forum.opennet.ru - "Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы" (37)

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"	+/–
Сообщение от opennews (??), 10-Мрт-26, 20:52
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... Подробнее: https://www.opennet.me/opennews/art.shtml?num=64957
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну ожидаемо На brainfuck весьма сложно отслеживать логику приложения , Диды (ok), 20:53 , 10-Мрт-26, (2) +9

Если так, почему её использовали , Аноним (19), 21:39 , 10-Мрт-26, (19) –1
А на каком легко На Go , Аноним (28), 22:21 , 10-Мрт-26, (28)

РЕШЕТO 1А если серьезно спецификации содержат настолько большое количество нюа, Аноним (3), 20:53 , 10-Мрт-26, (3) +4

https www opennet ru opennews art shtml num 64574, Аноним (16), 21:23 , 10-Мрт-26, (16) –2
никакой спеки там нет, костыль на костыле, Аноним (34), 22:52 , 10-Мрт-26, (34)

Реагируют, уже хорошо Хотя сейчас везде так, ПО становится всё сложнее и сложнее, Аноним (16), 21:08 , 10-Мрт-26, (8)

А это прям хорошо , Аноним (16), 21:10 , 10-Мрт-26, (9)
Так и есть Диды не зря завещали Keep it simple, stupid Но теперь же надо вс, Аноним (12), 21:17 , 10-Мрт-26, (12) +2

И без переписывания за всем не уследишь 1 https opennet ru 62635-kernel 2 ht, Аноним (16), 21:22 , 10-Мрт-26, (15) –1
А делали Keep it simple-stupid В первом же новом юниксе выcpaли дырень в 50 стро, Аноним (33), 22:41 , 10-Мрт-26, (33) +1

haha, classic ц Оказывается, если использовать язык программирования, с котор, Аноним (24), 22:02 , 10-Мрт-26, (24) +3

Обдумавания вроде как не вылезти за пределы буфера , как не сделать дабл-фри , Аноним (28), 22:20 , 10-Мрт-26, (27) +6

Мне кажется ты не разобрался , Аноним (37), 23:06 , 10-Мрт-26, (37) –1

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потр, Аноним (29), 22:25 , 10-Мрт-26, (29)

а теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собрал, Аноним83 (?), 23:31 , 10-Мрт-26, (42)

Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает, Аноним (29), 00:16 , 11-Мрт-26, (56)

позволяет больше уделять времени другим вещам - интересно, каким таким другим , Аноним (19), 00:19 , 11-Мрт-26, (57)

Что характерно, если использовать язык программирования, где приходится обдумыва, Аноним (40), 23:25 , 10-Мрт-26, (40)

так, а зачем на этот небезопасный язык переписывают ядро и коре утилс , ятупойтролль (ok), 23:00 , 10-Мрт-26, (35)

1 Чтобы лицензию сменить2 Чтобы подсадить на компилятор без стандарта хз кем р, Сладкая булочка (?), 23:44 , 10-Мрт-26, (43)

Противники божественного Rust а сейчас побегут писать Ага, вот видите, Раст не, Аноним10084 и 1008465039 (?), 23:03 , 10-Мрт-26, (36) –1

Но ведь получилось что растовики облажались, теперь кого то из них жестоко покар, Аноним83 (?), 23:28 , 10-Мрт-26, (41)

Конечно Можешь начинать Я буду первый кто захочет это попробовать Но разве вы на, Аноним (46), 23:53 , 10-Мрт-26, (46)

Так и запишем критический уровень опасности на языке Rust предназначен для разр, Tron is Whistling (?), 23:19 , 10-Мрт-26, (38) +1
Это только цветочки Всё, что переписывается на Rust будет обложено бэкдорами и , Аноним (39), 23:19 , 10-Мрт-26, (39) +2

и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно до, 12yoexpert (ok), 23:48 , 10-Мрт-26, (45)

Скрыто модератором, Аноним (28), 23:53 , 10-Мрт-26, (47)

Скрыто модератором, Аноним (51), 23:58 , 10-Мрт-26, (51)

Напоминает описаныи жигулей или уаза Несвободной Даже Столлман и FSF признают п, Аноним (46), 23:56 , 10-Мрт-26, (49) –1

почему тогда на расте пишут исключительно и только джаваскриптеры задумайся, 12yoexpert (ok), 23:58 , 10-Мрт-26, (52)

С каких это пор Apache стал несвободной лицензией , Аноним (28), 23:59 , 10-Мрт-26, (53) –1

Люди знают, что в сишном коде есть уязвимости их поток уже более полувека не ос, Аноним (28), 23:58 , 10-Мрт-26, (50) –1
Я так и не понял, а как собрать rust компилятор из исходников Он везде как бина, Анончик давай выпьем чаю. Анончик выручай. (?), 00:02 , 11-Мрт-26, (55)

Вы не понимаете Это blazing fast memory safe критическая уязвимость На сишке т, Сладкая булочка (?), 23:45 , 10-Мрт-26, (44) +1
Я не пойму, у mc сегодня ПМС, что он от балды трет комменты, в которых нет никак, Аноним (28), 23:55 , 10-Мрт-26, (48) +1

миша его напоил, 100 , 12yoexpert (ok), 00:00 , 11-Мрт-26, (54)

Сообщения [Сортировка по времени | RSS]

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +9 +/–

Сообщение от Диды (ok), 10-Мрт-26, 20:53

Ну ожидаемо.
На brainfuck весьма сложно отслеживать логику приложения.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (19), 10-Мрт-26, 21:39

> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений.
Если так, почему её использовали?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:21

> На brainfuck весьма сложно отслеживать логику приложения.
А на каком легко? На Go?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +4 +/–

Сообщение от Аноним (3), 10-Мрт-26, 20:53

РЕШЕТO!!1
А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:23

https://www.opennet.me/opennews/art.shtml?num=64574

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (34), 10-Мрт-26, 22:52

никакой спеки там нет, костыль на костыле

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:08

>Уязвимости устранены в выпуске Pingora 0.8.0
Реагируют, уже хорошо.
Хотя сейчас везде так, ПО становится всё сложнее и сложнее.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:10

>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей.
А это прям хорошо.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (12), 10-Мрт-26, 21:17

> Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:22

И без переписывания за всем не уследишь:
1) https://opennet.ru/62635-kernel
2) https://opennet.ru/64574-bug

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (33), 10-Мрт-26, 22:41

> Диды не зря завещали: "Keep it simple, stupid".
А делали Keep it simple-stupid.
В первом же новом юниксе выcpaли дырень в 50 строках.
Как говорится "не мешки ворочать".

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +3 +/–

Сообщение от Аноним (24), 10-Мрт-26, 22:02

"haha, classic" (ц)
Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +6 +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:20

> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости.
Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (37), 10-Мрт-26, 23:06

Мне кажется ты не разобрался.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (29), 10-Мрт-26, 22:25

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов:
A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы)
B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью
Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

42. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним83 (?), 10-Мрт-26, 23:31

а) теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов.
б) ...и начинает думать о жизни: как с этим всем дальше жить :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (29), 11-Мрт-26, 00:16

> теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов.
Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает месяц-два.
"Что бы быстрее собралось" - все способы давно известны, никакой борьбы там нет.
Капец люди, вы сколько-то лет назад где-то что-то в газете прочитали и до сих пор считаете, что что-то знаете о реальном мире по этим сообщениям.
С нуля:
```
...
   Compiling pingora-s2n v0.7.0 (/home/user/p/pingora-0.7.0/pingora-s2n)
   Compiling pingora-boringssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-boringssl)
   Compiling pingora-openssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-openssl)
    Finished `dev` profile [unoptimized + debuginfo] target(s) in 29.24s
```
Это в WSL - с эмуляцией линуксового ядра, хотя в винде оно хорошо и быстро сделано.
При разработке же всё не пересобирается, поэтому время сильно меньше. Кроме того, при разработке (о чём вы разумеется не знаете, как обычно) IDE ошибки сразу подсвечивает, тебе вообще сборку спамить не надо - только если запустить-проверить.
Огромный движок Bevy например инкрементально собирается и запускается менее, чем за 1 секунду.
Осторожно, пригнитесь: можно ушибить голову о реальный мир.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 00:19

> критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust
"позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам программисты уделили время.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

40. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (40), 10-Мрт-26, 23:25

Что характерно, если использовать язык программирования, где приходится обдумывать каждую строчку, то тоже можно знатно нафакапить.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

35. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от ятупойтролль (ok), 10-Мрт-26, 23:00

так, а зачем на этот небезопасный язык переписывают ядро и коре утилс?

Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Сладкая булочка (?), 10-Мрт-26, 23:44

1. Чтобы лицензию сменить
2. Чтобы подсадить на компилятор без стандарта хз кем развиваемый.

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03

Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним83 (?), 10-Мрт-26, 23:28

Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
Нужно срочно придумать или ещё более защищённый язык где такое будет не возможно или какой ИИ с блокчейном приплести, только бы больше программист не было ни в чём виноват - это не выносимый уровень давления на психику!

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (46), 10-Мрт-26, 23:53

> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
Конечно.
> Нужно срочно придумать или ещё более защищённый язык где такое будет
Можешь начинать.
Я буду первый кто захочет это попробовать.
Но разве вы на такое способны?)

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Tron is Whistling (?), 10-Мрт-26, 23:19

Так и запишем: критический уровень опасности на языке Rust предназначен для разработки защищённых сетевых сервисов.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (39), 10-Мрт-26, 23:19

Это только цветочки. Всё, что переписывается на Rust будет обложено бэкдорами и уязвимостями, которые потом задействует. А люди будут верить, что уязвимостей там нет, ибо Rust. Если надо, они её подтянут очередной версией какого-нибудь crate при сборке. Rust пропихивается теми, кто заинтересован через него распространять бэкдоры.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:48

и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией, к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис

Ответить | Правка | Наверх | Cообщить модератору

47. Скрыто модератором +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:53

> чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора
Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а не C++. Удачи тебе там разобраться с C++ при помощи "молотка и отвертки".

Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором +/–

Сообщение от Аноним (51), 10-Мрт-26, 23:58

Так это местный юродивый.
Он типа вебсиньойр, ходит на курсы для таких же, а потом в комментах рассказывает, чего им там вещали.
Так что в его черепушке скорее всего "СИ, С++... А какая разница?" (с)

Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (46), 10-Мрт-26, 23:56

> и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора,
Напоминает описаныи жигулей или уаза)
> а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен
> тулчейн под несвободной лицензией,
Несвободной? Даже Столлман и FSF признают пермиссивные лицензии - лицензией свободного программного обеспечения.
Как раз недавно какая-то баба из FSF комментировала.
Так что тут ты просто обделался.
Впрочем это не удивительно.
> к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис
Конечно, это же не на жаваскипте писать.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

52. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:58

> Конечно, это же не на жаваскипте писать.
почему тогда на расте пишут исключительно и только джаваскриптеры? задумайся

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:59

> чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией
С каких это пор Apache стал несвободной лицензией?

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

50. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:58

> А люди будут верить, что уязвимостей там нет, ибо Rust.
Люди знают, что в сишном коде есть уязвимости (их поток уже более полувека не останавливается) - и все равно пользуются софтом, на нем написанном. Так с чего ты драму именно про Раст разводишь?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

55. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Анончик давай выпьем чаю. Анончик выручай. (?), 11-Мрт-26, 00:02

Я так и не понял, а как собрать rust компилятор из исходников. Он везде как бинарный пакет распространяется. Как Гентушники с этим справляются?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

44. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Сладкая булочка (?), 10-Мрт-26, 23:45

Вы не понимаете! Это blazing fast memory safe критическая уязвимость! На сишке так нельзя!

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:55

Я не пойму, у mc сегодня ПМС, что он от балды трет комменты, в которых нет никаких прочих нарушений? Дядя, ау!

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от 12yoexpert (ok), 11-Мрт-26, 00:00

миша его напоил, 100%

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+9 +/–
Сообщение от Диды (ok), 10-Мрт-26, 20:53
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (19), 10-Мрт-26, 21:39
	> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. Если так, почему её использовали?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:21
	> На brainfuck весьма сложно отслеживать логику приложения. А на каком легко? На Go?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+4 +/–
Сообщение от Аноним (3), 10-Мрт-26, 20:53
РЕШЕТO!!1 А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:23
	https://www.opennet.me/opennews/art.shtml?num=64574
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (34), 10-Мрт-26, 22:52
	никакой спеки там нет, костыль на костыле
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
Сообщение от Аноним (16), 10-Мрт-26, 21:08
>Уязвимости устранены в выпуске Pingora 0.8.0 Реагируют, уже хорошо. Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:10
	>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. А это прям хорошо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним (12), 10-Мрт-26, 21:17
	> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:22
	И без переписывания за всем не уследишь: 1) https://opennet.ru/62635-kernel 2) https://opennet.ru/64574-bug
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (33), 10-Мрт-26, 22:41
	> Диды не зря завещали: "Keep it simple, stupid". А делали Keep it simple-stupid. В первом же новом юниксе выcpaли дырень в 50 строках. Как говорится "не мешки ворочать".
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+3 +/–
Сообщение от Аноним (24), 10-Мрт-26, 22:02
"haha, classic" (ц) Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+6 +/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:20
	> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить. Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости. Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (37), 10-Мрт-26, 23:06
	Мне кажется ты не разобрался.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (29), 10-Мрт-26, 22:25
	Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов: A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы) B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	42. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним83 (?), 10-Мрт-26, 23:31
	а) теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов. б) ...и начинает думать о жизни: как с этим всем дальше жить :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (29), 11-Мрт-26, 00:16
	> теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов. Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает месяц-два. "Что бы быстрее собралось" - все способы давно известны, никакой борьбы там нет. Капец люди, вы сколько-то лет назад где-то что-то в газете прочитали и до сих пор считаете, что что-то знаете о реальном мире по этим сообщениям. С нуля: ``` ... Compiling pingora-s2n v0.7.0 (/home/user/p/pingora-0.7.0/pingora-s2n) Compiling pingora-boringssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-boringssl) Compiling pingora-openssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-openssl) Finished `dev` profile [unoptimized + debuginfo] target(s) in 29.24s ``` Это в WSL - с эмуляцией линуксового ядра, хотя в винде оно хорошо и быстро сделано. При разработке же всё не пересобирается, поэтому время сильно меньше. Кроме того, при разработке (о чём вы разумеется не знаете, как обычно) IDE ошибки сразу подсвечивает, тебе вообще сборку спамить не надо - только если запустить-проверить. Огромный движок Bevy например инкрементально собирается и запускается менее, чем за 1 секунду. Осторожно, пригнитесь: можно ушибить голову о реальный мир.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (19), 11-Мрт-26, 00:19
	> критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust "позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам программисты уделили время.
	Ответить \| Правка \| К родителю #29 \| Наверх \| Cообщить модератору


	40. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (40), 10-Мрт-26, 23:25
	Что характерно, если использовать язык программирования, где приходится обдумывать каждую строчку, то тоже можно знатно нафакапить.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору

35. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
Сообщение от ятупойтролль (ok), 10-Мрт-26, 23:00
так, а зачем на этот небезопасный язык переписывают ядро и коре утилс?
Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Сладкая булочка (?), 10-Мрт-26, 23:44
	1. Чтобы лицензию сменить 2. Чтобы подсадить на компилятор без стандарта хз кем развиваемый.
	Ответить \| Правка \| Наверх \| Cообщить модератору

36. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03
Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.
Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним83 (?), 10-Мрт-26, 23:28
	Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат! Нужно срочно придумать или ещё более защищённый язык где такое будет не возможно или какой ИИ с блокчейном приплести, только бы больше программист не было ни в чём виноват - это не выносимый уровень давления на психику!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (46), 10-Мрт-26, 23:53
	> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат! Конечно. > Нужно срочно придумать или ещё более защищённый язык где такое будет Можешь начинать. Я буду первый кто захочет это попробовать. Но разве вы на такое способны?)
	Ответить \| Правка \| Наверх \| Cообщить модератору

38. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
Сообщение от Tron is Whistling (?), 10-Мрт-26, 23:19
Так и запишем: критический уровень опасности на языке Rust предназначен для разработки защищённых сетевых сервисов.
Ответить \| Правка \| Наверх \| Cообщить модератору

39. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
Сообщение от Аноним (39), 10-Мрт-26, 23:19
Это только цветочки. Всё, что переписывается на Rust будет обложено бэкдорами и уязвимостями, которые потом задействует. А люди будут верить, что уязвимостей там нет, ибо Rust. Если надо, они её подтянут очередной версией какого-нибудь crate при сборке. Rust пропихивается теми, кто заинтересован через него распространять бэкдоры.
Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:48
	и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией, к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис
	Ответить \| Правка \| Наверх \| Cообщить модератору


	47. Скрыто модератором	+/–
	Сообщение от Аноним (28), 10-Мрт-26, 23:53
	> чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а не C++. Удачи тебе там разобраться с C++ при помощи "молотка и отвертки".
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. Скрыто модератором	+/–
	Сообщение от Аноним (51), 10-Мрт-26, 23:58
	Так это местный юродивый. Он типа вебсиньойр, ходит на курсы для таких же, а потом в комментах рассказывает, чего им там вещали. Так что в его черепушке скорее всего "СИ, С++... А какая разница?" (с)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (46), 10-Мрт-26, 23:56
	> и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, Напоминает описаныи жигулей или уаза) > а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен > тулчейн под несвободной лицензией, Несвободной? Даже Столлман и FSF признают пермиссивные лицензии - лицензией свободного программного обеспечения. Как раз недавно какая-то баба из FSF комментировала. Так что тут ты просто обделался. Впрочем это не удивительно. > к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис Конечно, это же не на жаваскипте писать.
	Ответить \| Правка \| К родителю #45 \| Наверх \| Cообщить модератору