The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Оценка типичных проблем с безопасностью для различных языков..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от opennews (??), 29-Мрт-19, 11:58 
Компания WhiteSource опубликовала (https://www.whitesourcesoftware.com/most-secure-programming-.../) результаты анализа распределения уязвимостей в зависимости от применяемых языков программирования. При рассмотрении общего распределения уязвимостей в открытых проектах, 47% всех выявленных проблем с безопасностью затрагивают программы написанные на языке Си, 17% на PHP, 12% на Java и 11% на JavaScript.


Данная статистика сильно коррелирует с популярностью того или иного языка и объёмом наработанной кодовой базы. Тем не менее, общие тенденции прослеживаются, например, язык PHP занимает (https://www.opennet.ru/opennews/art.shtml?num=49244) в рейтинге Tiobe седьмое место по популярности, но находится на втором месте по числу уязвимостей в приложениях. Язык Си более подвержен возникновению уязвимостей в силу своего низкоуровневого характера при  обработке строк и работе с памятью.

Некоторые выводы:

-  Активное внедрение автоматизированных систем тестирования, fuzzing-инструментов и программ выплаты вознаграждений за выявление уязвимостей привело к заметному всплеску уязвимостей, выявленных в 2017 и 2018 годах, при этом число опасных уязвимостей за два последних года уменьшилось. В 2017 году заметно возросло число уязвимостей, выявленных в программах на языках Си, JavaScript и PHP. В 2018 году число уязвимостей в программах на языках Си и JavaScript снизилось до показателей прошлых лет, но существенно возросло число уязвимостей, выявленных в программах на Java;


При сужении выборки только для опасных уязвимостей (CVSS выше 7) динамика сохраняется:

-  Наибольшее число выявленных за последнее время уязвимостей относятся к категориям межсайтового скриптинга (XSS), ошибок при проверка входных данных, неверно выставленных прав доступа/привилегий и утечке информации;


-  Статистика по частоте появления уязвимостей в привязке к языкам программирования:


-  В программах на языке Си наибольшее число уязвимостей, связаны с выходом за допустимые границы буфера, ошибками при проверке корректности входных данных и ненадлежащим управлением ресурсами (Race Condition, двойное освобождение памяти, обращение к данным после освобождения  и т.п.). Около 20% выявленных уязвимостей  в программах на Си отнесены к категории опасных. Наибольшее число уязвимостей в 2018 году выявлено в ядре Linux, ImageTragic, WireShark и FFmpeg.


-  PHP: межсайтовый скриптинг, подставновка SQL-кода и проблемы связанные с правами доступа и установкой привилегий. Около 20% выявленных уязвимостей отнесены к категории опасных;


-  Java: утечки информации (получение данных без наличия должных прав доступа), ошибки при проверке корректности входных данных  и  межсайтовый скриптинг (XSS). Около 10% выявленных уязвимостей отнесены к категории опасных;


    


-  JavaScript: применение ненадёжных криптографических методов (неправильная проверка сертификатов, проблемы со случайными числами, применение скомпрометированных алгоритмов, применение хэшей с коллизиями, передача важных данных в открытом виде), неправильная проверка файловых путей (например, выход за пределы базового каталога через "../") и межсайтовый скриптинг (XSS). Около 30% выявленных уязвимостей отнесены к категории опасных;


-  C++: выход за границу буфера, ошибки при проверке входных данных, утечки информации. Около 30% выявленных уязвимостей отнесены к категории опасных;


-  Python: ошибки при проверке  входных данных, проблемы с правами доступа и установкой привилегий, межсайтовый скриптинг (XSS). Около 20% выявленных уязвимостей отнесены к категории опасных;

-  Ruby: межсайтовый скриптинг (XSS), проблемы с правами доступа,  ошибки при проверке  входных данных. Около 10% выявленных уязвимостей отнесены к категории опасных.


URL: https://resources.whitesourcesoftware.com/blog-whitesource/i...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50415

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Оценка типичных проблем с безопасностью для различных языков..."  –6 +/
Сообщение от Аноним (1), 29-Мрт-19, 11:58 
про раст намеренно умолчали
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Оценка типичных проблем с безопасностью для различных языков..."  +35 +/
Сообщение от Аноним (2), 29-Мрт-19, 12:02 
Власти скрывают правду о Rust и BASIC (его же нет в списке по той же причине?).
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Оценка типичных проблем с безопасностью для различных языков..."  +5 +/
Сообщение от anonymous (??), 29-Мрт-19, 12:11 
Кодовая база ещё слишком незначительна. Да и инструментов для исследования подходящих нет, скорее всего.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Аноним (3), 29-Мрт-19, 12:04 
Паскаля нет
значит он безопасен
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Оценка типичных проблем с безопасностью для различных языков..."  +25 +/
Сообщение от Аноним (6), 29-Мрт-19, 12:15 
я на паскале 20 лет назад написал игру, до сих пор никто не взломал
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

35. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от Аноним (35), 29-Мрт-19, 14:29 
Потому что единственная копия записана на дискетку 5'25, которая 20 лет лежит в сейфе и ты ее никому не показывал?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним84701 (ok), 29-Мрт-19, 15:59 
> Потому что единственная копия записана на дискетку 5'25, которая 20 лет лежит в сейфе и ты ее никому не показывал?

Замени дискету и сейф на запароленый RAR и можешь смело писать "bulletproof software protection, uncracked for years …" (привет автору ExeCryptor ;) )


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

50. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Anonim (??), 29-Мрт-19, 18:51 
3.5!
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

61. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от axredneck (?), 29-Мрт-19, 20:54 
Потому что все копии сгинули
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

89. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Брат Анон (?), 02-Апр-19, 08:03 
Не камильфо. На кассету МЭК-90!))
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

12. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от proninyaroslavemail (ok), 29-Мрт-19, 12:33 
Интересно почему про Go не сказали. Хоть кодовая база не такая обширная, но поделий много (тот же  docker или kubernetes).
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Оценка типичных проблем с безопасностью для различных языков..."  –8 +/
Сообщение от Аноним (-), 29-Мрт-19, 13:27 
>тот же  docker или kubernetes

Go там применяется в качестве заменителя BASH.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

43. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от Аноним (43), 29-Мрт-19, 15:51 
Даёшь gRPC на баше!
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

87. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от no_likeemail (?), 01-Апр-19, 23:25 
можно с этого момента поподробнее?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

4. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Аноним (4), 29-Мрт-19, 12:10 
Похоже на фейковую налитику. Выборка мусор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Оценка типичных проблем с безопасностью для различных языков..."  +4 +/
Сообщение от Аноним (7), 29-Мрт-19, 12:21 
То что жаба с 12% и все что выше - красным, а JS с 11% - синим какбы тонко намекает - кто и что хотел сказать.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (14), 29-Мрт-19, 12:38 
Похоже очень. Например, по коммерческой статистике доля венды якобы 80% (и Linux 1%), а по нескольким независимым источникам венды 20% (что ненамного превышает Linux с его 17%).
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

34. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Аноним (34), 29-Мрт-19, 14:29 
63% сидят на маках и хромбуках? Или даже bsd?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

36. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от жека воробьев (?), 29-Мрт-19, 14:37 
видимо андроид и айос
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

40. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (34), 29-Мрт-19, 15:25 
Ну тогда он противопоставляет выборку всех устройств вообще выборке только десктопов.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от EnemyOfDemocracy (?), 29-Мрт-19, 14:54 
Если "независимые источники" перестанут хлебать смузи и проведут опрос не только в своём офисе, картина будет именно 80%/1%.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Оценка типичных проблем с безопасностью для различных языков..."  +5 +/
Сообщение от Нанобот (ok), 29-Мрт-19, 13:06 
Эксперты опеннета подвергли сомнению выводы экспертов компании whitesource
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

59. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (59), 29-Мрт-19, 20:23 
Да те ваще -- казлы по сравнению с нами, икспердами opennet-а.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

8. "Оценка типичных проблем с безопасностью для различных языков..."  +4 +/
Сообщение от Аноним (8), 29-Мрт-19, 12:21 
>Данная статистика сильно коррелирует с популярностью того или иного языка и объёмом наработанной кодовой базы

Надо было сразу разделить на частоту использования языка, а не сидеть и гадать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от Нанобот (ok), 29-Мрт-19, 13:16 
и в результате получилась бы бесполезная метрика "количество-ошибок/взятый-с-потолка-процент-популярности". уж лучше пусть останется как есть, так больше полезной информации, а уж разделить одно на другое в случае необходимости большинство читателей сможет самостоятельно
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

30. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (30), 29-Мрт-19, 13:58 
а так еще более бесполезная статистика.
такая же как, скажем, "количество абортов по странам" - самый плохой окажется китай, индия, пакистан, а какая-нибудь буркина-фасо будет в топе.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от smit (??), 29-Мрт-19, 13:17 
Данные без нормировки - пальцем в небо.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от rustgonewellemail (?), 29-Мрт-19, 12:27 
Взять и переписать всё на Rust!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Оценка типичных проблем с безопасностью для различных языков..."  +5 +/
Сообщение от Аноним (19), 29-Мрт-19, 12:46 
Для начала можно написать на расте хоть что-нибудь полезное, кроме нескольких процентов кода Firefox'а (который, похоже, скоро будет окончательно вытеснен Хромом).
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

26. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от J.L. (?), 29-Мрт-19, 13:20 
> Для начала можно написать на расте хоть что-нибудь полезное, кроме нескольких процентов
> кода Firefox'а (который, похоже, скоро будет окончательно вытеснен Хромом).

ну тока что ж было https://www.opennet.ru/opennews/art.shtml?num=50387

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

29. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (-), 29-Мрт-19, 13:30 
Я же сказал "что-нибудь полезное", а не очередной "hello world".
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

45. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (45), 29-Мрт-19, 16:21 
У вас так себе представление о hello world.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

21. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от Blind Vic (ok), 29-Мрт-19, 13:02 
> Взять и переписать всё на Rust!

На Dvast!

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

33. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от VINRARUS (ok), 29-Мрт-19, 14:25 
На shell надёжнее.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

72. "Оценка типичных проблем с безопасностью для различных языков..."  –2 +/
Сообщение от Анонимчег (?), 31-Мрт-19, 00:37 
> Взять и переписать всё на Rust!

...может только пидa...

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

91. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Брат Анон (?), 02-Апр-19, 08:06 
На Обероне же!))
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Оценка типичных проблем с безопасностью для различных языков..."  +13 +/
Сообщение от тоже Анонимemail (ok), 29-Мрт-19, 12:30 
Статистика столь же вздорна, как рейтинг TIOBE.
Уязвимости ИЩУТ в серьезном коде (это С в первую очередь) и НИКТО НИКОГДА не будет искать в 99% кода, написанного на РНР или JS.
По факту, эти "конкретные цифры" - примерная оценка риска превращения сферического коня в вакууме в сверхновую.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 29-Мрт-19, 17:11 
> НИКТО НИКОГДА не будет искать в 99% кода, написанного на РНР или JS.

Доооо... учитывая, что поиметь хомячка (стырить номер кредитки или помайнить крипту) легче всего именно через хакнутый сайт на Пыхе.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

48. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от тоже Анонимemail (ok), 29-Мрт-19, 17:42 
Вот только сайты на Пыхе, взлом которых хотя бы теоретически может окупиться, составляют менее 1% кода, написанного на Пыхе.
Ломать могут популярные CMS, например. Это ложка соли (причем сплошь и рядом вполне приличной и безопасной) в море говнокода на Пыхе, которым завален интернет.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

49. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от Аноним (49), 29-Мрт-19, 18:15 
Ну, если конь оладает достаточной массой для зажигания термоядерной реакции, то почему нет-то...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Оценка типичных проблем с безопасностью для различных языков..."  +3 +/
Сообщение от Аноним (19), 29-Мрт-19, 12:36 
C++ - это неточная характеристика. Это может быть Си, Си с классами, Си++ 98, С++11/14/17 - и всё это фактически разные языки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от J.L. (?), 29-Мрт-19, 13:21 
> C++ - это неточная характеристика. Это может быть Си, Си с классами,
> Си++ 98, С++11/14/17 - и всё это фактически разные языки.

//оффтоп
я был лучшего мнения о мире Си*

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

73. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от InuYasha (?), 31-Мрт-19, 12:31 
Если руки не ижжопы, то одно является суперклассом другого и обратно совместимо. Так что, всякие C++123456 используют немногие программисты. В основном - те, кто хотел и просил новые фичи, и те, кто только начал изучать ЯП.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

18. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от Андрей (??), 29-Мрт-19, 12:43 
Заодно видно, что в отличие от Си открытого софта на Си++ совсем немного.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Оценка типичных проблем с безопасностью для различных языков..."  +5 +/
Сообщение от Аноним (19), 29-Мрт-19, 12:50 
Ну да, всякие там Хромиумы, Огнелисы, Электроны, нодджэйэсы с джавамашинами, Либреофисы и прочие КДЕ с Qt не в счёт.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

67. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от Андрей (??), 30-Мрт-19, 01:34 
Большие legacy проекты. Но на этом список и заканчивается.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от KonstantinB (ok), 29-Мрт-19, 13:06 
На Visual Basic-е 0%. Срочно все переходим на Visual Basic!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от mumu (ok), 29-Мрт-19, 14:04 
Для C++ в точности тот же набор ошибок, что и для C (даже порядок примерно тот же). При этом он ничуть не менее популярный. Но в рейтинге почему-то значительно ниже.
Я чего-то не понимаю, для него доступны лучшие анализаторы или что?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (-), 29-Мрт-19, 14:24 
Просто те ошибки в "С++", вроде выхода за границы буфера, на самом деле из подмножества Си. Если не писать на С++ как на Си, то и ошибок этих нет.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

54. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от Аноним (59), 29-Мрт-19, 19:31 
Процедурное программирование до сих пор остаётся самым верным направлением для нынешних ЭВМ, поэтому не язык виноват, а его дырозатыкательное использование. Если кому-то нужны классы, то тут вы совершенно правы: используйте Си++, но это частный случай. В остальных -- только Си, только истинна!
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

70. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от Mr. Smith (?), 30-Мрт-19, 17:50 
> Процедурное программирование до сих пор остаётся самым верным направлением для нынешних
> ЭВМ, поэтому не язык виноват, а его дырозатыкательное использование. Если кому-то
> нужны классы, то тут вы совершенно правы: используйте Си++, но это
> частный случай. В остальных -- только Си, только истинна!
>Why, Mr. Anderson, why? Why, why do you do it? Why, why get up? Why keep fighting? Do you believe you're fighting for something, for more than your survival? Can you tell me what it is, do you even know? Is it freedom or truth, perhaps peace — could it be for love? Illusions, Mr. Anderson, vagaries of perception. Temporary constructs of a feeble human intellect trying desperately to justify an existence that is without meaning or purpose. And all of them as artificial as the Matrix itself. Although, only a human mind could invent something as insipid as love. You must be able to see it, Mr. Anderson, you must know it by now! You can't win, it's pointless to keep fighting! Why, Mr. Anderson, why, why do you persist?
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

37. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (37), 29-Мрт-19, 14:40 
Ну, то есть, самый безопасный язык - Ruby.... Логично, что он так популярен для веба.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от аноним3 (?), 29-Мрт-19, 16:58 
линь тоже считался очень безопасной системой пока его не начали использовать на 80% серверов в интернете))) а потом... потом начался поиск дыр. и как мы видим идет до сих пор. одно хорошо пока никто не додумался переписать политику прав доступа иначе уже гуляли бы вирусы и антивири под линя повсюду)) а мак в свое время тоже не знал , что такое антивирь(еще на powerG), но перевели на интелл и вуаля , стал не на много лучше винды.))
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

57. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от анонн (?), 29-Мрт-19, 20:04 
> линь тоже считался очень безопасной системой пока его не начали использовать на
> 80% серверов в интернете))) а потом...

Сначала, для использования на 80% серверов увеличили на 800% кодовую базу на 146% худшего качества кодом (цифры, как и у предыдущего анонима, взяты от балды).
Ну и про "считался очень безопасной" - это все же не в нашей вселенной.


Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

63. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от аноним3 (?), 29-Мрт-19, 22:23 
а я о чем. безопасно только выключить свет)) и то не всегда)) чем реже используется ось, тем меньше знают о её дырах. а они есть всегда. если не в самой программе, то в её стыковке с другими. так что нет безопасных программ, как и языков программирования. в си/с++ так много ошибок выявили только потому , что на них написана подавляющая часть кода. ну и они более требовательны к знанию языка и железа. это как управлять авто с механикой или автоматом. и то и то едет, но на механике ты управляешь действительно полностью и сам. так что много косяков от ручного управления теми , кто недостаточно готов.)
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

64. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от анонн (?), 29-Мрт-19, 22:38 
> это как управлять авто с механикой
> или автоматом. и то и то едет, но на механике ты
> управляешь действительно полностью и сам.

Угу, без синхронизатора, с подгазовкой и двойным переключением … ох уж эти аналогии.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

69. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от аноним3 (?), 30-Мрт-19, 16:20 
нас и такому обучали к слову. и перегазовку и без синхронизатора могем)) кстати автоматы до сих пор не перевариваю. даже современные. ну не люблю я их. хотя на питоне писать проще и быстрее, правда если это не касается глубоко системных утилит. а прикладные оч здорово. особенно связанное с расчетами и формулами. ну просто милое дело.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

75. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от лютый жабист__ (?), 01-Апр-19, 08:12 
>нас и такому обучали к слову. и перегазовку и без синхронизатора могем

Да... ещё умеешь тормозить прерывисто круче 4-канальной АБС (у тебя наверное 4 педали тормоза стоит). И "газ-тормоз" и прочие куль-приёмчики из 40-х годов активно применяешь. Зачем останавливаться на трансмиссии, надо все новомодные системы выкорчевать.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

76. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (76), 01-Апр-19, 10:09 
Как-то ехали мы по М10 2-го января, красота - трасса пустая, ляпота. Ехали мы потихонечку, отчасти потому что гололед, отчасти что последствия НГ до конца не выветрились. И тут обгоняет нас мажор на джипе, и только он после обгона решил оттормозиться, как завертело его, и жoпой назад на встречку вынесло. Мы такие окуевшие мимо проезжаем и друг на друга смотрим - вот тебе и хваленая ABC, и прочие навороты за сотни нефти. Был бы обычный день - пушной зверь бы к москалю тут же пришел.

ЗЫж А "куль-приёмчики из 40-х годов" здорово выручили меня на зимних серпантинах Кавказа, когда меня только-только получившего права, призвали в армию и засунули в эту задницу. Ну, и конечно, когда наблюдаешь в ущелье 200-ми метрами ниже чью-то переломанную и сгнившую раму - это, знаешь, мотивирует весьма и весьма.

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

81. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от лютый жабист__ (?), 01-Апр-19, 11:41 
>обгоняет нас мажор на джипе

повеяло прохладой... виноват конечно автомат.

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

84. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Аноним (76), 01-Апр-19, 14:04 
Нет, виноваты дураки, которые думают, что всякие АБСы и прочие "бортовые компьютеры" спасут их от необходимости своей головой думать, потому как - "такие деньги плочены!"
Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

82. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (-), 01-Апр-19, 12:07 
> и перегазовку и без синхронизатора могем))

Только не на чем уже демонстрировать. Разче что на велосипедах.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

38. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от жека воробьев (?), 29-Мрт-19, 14:51 
надо запретить писать на си/сипп и пхп
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Совершенно другой аноним (?), 29-Мрт-19, 15:32 
а лучше - вообще запретить писать. на чём либо и кому-либо. Вот увидите - сразу ошибки все исчезнут.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

55. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от тов. Майор (?), 29-Мрт-19, 19:51 
>а лучше - вообще запретить писать

Писать нужно мне.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

77. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (76), 01-Апр-19, 10:09 
А стучать можно? Азбукой Морзе?
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

79. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Совершенно другой аноним (?), 01-Апр-19, 10:19 
Да Вы, товарищ Майор, вроде и так пишете.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

42. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от аноним3 (?), 29-Мрт-19, 15:36 
и все вернется в прошлый век)) потому как не будет ни операционных систем, ни системных программ под них)) все ведь строится на си/с++. выкинь и все что останется это веб без программ для его использования. мда наделали языков , а дельного как тот же си/с++ так и нет.
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

65. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Вася (??), 29-Мрт-19, 23:04 
Пару новостей назад было про микроядерную ОС на ржавчине, так что не надо тут вашего елея религиозного про си
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

66. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от аноним3 (?), 30-Мрт-19, 00:43 
читал. но не верю я в такие чудеса как безопасное программирование. всегда найдется дыра.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

74. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от НяшМяш (ok), 31-Мрт-19, 17:44 
Безопасного программирования даже в теории не существует. А вот безопасный язык теоретически существует. И некоторые ныне существующие языки даже приближаются к этому званию.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

88. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от bOOster (ok), 02-Апр-19, 07:05 
Даже теоретически не существует. Пока человек будет разрабатывать язык программирования - всегда найдется дыра.
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

80. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Совершенно другой аноним (?), 01-Апр-19, 10:24 
> Пару новостей назад было про микроядерную ОС на ржавчине, так что не
> надо тут вашего елея религиозного про си

Микроядерных ОС и на C хватает: начиная с Minix, заканчивая QNX и используются они гораздо более активно новодела на Rust.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

51. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от Аноним (51), 29-Мрт-19, 19:24 
FORTRAN и перфокарты спасут мир! Назад в будущее!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

52. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Аноним (51), 29-Мрт-19, 19:26 
Си критикует дураки; настоящие программисты преклоняются перед Си и используют его благоговейно и с любовью.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

56. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от анонн (?), 29-Мрт-19, 19:59 
>настоящие программисты-JSники, преклоняются перед Си с благоговением и любовью, ведь на большее их знаний матчасти не хватает.

поправил, не благодарите.


Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

92. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от неважно кто (?), 02-Апр-19, 23:26 
- сказал обиженный Java-погромист...
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

60. "Оценка типичных проблем с безопасностью для различных языков..."  –1 +/
Сообщение от Аноним (59), 29-Мрт-19, 20:25 
А мне очень нравится обращаться к ячейкам памяти массива -- это просто высшее удовольствие: работать вроде бы на высоком уровне по сравнению с ассемблером. Си -- это чань, а Карниган и Ричи -- это идеал программистов.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Онаним (?), 29-Мрт-19, 21:22 
Тут бы неплохо нормализацию к объёму кода на данных языках. А то получается, что в коде на сях и пыхе дыр дофигища, но вот незадача - на этих языках и кода на порядок, если не на порядки (в случае сравнения с какими-нибудь рубями) больше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Оценка типичных проблем с безопасностью для различных языков..."  +2 +/
Сообщение от Аноним (68), 30-Мрт-19, 15:25 
Какие-то чуваки наговнякали код, проигнорировав всё изобилие средств языка для написания безопасного кода. Другие чуваки посмотрели на код первых и такие: "О, какой небезопасный язык программирования!". И все на полном серьёзе это обсуждают?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Аноним (76), 01-Апр-19, 10:12 
Опять же - как ныть в энторнетиках про овнокодеров - так каждый горазд, а как спросишь кто будет ментором у йуного падавана - так разом все попрятались.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

85. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от OpenEcho (?), 01-Апр-19, 20:52 
самый толковый пост на весь топик. Жаль что можно ставить только один плюс
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

71. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Деннис Ритчи (ok), 30-Мрт-19, 22:59 
А разве не пхп и жс должны за первое место спорить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "Оценка типичных проблем с безопасностью для различных языков..."  +1 +/
Сообщение от Аноним84701 (ok), 01-Апр-19, 21:15 
> А разве не пхп и жс должны за первое место спорить?

Напомните пожалуйста, PHP и JS уже "selfhosted" или все еще "уже почти да, но все еще нет"?
И значит ли это , что дыры в интерпретаторе JS (пых мне искать лень), как и всей той куче (под)компонентов, благодаря которым JS вообще запускается -- проблемы  плюсанутых-сишников и никак не затрагивают гордых архитекторов приложений в мировой паутине ☺?

https://www.cvedetails.com/vulnerability-list/vendor_id-1224...
> which allows remote attackers to cause a denial of service (memory corruption) or possibly have unspecified other impact via crafted JavaScript code.
> mishandles external string sizes, which allows remote attackers to cause a denial of service (out-of-bounds read) via crafted JavaScript code.

https://www.cvedetails.com/cve/CVE-2013-6640/
> he DehoistArrayIndex function in hydrogen-dehoist.cc (aka hydrogen.cc) in Google V8 before 3.22.24.7, as used in Google Chrome before 31.0.1650.63, allows remote attackers to cause a denial of service (out-of-bounds read) via JavaScript code that sets a variable to the value of an array element with a crafted index.    
>

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

83. "Оценка типичных проблем с безопасностью для различных языков..."  +/
Сообщение от Георгий (??), 01-Апр-19, 12:14 
Сейчас бы публиковать ненормированную статистику по языкам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру