forum.opennet.ru - "Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы" (81)

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"	+/–
Сообщение от opennews (??), 10-Мрт-26, 20:52
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64957
Ответить \| Правка \| Cообщить модератору

Оглавление

Ну ожидаемо На brainfuck весьма сложно отслеживать логику приложения , Диды (ok), 20:53 , 10-Мрт-26, (2) +15

Если так, почему её использовали , Аноним (19), 21:39 , 10-Мрт-26, (19) +2

Потому что отправлять запросы на аппсервер - грузит аппсервер , Аноним (-), 03:19 , 11-Мрт-26, (66) –1

А на каком легко На Go , Аноним (28), 22:21 , 10-Мрт-26, (28) +1

На том который знаешь С йА , _ (??), 06:00 , 11-Мрт-26, (68) +1

Ну ожидаемо, что Rust хейтят, никак не подтверждая свои слова , Соль земли2 (?), 09:58 , 11-Мрт-26, (79)

критический уровень опасности 9 3 из 10 Фреймворк Pingora написан на языке Ru, Аноним (19), 12:25 , 11-Мрт-26, (100)

Это мог быть любой язык , Соль земли2 (?), 12:40 , 11-Мрт-26, (107) +1

мог быть любой, но оказался раст , Аноним (19), 15:15 , 11-Мрт-26, (119)
Но по факту оказался тот, который самый безопасный , Аноним (19), 15:16 , 11-Мрт-26, (120)

Который, внезапно, от алгоритмических ошибок не освобождает , llolik (ok), 14:44 , 11-Мрт-26, (115)

РЕШЕТO 1А если серьезно спецификации содержат настолько большое количество нюа, Аноним (3), 20:53 , 10-Мрт-26, (3) +8

https www opennet ru opennews art shtml num 64574, Аноним (16), 21:23 , 10-Мрт-26, (16) –2
никакой спеки там нет, костыль на костыле, Аноним (34), 22:52 , 10-Мрт-26, (34) +2
Раст даже не близко безопасный язык в отличии от верифицируемых Театр безопасно, Аноним (67), 05:46 , 11-Мрт-26, (67) –2

Зато они смогли продать цирк с первоклассным жупелом - проблемами памяти , Жироватт (ok), 09:29 , 11-Мрт-26, (77)

Реагируют, уже хорошо Хотя сейчас везде так, ПО становится всё сложнее и сложнее, Аноним (16), 21:08 , 10-Мрт-26, (8) –2

А это прям хорошо , Аноним (16), 21:10 , 10-Мрт-26, (9)
Так и есть Диды не зря завещали Keep it simple, stupid Но теперь же надо вс, Аноним (12), 21:17 , 10-Мрт-26, (12) +4

И без переписывания за всем не уследишь 1 https opennet ru 62635-kernel 2 ht, Аноним (16), 21:22 , 10-Мрт-26, (15) –1
А делали Keep it simple-stupid В первом же новом юниксе выcpaли дырень в 50 стро, Аноним (33), 22:41 , 10-Мрт-26, (33) +5
Выкидывай компьютер и бери счёты, живи по заветам дидов , Аноним (81), 10:18 , 11-Мрт-26, (81) –2

haha, classic ц Оказывается, если использовать язык программирования, с котор, Аноним (24), 22:02 , 10-Мрт-26, (24) +6

Обдумавания вроде как не вылезти за пределы буфера , как не сделать дабл-фри , Аноним (28), 22:20 , 10-Мрт-26, (27) +11

Мне кажется ты не разобрался , Аноним (37), 23:06 , 10-Мрт-26, (37) –2

Угу, тебе кажется, ferris (?), 02:44 , 11-Мрт-26, (63) +4

Скрыто модератором, Аноним (-), 12:32 , 11-Мрт-26, (104)

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потр, Аноним (29), 22:25 , 10-Мрт-26, (29) –2

а теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собрал, Аноним83 (?), 23:31 , 10-Мрт-26, (42) +2

Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает, Аноним (29), 00:16 , 11-Мрт-26, (56) –4

позволяет больше уделять времени другим вещам - интересно, каким таким другим , Аноним (19), 00:19 , 11-Мрт-26, (57) +2

Смузи же, Аноним (72), 08:09 , 11-Мрт-26, (72) +2
Каким, каким Уволят растаджуна заменив на нейрослоп - и вот - уделяй время чему, Аноним (-), 09:29 , 11-Мрт-26, (76)

Что характерно, если использовать язык программирования, где приходится обдумыва, Аноним (40), 23:25 , 10-Мрт-26, (40)
расве растописы думают я так понял что за них всё ИИ делает, Аноним (72), 08:07 , 11-Мрт-26, (71)

Противники божественного Rust а сейчас побегут писать Ага, вот видите, Раст не, Аноним10084 и 1008465039 (?), 23:03 , 10-Мрт-26, (36) +1

Но ведь получилось что растовики облажались, теперь кого то из них жестоко покар, Аноним83 (?), 23:28 , 10-Мрт-26, (41) +2

Конечно Можешь начинать Я буду первый кто захочет это попробовать Но разве вы на, Аноним (46), 23:53 , 10-Мрт-26, (46)
В том-то и дело, что нет Вы, кажется, ничего из моего поста не поняли Если бы , Аноним10084 и 1008465039 (?), 11:17 , 11-Мрт-26, (90)

Так и запишем критический уровень опасности на языке Rust предназначен для разр, Tron is Whistling (?), 23:19 , 10-Мрт-26, (38)
Это только цветочки Всё, что переписывается на Rust будет обложено бэкдорами и , Аноним (39), 23:19 , 10-Мрт-26, (39) +2

и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно до, 12yoexpert (ok), 23:48 , 10-Мрт-26, (45)

Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а, Аноним (28), 23:53 , 10-Мрт-26, (47) +1

Зависит от компилятора, localhostadmin (ok), 11:23 , 11-Мрт-26, (91)

Покажи мне не игрушечный компилятор на си , Аноним (81), 11:37 , 11-Мрт-26, (92)

GCC Плюсы в него начали тянуть весьма недавно , anonymous (??), 11:46 , 11-Мрт-26, (93) –1

c 2008, т е почти 20 лет , Аноним (94), 11:53 , 11-Мрт-26, (94) +1

Ну а расту - уже 20 лет с 2006 , Аноним (19), 12:29 , 11-Мрт-26, (103)

https gcc gnu org git p gcc git a blob_plain f gcc config i386 athlon md hb H, анон (?), 12:17 , 11-Мрт-26, (98) –1

Напоминает описаныи жигулей или уаза Несвободной Даже Столлман и FSF признают п, Аноним (46), 23:56 , 10-Мрт-26, (49)
С каких это пор Apache стал несвободной лицензией , Аноним (28), 23:59 , 10-Мрт-26, (53) –2

С таких как корпы его зажимать стали под пропреитарными респинами Что элп с сво, Аноним (-), 07:15 , 11-Мрт-26, (70)

Разберись в UB с помощью молотка и отвёртки , Аноним (81), 10:23 , 11-Мрт-26, (83)

Люди знают, что в сишном коде есть уязвимости их поток уже более полувека не ос, Аноним (28), 23:58 , 10-Мрт-26, (50)
Я так и не понял, а как собрать rust компилятор из исходников Он везде как бина, Анончик давай выпьем чаю. Анончик выручай. (?), 00:02 , 11-Мрт-26, (55)

https rustc-dev-guide rust-lang org building how-to-build-and-run htmlПервый р, Аноним (29), 00:37 , 11-Мрт-26, (61)
Хрееново справляются Компилится долго - и что хуже всего - новый собирается тол, Аноним (-), 03:18 , 11-Мрт-26, (65)

Эти лицемеры забывают, с какой черепашьей скоростью собираются дырявочно-крестов, Аноним (81), 10:17 , 11-Мрт-26, (80)

Ой, какая биполярочка пошла А ничего тот факт, что без одного дырявочно-крес, Аноним (94), 11:56 , 11-Мрт-26, (95)

А вы с темы не съезжайте Крестово-дыряшечные проекты компилируются крайне медле, Аноним (81), 12:26 , 11-Мрт-26, (101)

Я не съезжаю и не отрицаю, что медленно Я акцентировал внимание на том, что ты , Аноним (94), 14:51 , 11-Мрт-26, (116)

Да не лицермерный лгут тут ты - https www opennet ru opennews art shtml num 61, Аноним (94), 11:59 , 11-Мрт-26, (96)

Спасибо, что подтверждаете мои слова www gnu org software mes Для сборки совреме, Аноним (81), 12:23 , 11-Мрт-26, (99)

И тем не менее - вон тот распоследний пафосный GCC на ура билдится - прям систем, Аноним (-), 12:37 , 11-Мрт-26, (106)

В нормальных дистрибутивах у вас уже будет актуальная версия пакетов Откровенная, Аноним (81), 13:08 , 11-Мрт-26, (109)

Я конечно понимаю что где-то кого-то линчуют Но вот новую версию тулчейна GCC я, Аноним (-), 12:36 , 11-Мрт-26, (105)

А системная версия компилятора была изначально на ассемблере написана или сразу , Аноним (81), 13:21 , 11-Мрт-26, (112)

Эээээ А кого-то волнуют проблемы гентушников O rly Ну, справляются как-то - , User (??), 06:44 , 11-Мрт-26, (69)

Это только ыксперты местного уровня прочитали безопасен по памяти как абсолют, Аноним (81), 10:22 , 11-Мрт-26, (82) +1
Представим на секунду что это не бред Не знаю как кто, а я лично добровольно по, Аноним (108), 12:49 , 11-Мрт-26, (108)
Как ЦРУ начало рекомендовать Rust для безопасности, так сразу стало понятно поче, Аноним (113), 13:23 , 11-Мрт-26, (113) –1

См HTTP 1 1 must die the desync endgame Там сам протокол достаточно плохо сп, Аноним (73), 08:23 , 11-Мрт-26, (73) –1

В HTTP 2 0 не лучше, только всё не очевидно и более запутанно Потенциальных баг, Аноним (74), 08:56 , 11-Мрт-26, (74)

Как раз бинарный протокол сложнее парсить неоднозначно чем текстовый В текстово, Аноним (-), 09:33 , 11-Мрт-26, (78) –1

Плюс текстовых протоколов в том, что человек может их читать без специальных инс, Аноним (111), 13:17 , 11-Мрт-26, (111)

Не может Возьмите json одной строкой и попробуйте его прочитать Есть Про пробл, Аноним (81), 13:27 , 11-Мрт-26, (114)

По сравнению с QUIC - легко , Аноним (111), 10:36 , 11-Мрт-26, (86)

https opennet ru 55226-quic, Аноним (16), 11:10 , 11-Мрт-26, (87)

Переусложненные корпоративные системы всегда содержат критические проблемы Ника, Аноним (111), 10:34 , 11-Мрт-26, (85) +1

Обычные растерманы Язык же безопасный, зачем думать Точнее, чем думать-то , Аноним (19), 15:14 , 11-Мрт-26, (118)

Мне всегда было интересно, зачем в http понапихали такое количество этих Content, Аноним (-), 15:06 , 11-Мрт-26, (117)

Сообщения [Сортировка по времени | RSS]

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +15 +/–

Сообщение от Диды (ok), 10-Мрт-26, 20:53

Ну ожидаемо.
На brainfuck весьма сложно отслеживать логику приложения.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (19), 10-Мрт-26, 21:39

> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений.
Если так, почему её использовали?

Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 03:19

> Если так, почему её использовали?
Потому что отправлять запросы на аппсервер - грузит аппсервер?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:21

> На brainfuck весьма сложно отслеживать логику приложения.
А на каком легко? На Go?

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

68. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от _ (??), 11-Мрт-26, 06:00

На том который знаешь!(С) йА :)

Ответить | Правка | Наверх | Cообщить модератору

79. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Соль земли2 (?), 11-Мрт-26, 09:58

Ну ожидаемо, что Rust хейтят, никак не подтверждая свои слова.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

100. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 12:25

критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust

Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Соль земли2 (?), 11-Мрт-26, 12:40

Это мог быть любой язык.

Ответить | Правка | Наверх | Cообщить модератору

119. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 15:15

мог быть любой, но оказался раст.

Ответить | Правка | Наверх | Cообщить модератору

120. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 15:16

> мог быть любой язык
Но по факту оказался тот, который самый безопасный.

Ответить | Правка | К родителю #107 | Наверх | Cообщить модератору

115. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от llolik (ok), 11-Мрт-26, 14:44

> Фреймворк Pingora написан на языке Rust
Который, внезапно, от алгоритмических ошибок не освобождает.

Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +8 +/–

Сообщение от Аноним (3), 10-Мрт-26, 20:53

РЕШЕТO!!1
А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:23

https://www.opennet.dev/opennews/art.shtml?num=64574

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (34), 10-Мрт-26, 22:52

никакой спеки там нет, костыль на костыле

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

67. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (67), 11-Мрт-26, 05:46

Раст даже не близко безопасный язык в отличии от верифицируемых. Театр безопасности.

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

77. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Жироватт (ok), 11-Мрт-26, 09:29

Зато они смогли продать цирк с первоклассным жупелом - "проблемами памяти".

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:08

>Уязвимости устранены в выпуске Pingora 0.8.0
Реагируют, уже хорошо.
Хотя сейчас везде так, ПО становится всё сложнее и сложнее.

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:10

>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей.
А это прям хорошо.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +4 +/–

Сообщение от Аноним (12), 10-Мрт-26, 21:17

> Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (16), 10-Мрт-26, 21:22

И без переписывания за всем не уследишь:
1) https://opennet.ru/62635-kernel
2) https://opennet.ru/64574-bug

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +5 +/–

Сообщение от Аноним (33), 10-Мрт-26, 22:41

> Диды не зря завещали: "Keep it simple, stupid".
А делали Keep it simple-stupid.
В первом же новом юниксе выcpaли дырень в 50 строках.
Как говорится "не мешки ворочать".

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

81. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (81), 11-Мрт-26, 10:18

>Диды не зря завещали: "Keep it simple, stupid"
Выкидывай компьютер и бери счёты, живи по заветам дидов.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +6 +/–

Сообщение от Аноним (24), 10-Мрт-26, 22:02

"haha, classic" (ц)
Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +11 +/–

Сообщение от Аноним (28), 10-Мрт-26, 22:20

> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости.
Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (37), 10-Мрт-26, 23:06

Мне кажется ты не разобрался.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +4 +/–

Сообщение от ferris (?), 11-Мрт-26, 02:44

Угу, тебе кажется

Ответить | Правка | Наверх | Cообщить модератору

104. Скрыто модератором +/–

Сообщение от Аноним (-), 11-Мрт-26, 12:32

> Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри"
Если у меня сайт скиздили через админку - какая мне нахрен разница, через переполнение буфера это или через подстановку запроса? Вы там с вашей фиксайцией на 1 классе багов - долбанулись. И игнорите остальное. А взамен получаете - вот такие плюхи потом. Что и ожидалось. Так что ваши сказки про безопасность будут ессно булшитом.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (29), 10-Мрт-26, 22:25

Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов:
A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы)
B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью
Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

42. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним83 (?), 10-Мрт-26, 23:31

а) теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов.
б) ...и начинает думать о жизни: как с этим всем дальше жить :)

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –4 +/–

Сообщение от Аноним (29), 11-Мрт-26, 00:16

> теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов.
Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает месяц-два.
"Что бы быстрее собралось" - все способы давно известны, никакой борьбы там нет.
Капец люди, вы сколько-то лет назад где-то что-то в газете прочитали и до сих пор считаете, что что-то знаете о реальном мире по этим сообщениям.
С нуля:
```
...
   Compiling pingora-s2n v0.7.0 (/home/user/p/pingora-0.7.0/pingora-s2n)
   Compiling pingora-boringssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-boringssl)
   Compiling pingora-openssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-openssl)
    Finished `dev` profile [unoptimized + debuginfo] target(s) in 29.24s
```
Это в WSL - с эмуляцией линуксового ядра, хотя в винде оно хорошо и быстро сделано.
При разработке же всё не пересобирается, поэтому время сильно меньше. Кроме того, при разработке (о чём вы разумеется не знаете, как обычно) IDE ошибки сразу подсвечивает, тебе вообще сборку спамить не надо - только если запустить-проверить.
Огромный движок Bevy например инкрементально собирается и запускается менее, чем за 1 секунду.
Осторожно, пригнитесь: можно ушибить голову о реальный мир.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (19), 11-Мрт-26, 00:19

> критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust
"позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам программисты уделили время.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

72. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (72), 11-Мрт-26, 08:09

Смузи же

Ответить | Правка | Наверх | Cообщить модератору

76. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 09:29

> "позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам
> программисты уделили время.
Каким, каким. Уволят растаджуна заменив на нейрослоп - и вот - уделяй время чему хочешь. Но бесплатно, увы и ах.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

40. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (40), 10-Мрт-26, 23:25

Что характерно, если использовать язык программирования, где приходится обдумывать каждую строчку, то тоже можно знатно нафакапить.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

71. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (72), 11-Мрт-26, 08:07

расве растописы думают? я так понял что за них всё ИИ делает

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

36. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03

Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним83 (?), 10-Мрт-26, 23:28

Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
Нужно срочно придумать или ещё более защищённый язык где такое будет не возможно или какой ИИ с блокчейном приплести, только бы больше программист не было ни в чём виноват - это не выносимый уровень давления на психику!

Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (46), 10-Мрт-26, 23:53

> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
Конечно.
> Нужно срочно придумать или ещё более защищённый язык где такое будет
Можешь начинать.
Я буду первый кто захочет это попробовать.
Но разве вы на такое способны?)

Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним10084 и 1008465039 (?), 11-Мрт-26, 11:17

> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат!
В том-то и дело, что нет! Вы, кажется, ничего из моего поста не поняли. Если бы была ошибка с памятью - да, о чем-то таком можно было бы говорить, но ошибка логическая, да и нашли относительно быстро - так что успех внедрения очевиден - ошибки ищутся быстрее и сразу по делу. От логических же ошибок защититься уже труднее, никто и не строил таких иллюзий

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

38. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Tron is Whistling (?), 10-Мрт-26, 23:19

Так и запишем: критический уровень опасности на языке Rust предназначен для разработки защищённых сетевых сервисов.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +2 +/–

Сообщение от Аноним (39), 10-Мрт-26, 23:19

Это только цветочки. Всё, что переписывается на Rust будет обложено бэкдорами и уязвимостями, которые потом задействует. А люди будут верить, что уязвимостей там нет, ибо Rust. Если надо, они её подтянут очередной версией какого-нибудь crate при сборке. Rust пропихивается теми, кто заинтересован через него распространять бэкдоры.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:48

и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией, к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:53

> чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора
Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а не C++. Удачи тебе там разобраться с C++ при помощи "молотка и отвертки".

Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от localhostadmin (ok), 11-Мрт-26, 11:23

Зависит от компилятора

Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 11:37

Покажи мне не игрушечный компилятор на си.

Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от anonymous (??), 11-Мрт-26, 11:46

GCC. Плюсы в него начали тянуть весьма недавно.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (94), 11-Мрт-26, 11:53

c 2008, т.е. почти 20 лет.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 12:29

Ну а расту - уже 20 лет (с 2006)

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от анон (?), 11-Мрт-26, 12:17

> GCC. Плюсы в него начали тянуть весьма недавно.
https://gcc.gnu.org/git/?p=gcc.git;a=blob_plain;f=gcc/config...

;; Copyright (C) 2002-2026 Free Software Foundation, Inc.
;;
;; This file is part of GCC.
...
(define_attr "athlon_decode" "direct,vector,double"
  (cond [(eq_attr "type" "call,imul,idiv,other,multi,fcmov,fpspc,str,pop,leave")
       (const_string "vector")
         (and (eq_attr "type" "push")
              (match_operand 1 "memory_operand"))
       (const_string "vector")
         (and (eq_attr "type" "fmov")
          (and (eq_attr "memory" "load,store")
           (eq_attr "mode" "XF")))
       (const_string "vector")]
    (const_string "direct")))

https://gcc.gnu.org/git/?p=gcc.git;a=blob_plain;f=gcc/match....

/* Match-and-simplify patterns for shared GENERIC and GIMPLE folding.
   This file is consumed by genmatch which produces gimple-match.cc
   and generic-match.cc from it.
...
/* (X ^ Y) ^ (X ^ Z) -> Y ^ Z  */
(simplify
(bit_xor (convert1? (bit_xor:c @0 @1)) (convert2? (bit_xor:c @0 @2)))
(if (tree_nop_conversion_p (type, TREE_TYPE (@1))
      && tree_nop_conversion_p (type, TREE_TYPE (@2)))
  (bit_xor (convert @1) (convert @2))))
/* Convert abs (abs (X)) into abs (X).
   also absu (absu (X)) into absu (X).  */
(simplify
(abs (abs@1 @0))
@1)

Какой, однако, занятный диалект сишкчки!

Ответить | Правка | К родителю #93 | Наверх | Cообщить модератору

49. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (46), 10-Мрт-26, 23:56

> и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора,
Напоминает описаныи жигулей или уаза)
> а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен
> тулчейн под несвободной лицензией,
Несвободной? Даже Столлман и FSF признают пермиссивные лицензии - лицензией свободного программного обеспечения.
Как раз недавно какая-то баба из FSF комментировала.
Так что тут ты просто обделался.
Впрочем это не удивительно.
> к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис
Конечно, это же не на жаваскипте писать.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

53. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –2 +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:59

> чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией
С каких это пор Apache стал несвободной лицензией?

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

70. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 07:15

> С каких это пор Apache стал несвободной лицензией?
С таких как корпы его зажимать стали под пропреитарными респинами. Что элп с своим особым уличным Clang. Что вон те wannabe-rust-автомотивщики с пропертарным тулчейном.
И тут оказывается что если вы поинженерить решили - отличный выбор между глюкавой хипстерской ср@нью "скачайте ночнушку" где никто ни за что не отвечает - и мерзкой проприетарной пакостью где корп отпаразитировал на том апаче и - вот вам дескать блобы. С особой, уличной лицензией. Конечно совсем не похожей на апача.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 10:23

>и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки
Разберись в UB с помощью молотка и отвёртки.

Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

50. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (28), 10-Мрт-26, 23:58

> А люди будут верить, что уязвимостей там нет, ибо Rust.
Люди знают, что в сишном коде есть уязвимости (их поток уже более полувека не останавливается) - и все равно пользуются софтом, на нем написанном. Так с чего ты драму именно про Раст разводишь?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

55. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Анончик давай выпьем чаю. Анончик выручай. (?), 11-Мрт-26, 00:02

Я так и не понял, а как собрать rust компилятор из исходников. Он везде как бинарный пакет распространяется. Как Гентушники с этим справляются?

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

61. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (29), 11-Мрт-26, 00:37

https://rustc-dev-guide.rust-lang.org/building/how-to-build-...
Первый результат в поиске. Без регистрации и СМС.

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 03:18

> Я так и не понял, а как собрать rust компилятор из исходников. Он везде как
> бинарный пакет распространяется. Как Гентушники с этим справляются?
Хрееново справляются. Компилится долго - и что хуже всего - новый собирается только предыдущей версией. Так что если у вас есть вариант на 10 версий старше - вот и будете всю цепочку из 10 версий собирать. Прикупите пару датацентров заодно под такую развлекуху.

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

80. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 10:17

>Хрееново справляются. Компилится долго
Эти лицемеры забывают, с какой черепашьей скоростью собираются дырявочно-крестовые проекты. Из более менее популярных, мне известны только два языка с быстрой сборкой - голанг и окамл.
>Так что если у вас есть вариант на 10 версий старше - вот и будете всю цепочку из 10 версий собирать.
Опять лицемерные лгуны. Что gcc, что glibc тоже придётся собирать по цепочке. У вас всё равно никогда не получится с помощью условного gcc 2.0 собрать gcc 16.0.

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 11:56

> дырявочно-крестовые проекты
Ой, какая биполярочка пошла ))) А ничего тот факт, что без одного дырявочно-крестового проекта бинарь на расте невозможно собрать от слова совсем? :)

Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 12:26

А вы с темы не съезжайте. Крестово-дыряшечные проекты компилируются крайне медленно, и вы никак не можете с этим поспорить.

Ответить | Правка | Наверх | Cообщить модератору

116. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 14:51

Я не съезжаю и не отрицаю, что медленно. Я акцентировал внимание на том, что ты назвал (завуалировано) LLVM дыряшечно-крестовым. Ну ок, весь софт им собранный получается дыряшечный, в том числе все что написано на расте

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (94), 11-Мрт-26, 11:59

Да не лицермерный лгут тут ты - https://www.opennet.dev/opennews/art.shtml?num=61501

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

99. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 12:23

Спасибо, что подтверждаете мои слова.
www.gnu.org/software/mes/
>Using this bootstrappable-tcc and the Mes C library we can build an ancient version of the GNU tools triplet: glibc-2.2.5, binutils-2.20.1, gcc-2.95.3.
Для сборки современного gcc вам внезапно понадобится компилятор крестов, сверх компилятора си, и крайне желательно - именно gcc, поскольку тем же llvm-ом может банально не собраться.

Ответить | Правка | Наверх | Cообщить модератору

106. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 12:37

> Для сборки современного gcc вам внезапно понадобится компилятор крестов,
И тем не менее - вон тот распоследний пафосный GCC на ура билдится - прям системным. Без кача ночнушек с васянсайтов, ребилдов цати тулчейнов с сорца и проч. Такая небольшая разница.
Так что растовский тулчейн для лично меня - просто враждебная конструкция с максимально голимыми полисями девелопа.

Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 13:08

>И тем не менее - вон тот распоследний пафосный GCC на ура билдится - прям системным.
В нормальных дистрибутивах у вас уже будет актуальная версия пакетов.
>Без кача ночнушек с васянсайтов
Откровенная манипуляция
>ребилдов цати тулчейнов с сорца и проч
Слинкуйте новый clang со старым llvm, тогда поговорим.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 12:36

> Эти лицемеры забывают, с какой черепашьей скоростью собираются дырявочно-крестовые проекты.
Я конечно понимаю что где-то кого-то линчуют. Но вот новую версию тулчейна GCC я могу отстроить себе - прямо системной версией компилера. С той конфигурацией которую я хотел, под те архитектуры что мне надо - и БЕЗ вон того ацкого кластерфака!
И конечно это не идет ни в какое сравнение с ребилдом цати растовых тулчейнов по цепочке. А если еще и LLVM взять - без которого раст бесполезен чуть менее чем полностью, окажется что и крестовые проекты надо заодно компилять. Потому что без них - там только какие-то servo, cranelift и прочее - что даже забесплатно никто юзать не хочет.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

112. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 13:21

>Но вот новую версию тулчейна GCC я могу отстроить себе - прямо системной версией компилера.
А системная версия компилятора была изначально на ассемблере написана или сразу же в виде двоичного кода шла?
>И конечно это не идет ни в какое сравнение с ребилдом цати растовых тулчейнов по цепочке.
Вы опять лжёте. Возьмите ту же генту, без бинарного кеша, хотя-бы десятилетней давности, и соберите актуальную версию. Вам придётся собираеть не только gcc, но и кучу обвязки вроде python-а.
>А если еще и LLVM взять - без которого раст бесполезен чуть менее чем полностью
У вас есть абсолютно такой же clang.
>окажется что и крестовые проекты надо заодно компилять
Какая наглая ложь. Что gcc, что clang требуют сборки крестовых проектов.

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от User (??), 11-Мрт-26, 06:44

Эээээ... А кого-то волнуют проблемы гентушников? O'rly?
Ну, справляются как-то - им не привыкать: "ради этого всё и затевалось!"

Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

82. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (81), 11-Мрт-26, 10:22

>А люди будут верить, что уязвимостей там нет
Это только ыксперты местного уровня прочитали "безопасен по памяти" как "абсолютно безопасен".
>кто заинтересован через него распространять бэкдоры.
То ли дело дыряшечные проекты.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

108. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (108), 11-Мрт-26, 12:49

Представим на секунду что это не бред. Не знаю как кто, а я лично добровольно поставлю себе любые бэкдоры, и пожертвую любой безопасностью, чтобы писать на нормальном языке.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

113. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (113), 11-Мрт-26, 13:23

Как ЦРУ начало рекомендовать Rust для безопасности, так сразу стало понятно почему все переписывают на него. Убогий синтаксис (на уровне C++23), количество и размер зависимостей которому позавидует JS, ну и вложенные наследования, с которыми программа уже не blazingly fast, но без которого компилятор будет ругаться.

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

73. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (73), 11-Мрт-26, 08:23

См. "HTTP/1.1 must die: the desync endgame".
Там сам протокол достаточно плохо спроектирован, что написать обработку всех случаев достаточно сложно.

Ответить | Правка | Наверх | Cообщить модератору

74. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (74), 11-Мрт-26, 08:56

В HTTP/2.0 не лучше, только всё не очевидно и более запутанно. Потенциальных багов из-за бинарного протокола там может быть ещё больше.
https://opennet.ru/63726-http2
https://opennet.ru/60924-http2
https://opennet.ru/59901-ddos

Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." –1 +/–

Сообщение от Аноним (-), 11-Мрт-26, 09:33

> В HTTP/2.0 не лучше, только всё не очевидно и более запутанно. Потенциальных
> багов из-за бинарного протокола там может быть ещё больше.
Как раз бинарный протокол сложнее парсить неоднозначно чем текстовый. В текстовом много что может пойти не так. И переводы строк, и регистры и их смесь, и всяие символы заковыристые. А суммарно фронт и бэк десинхрится и совершенно левый запрос васяна подшивается к чужому запросу, например, вообще админа сайта. И вот якобы-админ уже якобы-что-то там запросил. Хорошо быть админом. Особенно - чужого сайта, нахалвяу то.
В бинарном протоколе - этих классов багов просто нет. Как категории.

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (111), 11-Мрт-26, 13:17

Плюс текстовых протоколов в том, что человек может их читать без специальных инструментов и нет проблем с пониманием. Меньше вероятность что-то критически пропустить при разработке и отладке.
>И переводы строк, и регистры и их смесь, и всяие символы заковыристые.
В бинарных протоколах есть \0 и целый букет проблем вокруг расчета отступов.

Ответить | Правка | Наверх | Cообщить модератору

114. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (81), 11-Мрт-26, 13:27

>что человек может их читать без специальных инструментов
Не может. Возьмите json одной строкой и попробуйте его прочитать.
>и нет проблем с пониманием
Есть. Про проблему Норвегии в yaml не слышали?

Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (111), 11-Мрт-26, 10:36

>Там сам протокол достаточно плохо спроектирован
По сравнению с QUIC - легко.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

87. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (16), 11-Мрт-26, 11:10

https://opennet.ru/55226-quic

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +1 +/–

Сообщение от Аноним (111), 11-Мрт-26, 10:34

Переусложненные корпоративные системы всегда содержат критические проблемы. Никаких исключений.
> В этой ситуации Pingora не учитывал размер в заголовке "Content-Length", а считал телом запроса все данные, полученные до закрытия соединения.
Позор.
>Pingora перенаправлял все полученные данные как один запрос, а бэкенд, например, Node.js, вычислял запрос на основе "Transfer-Encoding: chunked" и оставшийся хвост обрабатывал как начало другого запроса.
Попривыкли, что можно аппсервер за nginx убрать и не париться. Ну вот отвыкайте теперь.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (19), 11-Мрт-26, 15:14

Обычные растерманы. Язык же безопасный, зачем думать. Точнее, чем думать-то.

Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..." +/–

Сообщение от Аноним (-), 11-Мрт-26, 15:06

Мне всегда было интересно, зачем в http понапихали такое количество этих Content-Encoding? Существующие в параллельном мире Content-Length и read-to-end я ещё могу понять, хотели как проще, но получилось так себе. Но зачем было плодить Content-Encoding'ов столько?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2026 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+15 +/–
Сообщение от Диды (ok), 10-Мрт-26, 20:53
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним (19), 10-Мрт-26, 21:39
	> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. Если так, почему её использовали?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	66. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (-), 11-Мрт-26, 03:19
	> Если так, почему её использовали? Потому что отправлять запросы на аппсервер - грузит аппсервер?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:21
	> На brainfuck весьма сложно отслеживать логику приложения. А на каком легко? На Go?
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	68. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от _ (??), 11-Мрт-26, 06:00
	На том который знаешь!(С) йА :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	79. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Соль земли2 (?), 11-Мрт-26, 09:58
	Ну ожидаемо, что Rust хейтят, никак не подтверждая свои слова.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	100. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (19), 11-Мрт-26, 12:25
	критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust
	Ответить \| Правка \| Наверх \| Cообщить модератору


	107. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+1 +/–
	Сообщение от Соль земли2 (?), 11-Мрт-26, 12:40
	Это мог быть любой язык.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	119. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (19), 11-Мрт-26, 15:15
	мог быть любой, но оказался раст.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	120. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (19), 11-Мрт-26, 15:16
	> мог быть любой язык Но по факту оказался тот, который самый безопасный.
	Ответить \| Правка \| К родителю #107 \| Наверх \| Cообщить модератору


	115. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от llolik (ok), 11-Мрт-26, 14:44
	> Фреймворк Pingora написан на языке Rust Который, внезапно, от алгоритмических ошибок не освобождает.
	Ответить \| Правка \| К родителю #100 \| Наверх \| Cообщить модератору

3. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+8 +/–
Сообщение от Аноним (3), 10-Мрт-26, 20:53
РЕШЕТO!!1 А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:23
	https://www.opennet.dev/opennews/art.shtml?num=64574
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним (34), 10-Мрт-26, 22:52
	никакой спеки там нет, костыль на костыле
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	67. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (67), 11-Мрт-26, 05:46
	Раст даже не близко безопасный язык в отличии от верифицируемых. Театр безопасности.
	Ответить \| Правка \| К родителю #3 \| Наверх \| Cообщить модератору


	77. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Жироватт (ok), 11-Мрт-26, 09:29
	Зато они смогли продать цирк с первоклассным жупелом - "проблемами памяти".
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
Сообщение от Аноним (16), 10-Мрт-26, 21:08
>Уязвимости устранены в выпуске Pingora 0.8.0 Реагируют, уже хорошо. Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:10
	>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. А это прям хорошо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+4 +/–
	Сообщение от Аноним (12), 10-Мрт-26, 21:17
	> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	15. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–1 +/–
	Сообщение от Аноним (16), 10-Мрт-26, 21:22
	И без переписывания за всем не уследишь: 1) https://opennet.ru/62635-kernel 2) https://opennet.ru/64574-bug
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+5 +/–
	Сообщение от Аноним (33), 10-Мрт-26, 22:41
	> Диды не зря завещали: "Keep it simple, stupid". А делали Keep it simple-stupid. В первом же новом юниксе выcpaли дырень в 50 строках. Как говорится "не мешки ворочать".
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	81. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (81), 11-Мрт-26, 10:18
	>Диды не зря завещали: "Keep it simple, stupid" Выкидывай компьютер и бери счёты, живи по заветам дидов.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору

24. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+6 +/–
Сообщение от Аноним (24), 10-Мрт-26, 22:02
"haha, classic" (ц) Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+11 +/–
	Сообщение от Аноним (28), 10-Мрт-26, 22:20
	> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить. Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости. Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (37), 10-Мрт-26, 23:06
	Мне кажется ты не разобрался.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+4 +/–
	Сообщение от ferris (?), 11-Мрт-26, 02:44
	Угу, тебе кажется
	Ответить \| Правка \| Наверх \| Cообщить модератору


	104. Скрыто модератором	+/–
	Сообщение от Аноним (-), 11-Мрт-26, 12:32
	> Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" Если у меня сайт скиздили через админку - какая мне нахрен разница, через переполнение буфера это или через подстановку запроса? Вы там с вашей фиксайцией на 1 классе багов - долбанулись. И игнорите остальное. А взамен получаете - вот такие плюхи потом. Что и ожидалось. Так что ваши сказки про безопасность будут ессно булшитом.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	29. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–2 +/–
	Сообщение от Аноним (29), 10-Мрт-26, 22:25
	Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов: A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы) B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.
	Ответить \| Правка \| К родителю #24 \| Наверх \| Cообщить модератору


	42. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	+2 +/–
	Сообщение от Аноним83 (?), 10-Мрт-26, 23:31
	а) теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов. б) ...и начинает думать о жизни: как с этим всем дальше жить :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимости в проекте Pingora, позволяющие вклиниться в сторо..."	–4 +/–
	Сообщение от Аноним (29), 11-Мрт-26, 00:16
	> теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов. Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает месяц-два. "Что бы быстрее собралось" - все способы давно известны, никакой борьбы там нет. Капец люди, вы сколько-то лет назад где-то что-то в газете прочитали и до сих пор считаете, что что-то знаете о реальном мире по этим сообщениям. С нуля: ``` ... Compiling pingora-s2n v0.7.0 (/home/user/p/pingora-0.7.0/pingora-s2n) Compiling pingora-boringssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-boringssl) Compiling pingora-openssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-openssl) Finished `dev` profile [unoptimized + debuginfo] target(s) in 29.24s ``` Это в WSL - с эмуляцией линуксового ядра, хотя в винде оно хорошо и быстро сделано. При разработке же всё не пересобирается, поэтому время сильно меньше. Кроме того, при разработке (о чём вы разумеется не знаете, как обычно) IDE ошибки сразу подсвечивает, тебе вообще сборку спамить не надо - только если запустить-проверить. Огромный движок Bevy например инкрементально собирается и запускается менее, чем за 1 секунду. Осторожно, пригнитесь: можно ушибить голову о реальный мир.
	Ответить \| Правка \| Наверх \| Cообщить модератору