Фев-18, (1) +15 //

В своё время была истерия по поводу goto в результате которой про эту команду уж, A.Stahl (ok), 12:15 , 15-Фев-18, (3) +13 //

Это копипастакодеры, а не программисты , pavlinux (ok), 14:01 , 15-Фев-18, (17) –9
code __label__ exit for u32 foo HUGE foo --foo for u32 bar HUGE2 , eganru (?), 17:09 , 15-Фев-18, (38) +2 //

И , A.Stahl (ok), 17:25 , 15-Фев-18, (41) +5
Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен , Аноним (-), 22:30 , 15-Фев-18, (71) +2

i лучше в отдельную функцию выделить i - и это будет яркий пример костыля лиш, eganru (?), 00:15 , 16-Фев-18, (77) +1

Кстати про единорогов Правильность кода - это не пустые слова Можешь хоть ско, iPony (?), 05:58 , 16-Фев-18, (82) –4

i этакого фундаментального по голове i - я неоднократно видел как куски CENS, eganru (?), 08:32 , 16-Фев-18, (87)

PS https twitter com Code_Analysis status 963450814059696129, iPony (?), 05:59 , 16-Фев-18, (83)

Даёшь каждому циклу по функции А лучше - по целому классу о времена, о нрав, anomymous (?), 12:55 , 17-Фев-18, (113)

bool cancel false for u32 foo HUGE foo cancel --foo for u32 ba, Аноним (-), 02:30 , 16-Фев-18, (80)

По производительности уступает варианту с goto Всё в функцию и return - это да , mickvav (?), 09:26 , 16-Фев-18, (88) +1

на создание дополнительной функции должны быть серьезные аргументы добавит ли в , eganru (?), 11:12 , 16-Фев-18, (90)

Конечно Гораздо же лучше одна функция на тысячи две строк и с кучей вложенных д, А (??), 23:13 , 16-Фев-18, (104)

i Гораздо же лучше одна функция на тысячи две строк i - это Вы написали Я эт, eganru (?), 08:58 , 17-Фев-18, (109)
В ядре Linux полно таких goto И ничего - всё нормально , anomymous (?), 12:56 , 17-Фев-18, (115)

Так это твоих рук дело, аноним Приберись там, негоже оставлять после себя мусор, Anonymoustus (ok), 19:02 , 17-Фев-18, (122)

Таки goto обычное дело в обработке ошибок Потому что если все профакапилось, вл, Аноним (-), 17:09 , 18-Фев-18, (127)

Уговорил , Anonymoustus (ok), 20:31 , 18-Фев-18, (134)

gt оверквотинг удален Сами догадаетесь, почему этот метод является ущербным , anomymous (?), 12:56 , 17-Фев-18, (114)

for u32 foo HUGE foo --foo for u32 bar HUGE2 bar --bar if , Аноним (-), 15:59 , 17-Фев-18, (119)

классический костыль руки отрывать , Аноним (-), 12:29 , 21-Фев-18, (140)

GOTO -- нормальная команда Без нее нет жизни Для выскочить из вложенного цикла, adolfus (ok), 19:19 , 15-Фев-18, (58) +2 //

Ты забыл сообщить нам что вода мокрая и у квадрата целых 4 прямых угла , A.Stahl (ok), 19:41 , 15-Фев-18, (60) –1
А нечего вложенные циклы лепить Функциональщики и вовсе без них как-то живут, и, Аноним (-), 20:59 , 15-Фев-18, (66) +1

Функциональщики и прочие маргиналы неплохо обходятся и без программирования вооб, Аноним (-), 22:20 , 15-Фев-18, (69) –4
У функциональщиков есть лямбды, Аноним (-), 12:30 , 21-Фев-18, (141)

Если синтаксический разбор делать yacc-ом, то все goto он создаст сам, а в коде , mickvav (?), 09:29 , 16-Фев-18, (89) –1

Согласен В школьные годы всегда считал, что в каждом нормальном языке должна бы, Онаним (?), 06:09 , 16-Фев-18, (84) –2 //

Насколько чуть Полгода хотя бы прошло , Аноним (-), 20:31 , 17-Фев-18, (123) +1

Про ассемблерный JMP такой бучи не было, Аноним (-), 14:37 , 16-Фев-18, (96) +1 //

Вот да, только хотел предложить убрать JMP и оформлять всё CALL RET ами , anomymous (?), 12:57 , 17-Фев-18, (116)

Т е использование eval вас смущает, а широковещательная рассылка сообщений с , pda (?), 15:48 , 15-Фев-18, (32) +3 //

И что именно там смущать должно , Аноним (-), 17:39 , 15-Фев-18, (42) +2 //

Может то же самое, что и вариант чисто широковещательного TCP без маршрутировани, Аноним (-), 12:35 , 21-Фев-18, (142)

Возможно, изучение протокола по новостям на опеннете - не самый лучший подход , Аноним84701 (ok), 18:14 , 15-Фев-18, (53) +1
Ты все правильно понял, у штуки проблемы с масштабированием В конце концов хипс, Аноним (-), 22:30 , 15-Фев-18, (70)

Эталон дырявости , Аноним (-), 12:12 , 15-Фев-18, (2)
Питон, одним словом , Аноним (-), 12:31 , 15-Фев-18, (5) –1 //

Ага, не проверите границы массивов в С - привет переполнение, рут права Не в , курлык курлык (?), 12:36 , 15-Фев-18, (6) +1 //

Используй range-based for loop, передавай по ссылке, и не будет переполнения , Аноним (-), 13:51 , 15-Фев-18, (14) –1 //

Так вот в чистом Си range-based и нет, она только в плюсах , trolleybus (?), 13:56 , 15-Фев-18, (15)

В Си есть макросы Python лучше сравнивать с C Си - скорее системный язык , Аноним (-), 14:04 , 15-Фев-18, (18)

Для любителей хайлевела на си есть libcello Там и итераторы есть, и лямбды, и ч, Аноним (-), 21:42 , 19-Фев-18, (135)

Но и скорость у этого либчелло соответствующая, ближе к жабе и ЖС Сборщик мусор, Аноним (-), 22:30 , 19-Фев-18, (139)

ну вот и пользуйтесь плюсами, Crazy Alex (ok), 18:34 , 15-Фев-18, (54)

а мы будем и дальше за границы массива выходить Думаю так задумывалось, Он самый (?), 19:56 , 15-Фев-18, (62)

Э кем задумывалось Если обо мне речь - то наоборот, я не вижу ни одной причи, Crazy Alex (ok), 21:08 , 15-Фев-18, (67)

На сях в коде больше народа потом может разобраться На плюсах заканчивается тем, Аноним (-), 17:13 , 18-Фев-18, (128)

Питон - высокоуровневый язык И программист, и пользователи за это платят гигант, Аноним (-), 13:59 , 15-Фев-18, (16) //

удивленно глядя на пару питоновских сервисов не микро, в смысле, не падают, их , нах (?), 14:06 , 15-Фев-18, (19) –2

Дело не в Ваших сервисах Дело в том, что подобные вещи пропагандируются и пропи, Аноним (-), 14:40 , 15-Фев-18, (25) +2

убунтовцы упаковщики, а не разработчики если у них нет денег, чтобы спроектиров, Аноним (-), 14:52 , 15-Фев-18, (26)

Стим работает приемлемо Не так плохо, как скайп, но и не хорошо При том до это, Аноним (-), 16:29 , 15-Фев-18, (35)

Как угодно но игроделы это все-же не хипстеры И плохо, не плохо, напиши лучше и, Аноним (-), 17:53 , 18-Фев-18, (129)

Всё правильно Поэтому надо строить фабрики по сжиганию программистов Слишком и, Anonymoustus (ok), 18:06 , 15-Фев-18, (51) +1

Точнее не в людях, а в пороге вхождения Пока научишься на С делать что-то удобов, Iaaa (ok), 15:25 , 15-Фев-18, (29)

А что скажут анонимные аналитки о недавней уязвимости в КДЕ https www opennet , Аноним (-), 17:55 , 15-Фев-18, (47) +2 //

А вот в Rust такого не было бы https doc rust-lang org std process struct Comm, Нет ты (?), 20:53 , 15-Фев-18, (63)
Втыкал флешку в Plasma 5 10 с меткой тома kcalc , не запускается Похоже, что и, Аноним (-), 10:37 , 18-Фев-18, (124)

Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций где нужно было бы исп, Пиони (?), 12:46 , 15-Фев-18, (7) +8 //

Это Вы эталонную реализацию клиента для p2p-сети Bitmessage ещё не пробовали пис, анончег (?), 13:12 , 15-Фев-18, (8) +8 //

Если без eval никак да еще и со взодящими данными то это уже вопрос компетентнос, Анонй (?), 13:26 , 15-Фев-18, (9) +7 //

Не знаю как там с компетентностью писателей, но твой детектор сарказма явно неис, A.Stahl (ok), 13:35 , 15-Фев-18, (10) +5
Говорить о компетентности среди гвидобейсиководов, это как говорить в доме повеш, Аноним (-), 14:15 , 15-Фев-18, (22) –2

https www opennet ru opennews art shtml num 48038Всегда знал, что кедерасты на, Аноним (-), 17:48 , 15-Фев-18, (45) +1

Пишу на perl и не один раз встречал ситуацию где оптимальнее использовать eval , Аноним (-), 17:44 , 15-Фев-18, (43) +1 //

Иногда в ИТ 8212 очень часто проблема в инструменте Точнее в том, что не с, Anonymoustus (ok), 18:09 , 15-Фев-18, (52) +1 //

Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда обез, Аноним (-), 19:56 , 15-Фев-18, (61) +1

И кто же тогда будет писать и переписывать приложения для браузеров, менять ме, Аноним (-), 20:58 , 15-Фев-18, (65) +2

Действительно, я упустил из виду необходимые и важные для обезьян вещи , Аноним (-), 00:51 , 16-Фев-18, (78)

А как это сделать Раньше этому препятствовал сравнительно высокий порог вхожден, Anonymoustus (ok), 22:36 , 15-Фев-18, (73)

заменить их работу алгоритмами, Аноним (-), 00:52 , 16-Фев-18, (79)

Проблема не в инструменте Проблема в доступе обезьяны к таковому , anomymous (?), 12:59 , 17-Фев-18, (117)

Вы не путайте перловый эвал, который eval code here с питоновским эвалом, , Аноним (-), 14:26 , 16-Фев-18, (94) //

подскажите в чем отличие Перл может евалить как выражение, так и блок по сутиэто, Аноним (-), 14:40 , 16-Фев-18, (97)

perldoc -f evalДостаточно исчерпывающая дока , Аноним (-), 06:17 , 17-Фев-18, (107)

В перле две формы eval a, если что eval , оно не влияет на скорость выполнен, Аноним (-), 06:16 , 17-Фев-18, (106)

Честно говоря не встречал в перле случаев, когда евал нужен не для обработки иск, Аноним (-), 14:37 , 16-Фев-18, (95) //

Выше, 106, Аноним (-), 06:20 , 17-Фев-18, (108)

Либо вам не надо было встраивать бекдоры, либо вы взяли что-то похитрее вроде pi, Аноним (-), 23:37 , 15-Фев-18, (76) //

на самом деле pickle для внешних данных это тоже бекдор Если нужно обмениватьс, pangolin (?), 08:24 , 16-Фев-18, (85) //

Именно так Но половина пакетов поставляется с пиклами Вторая половина не имеет, Аноним (-), 18:42 , 18-Фев-18, (132)
Понимаешь, веб-макака, шифрованные сообщения и криптографические ключи не очень , Аноним (-), 21:51 , 19-Фев-18, (136)

Вот вам и типа безопасные языки И они от уязвимостей не застрахованы, а то тут , Аноним (-), 13:42 , 15-Фев-18, (11) //

Фронты производительности, потребления ресурсов и безопасности питона прорваны , Аноним (-), 14:10 , 15-Фев-18, (20) +3 //

Такое и других скриптовых языков может касаться и исполняемой в JVM Жабы тоже , Аноним (-), 10:42 , 18-Фев-18, (125)

php не менее безопасный И местами более производительный А толку , PnDx (ok), 17:17 , 15-Фев-18, (39) +2

Eval внешних данных - это не уязвимость Это бэкдор , тоже Аноним (ok), 13:46 , 15-Фев-18, (12) +10 //

Бэкдор - это если добавлено умышленно с целью получения несанкционированного дос, Нанобот (ok), 16:17 , 17-Фев-18, (120) //

Правдоподобное отрицание plausible deniability , как термин, не зря придумали, Аноним84701 (ok), 18:02 , 17-Фев-18, (121)

вот бывают же идииоты человеку не хватило возможностей языка СВЕРХвысокого уров, Xasd (ok), 13:48 , 15-Фев-18, (13) +4 //

Люди не хотят думать и работать Поэтому питон, электрон и им подобные в тренде , Аноним (-), 14:54 , 15-Фев-18, (27) +5
Мозгов ему не хватило, Crazy Alex (ok), 18:38 , 15-Фев-18, (56)

Ничего страшного, там ещё есть запас в 2 eval a, для любителей похакать https , ILoveIslam (?), 14:16 , 15-Фев-18, (24) +4 //

Второй вполне себе напоминает бэкдор address userInput What address would you, Аноним (-), 15:08 , 15-Фев-18, (28) +1 //

Это божественно , username (??), 21:09 , 16-Фев-18, (102) +1 //

С каких пор codermonkey относят к священным животным , Аноним (-), 21:55 , 19-Фев-18, (137)

Атака по захвату кошельков Electrum через zero-day уязвимост..., Аноним (-), 15:26 , 15-Фев-18, (30) +2 //

Не просто уязвимость с eval, а передача untrusted input для выполнения в eval Э, anomymous (?), 13:01 , 17-Фев-18, (118)

electrum wallets Они же шифрованные, пока пароль не введёшь Electrum не знает, Аноним (-), 15:42 , 15-Фев-18, (31) //

Ну может пароль в глобальной переменной скриптонщиков всего можно ожидать Тогд, Аноним (-), 16:27 , 15-Фев-18, (34)
прям все шифрованные , Аноним (-), 16:52 , 15-Фев-18, (36)

а дальше беспощадный брут, Аноним (-), 15:57 , 15-Фев-18, (33) //

Делать больше нечего Вешаешь кей-логгер Если не терпится, можно спровоцирова, PnDx (ok), 17:22 , 15-Фев-18, (40)

я, видимо, туповат Поясните, пожалуйста, какая взаимосвязь междуPyBitmessage ни, Аноним (-), 17:04 , 15-Фев-18, (37) +1 //

То, что Bitmessage используют в основном те, кто занимается криптовалютами - оно, Crazy Alex (ok), 18:39 , 15-Фев-18, (57) //

я с 2013-го года имею дело с криптойв основном по работени разу не слышал про Bi, Аноним (-), 19:20 , 15-Фев-18, (59) //

По-моему хайп на эту тему был лет пять назад, вместе с хайпом по поводу неймкоин, Crazy Alex (ok), 21:17 , 15-Фев-18, (68)

Его пишут хипстеры и пользуются такие же хипстеры Даже не панки Cypherpunks пр, Аноним (-), 17:58 , 18-Фев-18, (130)

Это прекрасно и православно , Anonymoustus (ok), 18:02 , 15-Фев-18, (49) +3
Авот на телеграме , Аноним (-), 22:31 , 15-Фев-18, (72) –1 //

Минимум у одного свидетеля безопасного телеграма рвануло, найс , Аноним (-), 08:31 , 16-Фев-18, (86)

Это не уязвимость, а бекдор Если проект использует eval, compile, pickle, shelv, Аноним (-), 22:59 , 15-Фев-18, (74) +1 //

Насчет бэкдора - согласен Насчет припарок к питону - нет Так можно на каждый с, Аноним (-), 11:32 , 16-Фев-18, (91) //

Сама по себе система не защищает Зато она даёт индикацию, что может скомпромити, Аноним (-), 22:43 , 16-Фев-18, (103) +1

After all, we are all consenting adults here , неймфаг (?), 11:46 , 16-Фев-18, (93) //

Оно и видно, что доступ к кошелькам был санкционированным , Аноним (-), 23:58 , 16-Фев-18, (105)

Милашка Как простыню бреда писать - так пожалуйста, как запостить туда, где она, Crazy Alex (ok), 20:25 , 16-Фев-18, (101)
Знаешь, если хоть раз в жизни bitmessage увидеть - это таки может быть и уязвимо, Аноним (-), 18:01 , 18-Фев-18, (131) //

Тупняк это, возможно, мельтдаун eval же удаленной строки данных - это не тупняк, Аноним (-), 18:45 , 18-Фев-18, (133) //

Ты все-же посмотри код этого bitmessage, или вообще попробуй его скачать Что ту, Аноним (-), 22:04 , 19-Фев-18, (138)

Сообщения [Сортировка по времени | RSS]

91. "Атака по захвату кошельков Electrum через zero-day уязвимост..." +/–

Сообщение от Аноним (-), 16-Фев-18, 11:32

Насчет бэкдора - согласен.
Насчет припарок к питону - нет. Так можно на каждый скрипт лепить сложную систему, которая не защитит в результате ни от чего. Почему не настроить профиль Selinux или Apparmor? Профиль на конкретное приложение, а не на сам питон.

Ответить | Правка | Наверх | Cообщить модератору

103. "Атака по захвату кошельков Electrum через zero-day уязвимост..." +1 +/–

Сообщение от Аноним (-), 16-Фев-18, 22:43

> Насчет припарок к питону - нет. Так можно на каждый скрипт лепить сложную систему, которая не защитит в результате ни от чего.
Сама по себе система не защищает. Зато она даёт индикацию, что может скомпромитировать модуль. Имея этот список можно уже **ать мозг разрабу напредмет того "а *ули в манифесте прописано это, ты случаем уху не ел?". Причём благодаря тому, что это энфорсится на уровне языка для вредоносности придётся задекларировать это в манифесте. То есть скрыто бекдор не внедрить, придётся написать в манифесте "мы внедрили бекдор". А проверить манифест проще и надёжнее, чем путём статического анализа выискивать бекдоры.
>Почему не настроить профиль Selinux или Apparmor? Профиль на конкретное приложение, а не на сам питон.
Вообще-то это не новая идея, в академической науке это придумали давно и реализовали в виде экспериментальных языков, как называются не помню. Хотели получить систему, позволяющие писать программы, которые доказуемо безопасны в определённом смысле. Конкретно, они имели в яп систему меток, метили секретные данные метками и доказывали, что данные, помеченные как секретные, не утекут. А потом взлетел ЯП rust, что показывает успешность такого подхода. Я предлагаю скрестить этот подход с модульностью и разрешениями.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	91. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+/–
	Сообщение от Аноним (-), 16-Фев-18, 11:32
	Насчет бэкдора - согласен. Насчет припарок к питону - нет. Так можно на каждый скрипт лепить сложную систему, которая не защитит в результате ни от чего. Почему не настроить профиль Selinux или Apparmor? Профиль на конкретное приложение, а не на сам питон.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	103. "Атака по захвату кошельков Electrum через zero-day уязвимост..."	+1 +/–
	Сообщение от Аноним (-), 16-Фев-18, 22:43
	> Насчет припарок к питону - нет. Так можно на каждый скрипт лепить сложную систему, которая не защитит в результате ни от чего. Сама по себе система не защищает. Зато она даёт индикацию, что может скомпромитировать модуль. Имея этот список можно уже *ать мозг разрабу напредмет того "а ули в манифесте прописано это, ты случаем уху не ел?". Причём благодаря тому, что это энфорсится на уровне языка для вредоносности придётся задекларировать это в манифесте. То есть скрыто бекдор не внедрить, придётся написать в манифесте "мы внедрили бекдор". А проверить манифест проще и надёжнее, чем путём статического анализа выискивать бекдоры. >Почему не настроить профиль Selinux или Apparmor? Профиль на конкретное приложение, а не на сам питон. Вообще-то это не новая идея, в академической науке это придумали давно и реализовали в виде экспериментальных языков, как называются не помню. Хотели получить систему, позволяющие писать программы, которые доказуемо безопасны в определённом смысле. Конкретно, они имели в яп систему меток, метили секретные данные метками и доказывали, что данные, помеченные как секретные, не утекут. А потом взлетел ЯП rust, что показывает успешность такого подхода. Я предлагаю скрестить этот подход с модульностью и разрешениями.
	Ответить \| Правка \| Наверх \| Cообщить модератору