Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4 и 2.14.62.24.1, в которых устранены уязвимости, позволяющие атакующему переписать произвольные пути в файловой системе, организовать удалённый запуск кода или перезаписать файлы в каталоге ".git/". Большинство проблем выявлены сотрудниками...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52010
Писали бы на Расте, проблем и уязвимостей бы не было
И как же Раст помгает экранировать символы и справляться с git~1
Ну он же БЕЗОПАСНЫЙ. Значит всё по кайфу, братик. Всё обезопасит. Программисту думать не надо. А если не экранирует что-то, то получается, ты ставишь его главную фичу, безопасность, под сомнение? Тогда что, получается программисту всё же нужно следить за тем что он пишет? Значит у него нет преимуществ? Значит лучше использовать си, для максимального контроля?
>Тогда что, получается программисту всё же нужно следить за тем что он пишет? Значит у него нет преимуществ?Нет, не значит. Значит, у Rust есть преимущества, но не настолько большие, чтобы можно было выключать мозг и кодить в спящем режиме. И вообще, задолбали уже пинать соломенное чучело. Никто не утверждает, что Rust полностью безопасен во всех смыслах этого слова. Демагоги.
Тем, у кого нет чувства юмора - не поможет ничто
> Тем, у кого нет чувства юмора - не поможет ничтоПральна! Мы-то знаем, что переписывать надо
с питона на гоу (ESR @ reposurgeon), и
с шела на Си (обиженные вин-сом [со-]авторы git-а). </серьёзно 1>
Даже не знаю, какое чувство юмора может помочь воспринимать идиотов как шутников.
"Писали бы на Расте, проблем и уязвимостей бы не было" - разве такая уж ужасная шутка? Я и похуже видел
Это не шутка, а часть стратегии по продвижению: больше шума с контекстом "он безопаснее, надёжнее, etc."
Почитайте официальный сайт языка, найдите там спорные утверждения и приведите с аргументами.
Может еще на сайте Майкрософт поспорить с тем как офигенен виндоус? :)
С такой стратегией продвижения - он будет популярен у бывших дельфистов. Если они еще остались. Там тоже ЯП использовали на 99% только полные кретины.
> Писали бы на Расте, проблем и уязвимостей бы не былоконечно бы не было, самого git тоже бы не было
p.s. прежде чем минусовать почитайте лучше вот это: http://way-cooler.org/blog/2019/04/29/rewriting-way-cooler-i... (адепт Rust взялся написать rust-обертку над wlroots, которая делает ничего (зато "бизапасна"). полтора года, >1000 коммитов, >11000 строк расто-кода, конца и края не видно, автор закрывает проект и пишет на Си)
> A Wayland “output” is the resource that represents a display device. Commonly this means it handles a computer monitor. This resource could disappear at any time in the life cycle of the application. This is easy enough to imagine: all it takes is a yank of the display’s power cord and the monitor goes away.Много вы видели сишных библиотек, практикующих выбивание выделенных ресурсов прямо из-под ног программиста?
В этой статье я пока вижу вырожденный случай, тем более что вся она — плач о трудности совокупления с одной большой библиотекой.
В статье один конкретный человек не осилил сделать безопасную обертку над конкретным небезопасным сишным кодом. Пользуясь этим фактом, вы тут же намекаете на "нинужность" Rust. Вам не кажется, что такое называется софизмом?Что Rust лично сделал хейтерам на opennet? Такое ощущение, словно раст у них последний кусок хлеба насильно отобрал. Новый быстрый компилируемый язык программирования, без GC, сочетающий в себе наиболее практичные средства функционального программирования и ООП, еще не обросший тоннами легаси, с нормальной единой системой сборки, позволяющий писать как безопасный код, соблюдая ряд ограничений, так и небезопасный (небезопасный код можно использовать как логический блок безопасной системы: реши одну сложную задачу выверенным unsafe кодом и все остальное ты можешь без опаски делать в safe-пространстве, - однако, в большинстве случаев, если тебе нужен unsafe-код, у тебя очень фиговый дизайн и ты плохо подумал о структуре своей программы), предоставляющий потокобезопасность, которая другим языкам и не снилась - и это только малая часть его достоинств. Да, Rust не идеален - никто не идеален. Но причины мелочной ненависти местных анонимов мне вообще непонятны.
erlang - идеален
Ну ктоме мелочей вида что каждая собака решила уже свой модульчи написать, в Cargo ад полный. Не один пакет нормально не выйдет для дистрибутивов пакетировать. Ад такой же как и с пакетами GO. Ниче что уязвимости и косяки есть в тех самых пакетак коих как на ноде собак нерезаных, ну да да конечно они все 100 качественные и не содержат эксплойтов. И ниче что синтаксис тот еще ад и содомия. Ниче что редахтор под него не подобрать нормально. Ну так чисто всего по мелочи туда сюда вот и получается что ненавидят и обожают.
> Что Rust лично сделал хейтерам на opennet?Не знаю, но они почему-то тянут его сюда к месту и не к месту -- как вот и в этой теме.
Кто любит -- тот применяет, развивает и бережёт. А кто ненавидит -- тот вместо того, чтоб сесть и попытаться переписать -- носится с жупелом и суёт его, как правило, ещё и не к месту.
Странные люди.
Этот тред был начат троллем, ты не видишь этого Шигорин? Совершенно точно не растоманом, потому что настолько идиотов не бывает в реальности.
растАманы "ни при чём".
> Совершенно точно не растоманом, потому что настолько идиотов не бывает в реальности.По растоманам и не скажешь. Там вон в соседнем треде у какого-то растомана из аргументов было то что "это песня а не ЯП". Он с такими аргументами кто?
> с нормальной единой системой сборкиКоторая по команде сборки софта лезет в интернет без предупреждения и качает из него невесть что. Нет, спасибо, лучше я обойдусь без таких "удобств", качайте безопасных троянов сами.
> В статье один конкретный человек не осилил сделать безопасную обертку над конкретным
> небезопасным сишным кодом. Пользуясь этим фактом, вы тут же намекаете на
> "нинужность" Rust. Вам не кажется, что такое называется софизмом?софистика - это ваши спекуляции, я ни на что не намекал, я прямо сказал: "продуктивность разработки на Rust так низка, что продуктов уровня Git на Rust не будет и через 40 лет (и не надо повторять эту мантру, мол язык молодой, а Си старый, сейчас за день кода больше пишется чем 40 лет назад за год)". нужность - ненужность, это категории тех кто не кодирует.
> Что Rust лично сделал хейтерам на opennet? Такое ощущение, словно раст у
> них последний кусок хлеба насильно отобрал.так у них и спросите. я не хейтор, я лишь указал анониму на абсурдность его коммента. с хорошим аргументом указал.
> В статье один конкретный человек не осилил сделать безопасную обертку над конкретным небезопасным сишным кодом.
> я лишь указал анониму на абсурдность его коммента. с хорошим аргументом указал.Так вы серьезно считаете это хорошим аргументом? Вы, кстати, понимаете, что спорили с троллем?
> продуктов уровня Git на Rust не будет и через 40 лет
Вы правда в это верите?
Тем временем, например, ripgrep обошел любой grep на C (а эти звери не одно десятилетие разрабатывались). Вы скажете, что они там алгоритмы пофиксили и mmap где нужно подсунули, но я спрошу вас, а почему же остальные так не сделали? Да потому что рабочий кусок кода на C лишний раз тронуть страшно, не то что оптимизировать. Рефакторинг и оптимизация без страха - одно из главных достоинств Rust, которое редко упоминают. В то же время actix на Rust обходит любые веб-фреймворки на других языках (C++ в их числе) в большинстве тестов (https://www.techempower.com/benchmarks/). Redox OS уже заводится на настоящем железе. Rust используют Microsoft и Google, мелкие уже даже пытаются провернуть EEE. С момента выхода стабильной 1.0 версии Rust прошло меньше пяти лет. За это время на Rust появилось множество кода, надежность которого на других языках достигалось многими годами разработки. Но я оставлю вас и ваши иллюзии.
> я не хейторЕсли бы в им не были, вы бы сами посмеялись над собственной аргументацией.
> ripgrepВот она гордость растокоммюнити! Школьная поделка
> Redox OS уже заводится на настоящем железе
Ректалос 20 лет назад заводилась, и что? Толку с неё и сейчас 0 (т.е. примерно как со всего растакода)
> actix на Rust обходит любые веб-фреймворки на других языках
И что? Тот, кто хоть раз работал программистом, знает, что менеджмент не интересует 10% увелечение производительности ценой 10х увеличения времени на разработку. Даже в самых нищих странах более мощное железо выйдет дешевле времени кодера. Поэтому на растишке не пишут и писать не будут.
> Rust используют Microsoft и Google
Давай ссылки на вакансии. То, что кто-то занимается этим вместо осонвной работы - недосмотр менеджмента, а не реальный кейс.
> мелкие уже даже пытаются провернуть EEE
Нет, они хотят пофиксить эту гуану, а не захватить. Знаешь сколько % кода на раст в мазиле фаерфокс? Осилишь посмотреть? И это копится с 2016 года. Зачем захватывать то, что непользуется даже хозяином?
> на Rust появилось множество кода, надежность которого на других языках достигалось многими годами разработки
Зачем разрабаывать helloworldы годами? xD
> посмеялись над собственной аргументацией
Зачем? Лучше смеяться над поехавшими растафанатиками, которые называют неосиляторами других растофанатиков, которые написали что-то больше чем helloworld
Кстати покажи свой код.
Теперь вы срываетесь на откровенную агрессию и высмеивание, а ваша аргументация еще слабее прежней. Еще и на "ты" переходите, хотя я вроде никак не располагал к приятельским отношениям (если, конечно, я говорю с тем же человеком), да еще и "на слабо" берете. Детский сад какой-то.После такой откровенно эмоциональной реакции вы все еще отрицаете, что вы хейтер и просто выбрали себе цель для накопленной агрессии? Разберитесь в себе, пожалуйста, и не приставайте к открытым технологиям - это непродуктивно и так вы ни себе, ни другим не поможете.
> Кстати покажи свой код.на чем сами пишите?
Из всех анонов процентов пять прочитали, из них такой же процент - поняли.
Автор в последних абзацах чётко говорит главное - что _не надо переписывать что-то на раст только ради того чтобы оно было на раст_ - это не инжениринг, а пустая трата ресурсов.
В статье речь идёт об отказе от реализации функционала композитора на rust, с сохранением планов реализации на нём совместимого с awesome оконного менеджера.
Но позже автор пошёл дальше и вообще весь раст выкинул из way-cooler, решив не велосипедить на нём awesome, а прикрутить имеющийся в качестве клиента подобно тому, как он прикручен к X11. Теперь way-cooler — первый wayland-композитор без функционала оконного менеджера, что возвращает экосистему wayland в юниксвейное русло.
>некорректное экранирование аргументов командной строкиЭто не некорректное экранирование. Это грубейшие ошибки в проектировании - использовать для вызова своей программы CLI вместо разделения програмсы на библиотеку и CLI и внутри использования исключительно библиотеки.
>Это грубейшие ошибки в проектированииЕё же великой Линус писал :) Вождь Красноглазых не ошибается
Так у него в ОС таких проблем и не было никогда. А в винде на эти ~1 и прочие прелести наступает далеко не только GIT. Если кто не знает, это один из стандартных методов поимения web-серверов под виндой. Даже если правила сервера запрещают вам доступ - можно немного переформулировать запрос, это уже не попадет под access control правила сервера, но отлично сработает на уровне файловой систем. Сервер без задней мысли отгрузит файл. Да, на его нормальное имя стоял 403, а то что там система сама еще пяток имен и путей для этого файла придумала - софт предусмотреть не в состоянии.Конечно в теории можно whitelist делать. Но это канительно и усложняет поддержку. Или там IIS пользоваться. Но пока почему-то все орут за nginx. А если у MS в офисе пройдет обыск и авторов IIS отправят на мыло - наверное никто не особо расстроится.
Это юникс-вей, детка. А ошибка это ты
Слава Павершеллллллллллллллллл!!!!!!!!
Ну да, зачем вызывать какие-то стриемные консольные программы с какими-то стремными консольными параметрами, когда можно написать для всего этого библиотеки на божественном дотнете
Я вот не пойму - сегодня разгуляся сарказм или идиотизм?
А есть ли разница?
Ох, гад...
Это тот Powder sHell, который тащит с собой .NOT и для показа своего окошка полминуты грузит 200 библятек? Иногда адвинов-вантузятников по-настоящему жалко.
Это ты его еще просто на виртуалке не пробовал запускать. Круто же когда оно 2 минуты хрустит диском чтобы ввести пару команд. А потом еще оказывается что у команд которые хотелось состыковать - не совпадают типы данных. Поэтому состыковать их невозможно или адски сложно.А рядом линуксоид запускает за 5 секунд, вводит пару команд, шелл ему не делает мозг и просто отрабатывает то что попросили. MS посмотрел на все это... и появился WSL :)
Это грубейшая ошибка в проектировании операционной системы — передавать аргументы программ не массивом строк, а единой строкой, из-за чего для её поддержки приходится лепить страшные костыли и огребать за это уязвимости.
>при работе на платформе Windows применение альтернативных потоков данных в NTFS, создаваемых через добавление признака ":stream-name:stream-type" к имени файла, позволяло перезаписать файлы в каталоге ".git/" при клонировании вредоносного репозитория. Например, имя ".git::$INDEX_ALLOCATION" в NTFS обрабатывалось как корректная ссылка на каталог ".git".А вот-это уже уязвимость (а может быть и бэкдор) винды: давать доступ к альтернативным потокам через символьное имя. По хорошему следовало бы
1 сохранить старое API, но давать через него доступ только к обычным файлам.
2 ввести новое API, где пути - это исключительно объекты.
Это для удобства граждан.
> Опубликованы корректирующие выпуски распределённой системы управления исходными текстами
> файлы в каталоге ".git/". Большинство проблем выявлены сотрудниками..." Дары Микрософта и узник ретрита - II "
http://www.opennet.dev/openforum/vsluhforumID3/112776.html#48${PATH:+${PATH}:}http://www.opennet.dev/openforum/vsluhforumID3/111958.html#41
|| http://www.opennet.dev/openforum/vsluhforumID3/107331.html#6
&& http://www.opennet.dev/openforum/vsluhforumID3/107331.html#18—̶в̶и̶н̶д̶о̶у̶з̶ ̶н̶е̶ ̶т̶о̶р̶м̶о̶з̶и̶т— http://www.opennet.dev/openforum/vsluhforumID3/104920.html#17
а, не. не то.> выявлены сотрудниками...
> сотрудниками выявлены...Майор! Тише-тише...
Пользователям Windows рекомендуется не использовать Windows
>Пользователям Windows рекомендуетсяЗачем в новостях это писать?
А после этого ещё кто-то удивляется, чего это в OpenBSD пилят свой got...
Не, они в первую очередь хотят привычный им workflow с git-хранилищем под капотом, а повышенная безопасность ожидается разве что в виде приятного бонуса.
Да я знаю, это так, дружеский пинок. :)
>2.14.62.24.1Какой-то совсем ядрёный корректирующий релиз в ветке 2.14 получился...
сперва мне показалось, что мне показалось, но теперь...
им 4 циферок для версий уже не хватает? )
> сперва мне показалось, что мне показалось, но теперь...
> им 4 циферок для версий уже не хватает? )Тот, кто писал новость прифигел от этого в*ндо-бреда и
ошибся при копи-пасте https://lkml.org/lkml/2019/12/10/905
по фрейду, .. припомнив, видимо, версии кривопаков с чпуксов, аиксов и прочих атэитэ.Грустим, помним.
пользователям Windows рекомендуеться не рекомендовать рекомендованое, пускай страдают
А будет нормальный SCCS работал нормально. А теперь понаписали всякой шняги с дырками
голосование, кто юзает unix+git +1, кто windows+git -1
А если результат будет равен нулю, это значит, что никто не использует ничего, или что миллион тех и миллион этих?