Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 , opennews (ok), 06-Янв-24, (0) [смотреть все] Скрыто модератором, Аноним (6), 10:46 , 06-Янв-24, (6) +5 // Скрыто модератором, ПомидорИзДолины (?), 10:53 , 06-Янв-24, (8) –5 // Скрыто модератором, 12yoexpert (ok), 10:56 , 06-Янв-24, (9) Скрыто модератором, Аноним (6), 10:57 , 06-Янв-24, (10) +7 Скрыто модератором, Аноним (6), 11:02 , 06-Янв-24, (11) +1 Скрыто модератором, Аноним (-), 11:14 , 06-Янв-24, (14) +6 // Скрыто модератором, ПомидорИзДолины (?), 14:17 , 15-Янв-24, (127) - const unsigned sum unsigned name size value size size_t sum if q, Аноним (19), 12:20 , 06-Янв-24, (19) +2   // Безопасность в коде определяется не отсутствием дыр, а возможностью программист, Агл (?), 13:13 , 06-Янв-24, (22) –1   // Если попало в новости, значит, вовремя не прикрыли , Аноним (23), 13:34 , 06-Янв-24, (23)   // Как раз вовремя, потому что не пришлось втихую патчить , Аноним (26), 14:34 , 06-Янв-24, (26) +1   Обезвреживать, глеб егорыч, Аноним (50), 04:53 , 07-Янв-24, (50)   По версии местных ыкспертов, программисты, которые допускают такие ошибки, должн, Аноним (32), 15:20 , 06-Янв-24, (32)   // Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть ин, Аноним (37), 18:19 , 06-Янв-24, (37) +1   // гугловцы утверждают, что мало помогает, прям совсем Но да, поверю тебе, что они, Аноним (44), 23:39 , 06-Янв-24, (44)   Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они, Аноним (55), 09:22 , 07-Янв-24, (55)   Судя по тому что практически в любом мало мальски крупном проекте был юи такие о, Аноним (86), 21:27 , 07-Янв-24, (86)   зачем вообще писать на С генерируя такие конструкции, Аноним (6), 15:45 , 06-Янв-24, (35) +2   // А что и на что вы предлагаете заменить , Аноним (38), 19:11 , 06-Янв-24, (38) +1   // Тут гогнодизайн в самом API вместо того, чтобы size ф-ии как, и везде в мире,, Аноним (67), 16:38 , 07-Янв-24, (67)   Ну и qAddOverflow зачем-то берёт последний аргумент по указателю, хотя в да, Аноним (67), 16:44 , 07-Янв-24, (68)   А ты вообще в курсе _ЧТО_ такое Qt не думаю - , _ (??), 20:32 , 06-Янв-24, (40) +1   // Qt Что-то из области маркетинга, видимо , Аноним (101), 13:14 , 08-Янв-24, (101)   Кути пришли из 90х Ты помнишь плюсы тех лет , Аноним (43), 22:14 , 06-Янв-24, (43) –1   // а из каких годов пришел HTTP 2 , Советский инженер (ok), 10:32 , 07-Янв-24, (61)   А если всё проверять то будет не производительно и код дольше писать Окажется, Аноньимъ (ok), 04:19 , 07-Янв-24, (49)   // В данном случае это особенность формата HPACK, он хитрый и нужно много проверять, Аноним (67), 16:48 , 07-Янв-24, (69)   // Автоматически увеличивает строк кода в сишечной программы в 3-5 раз Соответстве, Аноньимъ (ok), 17:12 , 07-Янв-24, (76)   Чушь пишеь, это c и здесь всё можно посахарить до уровня питона, Аноним (67), 17:35 , 07-Янв-24, (79)   Сишка и сипипишка конечно отличаются Сишка просто несколько хромосом лишних име, Аноньимъ (ok), 18:29 , 07-Янв-24, (81)   Какая ты всё-таки бестолочь C тормоз и не гибкий ЯП, Аноним (67), 19:25 , 07-Янв-24, (82) –1   Если С - не гибкий, пишите на F , Аноньимъ (ok), 12:39 , 08-Янв-24, (100) +2   Ага, каждая программа гвоздями прибита к конкретной Net Core, дофига зависимост, Аноним (90), 21:48 , 07-Янв-24, (90) –2   Net поддерживает компиляцию в нативный код как и Java к слову, но с ограничени, анон (?), 23:24 , 07-Янв-24, (91)   У С дела с этим гораздо ХУЖЕ И вообще, дотнетовские программы то обычно жаст в, Аноньимъ (ok), 12:18 , 08-Янв-24, (99)   жаст котегов себе заведи жаст пяток Ну чтобы выяснить, что кроме жаст ещё нуж, Котофалк (?), 09:27 , 09-Янв-24, (117)   Просто кому-то захотелось выпендриться и написать феерическое const unsigned ч, cheburnator9000 (ok), 13:11 , 07-Янв-24, (63)   Размер то они проверили, но не осилили сложить два unsigned без переполнения, Аноним (67), 17:15 , 07-Янв-24, (77)   При каких условиях можно достичь 2 ГиБ данных на один HTTP-заголовок 0_o, Аноним (20), 12:35 , 06-Янв-24, (20) +3 // Куки OAuth2, например Если они оказались всего 4 Кб, то вам просто повезло, выд, Аноним (23), 13:37 , 06-Янв-24, (25) +1 Многие уязвимости как раз происходят, котому что кому в голову придет посылать , Аноним (54), 08:03 , 07-Янв-24, (54) +2 // Не, это не так работает Присылается 1 байт, а в заголовке указывается что на са, Аноним (67), 16:53 , 07-Янв-24, (72) Это защита от намеренных атак на протокол, клиент сервер могут прислать что угод, Аноним (67), 16:52 , 07-Янв-24, (71) БезопасТный в этом случае не помог бы , Аноним (26), 14:36 , 06-Янв-24, (27) +3 // Помог бы Если программа не существует, в ней 0 ошибок , Аноним (55), 10:00 , 07-Янв-24, (58) –1 А откуда такие высокие номера версий, сразу 4 и 5 В 6 2 x например последняя 6, nora puchreiner (?), 14:36 , 06-Янв-24, (28) –2 // Так коммерческие версии же Их открывают только через год , Аноним (29), 14:43 , 06-Янв-24, (29) +1 // Они вроде собирались переходить на открытие исходников коммерческой версии через, Аноним (30), 15:09 , 06-Янв-24, (30) Пора на slint переходить , Аноним (34), 15:42 , 06-Янв-24, (34) –1 // Переходи, разрешаю , Аноним (55), 09:26 , 07-Янв-24, (56) +1 // Перешел Прикольно , Аноним (103), 14:58 , 08-Янв-24, (103) В расте в релизе по дефолту отключены проверки на переполнение чисел Там были б, Аноним (95), 10:22 , 08-Янв-24, (95) Замечу, что это в том числе следствие подхода 171 Qt 8212 это экосистема 1, Аноним (36), 16:21 , 06-Янв-24, (36) +2 // Так всё порезано на модули Используйте себе на здоровье только QtGui, если надо, Аноним (26), 02:15 , 07-Янв-24, (46) +3 // Что в самом Qt GUI багов и недоделанных фич мало, что ресурсы разбазаривают на , Аноним (65), 13:36 , 07-Янв-24, (65) // Ну как бы всё это можно использовать и в приложении гуишном, например, впн-клиен, Аноним (20), 15:03 , 07-Янв-24, (66) Опять же, если нужно кроссплатформ, то практически безальтернативно А так пороб, Аноним (26), 21:06 , 07-Янв-24, (83) libcurl кроссплатформенна , Аноним (90), 21:40 , 07-Янв-24, (88) Вколько раз говорили тулкиты зло Закопать свою реализцию и заменить на libcurl, Аноним (39), 20:10 , 06-Янв-24, (39) +1 // до тех пок пока в libcurl не найдут прекрасное PS опенет заполонили какие, _ (??), 20:36 , 06-Янв-24, (42) +1 // Автор libcurl занимается написанием http-библиотеки профессионально Авторы Qt -, Аноним (45), 01:17 , 07-Янв-24, (45) +1 // Да он дырявый по самые помидоры , Ананимус (?), 02:19 , 07-Янв-24, (47) Да вроде нетhttps github com curl curl issues, Аноним (55), 10:04 , 07-Янв-24, (59) Да точно, посмотри список их CVE , Ананимус (?), 11:06 , 08-Янв-24, (96) Но не умеет писать нормальную документацию В частности, нет обзорной справки о , Аноним (67), 17:08 , 07-Янв-24, (74) У меня документация никаких проблем не вызвала , Аноним (90), 21:38 , 07-Янв-24, (87) Очень спорное утверждение libcurl используется в git, cmake, rsyslog, libreoffi, Ананимус (?), 11:11 , 08-Янв-24, (97) Она же на С, а не на С , anonymous (??), 03:58 , 08-Янв-24, (94) +1 Зачем работодатель платит тебе зарплату если проще заменить тебя на более толков, cheburnator9000 (ok), 13:07 , 07-Янв-24, (62) +1 // Более толковый человек уже наверняка где-то работает, Аноним (67), 17:38 , 07-Янв-24, (80) +1 Скрыто модератором, ОШИБКА Отсутствуют данные в поле Name (?), 20:33 , 06-Янв-24, (41) Учитывая огромный объем проекта Qt всего одна уязвимость такого рода это не прос, Аноним (55), 09:59 , 07-Янв-24, (57) +3 // Просто на Qt мало чего сделано, где могут искать уязвимости Только неадекват бу, Аноним (67), 17:11 , 07-Янв-24, (75) // Интересно, проект KDE согласен с твоим мнением , Аноним (26), 21:09 , 07-Янв-24, (84) // KDE - это абсолютно неважный код Судя по тому, что плазма по-прежнему падает , Аноним (90), 21:43 , 07-Янв-24, (89) И самое странное, что она падает только у тех, кто ей не пользуется , Аноним (92), 23:30 , 07-Янв-24, (92) +3 Проект KDE может иметь какое угодно мнение, но оно никого не волнует с их менее , Аноним (67), 18:17 , 08-Янв-24, (111) 32 из 7 23 Linux-десктопы всех десктопов , Аноним (123), 15:29 , 09-Янв-24, (123) хм у QT есть свой http2 удивлен, Аноним (124), 00:34 , 10-Янв-24, (124) 19,20,27,28,34,36,39,57,124

Сообщения

[Сортировка по времени | RSS]

19. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+2 +/–
Сообщение от Аноним (19), 06-Янв-24, 12:20
- const unsigned sum = unsigned(name.size() + value.size()); + size_t sum; + if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum)) +     return HeaderSize(); Ну забыли проверить размер, ну бывает!
Ответить | Правка | Наверх | Cообщить модератору

	22. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	–1 +/–
	Сообщение от Агл (?), 06-Янв-24, 13:13
	"Безопасность в коде определяется не отсутствием дыр, а возможностью программистов их вовремя прикрывать!"
	Ответить | Правка | Наверх | Cообщить модератору

	23. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (23), 06-Янв-24, 13:34
	Если попало в новости, значит, вовремя не прикрыли.
	Ответить | Правка | Наверх | Cообщить модератору

	26. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от Аноним (26), 06-Янв-24, 14:34
	Как раз вовремя, потому что не пришлось втихую патчить.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (50), 07-Янв-24, 04:53
	Обезвреживать, глеб егорыч
	Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

	32. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (32), 06-Янв-24, 15:20
	По версии местных ыкспертов, программисты, которые допускают такие ошибки, должны быть разжалованы из программистов, а проект быть нареченным говнокодом. Правда, за десятки лет так и не научились писать на языках с ручным управлением памяти без ошибок, так что по такой логике нет настоящих программистов.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	37. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от Аноним (37), 06-Янв-24, 18:19
	Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть инструментами тестирования если ты такой тупой. Чтобы писать на языках с управлением памятью надо почитать как это делается и иметь обычай перепроверять вручную все обращения к памяти. А если эти упыри с с искуственным интеллектом заведут работать суперкомпьютер высчитывая вероятность написать код правильно ударами модотка по корпусу, то скорее всего он еще и выдаст что шанс ненулевой даже, хотя всем понятно что именно нулевой на практике.
	Ответить | Правка | Наверх | Cообщить модератору

	44. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (44), 06-Янв-24, 23:39
	>  и хотя бы владеть инструментами тестирования если ты такой тупой. гугловцы утверждают, что мало помогает, прям совсем. Но да, поверю тебе, что они там просто все тупые, поголовно.
	Ответить | Правка | Наверх | Cообщить модератору

	55. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (55), 07-Янв-24, 09:22
	Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они помогают им еще как! Хром почти не крашится, уязвимостей немного и оперативно исправляются.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (86), 07-Янв-24, 21:27
	Судя по тому что практически в любом мало мальски крупном проекте был юи такие ошибки, то стоит признать что ручное управление памятью оно не для кожанных мешков с костями. Раз за несколько десятков лет этот класс ошибок не только не остался в прошлом, но и остаётся в топе популярных.
	Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

	35. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+2 +/–
	Сообщение от Аноним (6), 06-Янв-24, 15:45
	>> if (qAddOverflow(size_t(name.size()), size_t(value.size()), &sum)) зачем вообще писать на С++ генерируя такие конструкции
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	38. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от Аноним (38), 06-Янв-24, 19:11
	А что и на что вы предлагаете заменить?
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:38
	Тут гогнодизайн в самом API: вместо того, чтобы size() ф-ии как, и везде в мире, возвращали size_t, они возвращают ssize_t (знаковый тип). Нужно, очевидно, наконец таки убрать маразм из своей кодовой базы, ну или сделать костыль в виде некой свободной ф-ии типа питоновского len(...)
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:44
	Ну и qAddOverflow(...) зачем-то берёт последний аргумент по указателю, хотя в данном случае нужно по ссылке. Так обычно делают когда аргумент опиционален, но здесь он обязателен и если положить nullptr, то код сложится. В общем, весь Qt устарел на не один десяток лет. Ссылки в с++ появились где-то в 1985, первый Qt появился в 1991.
	Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

	40. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+1 +/–
	Сообщение от _ (??), 06-Янв-24, 20:32
	> зачем вообще писать на С++ генерируя такие конструкции А ты вообще в курсе _ЧТО_ такое  Qt ?!   ... не думаю! ;-)
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	101. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (101), 08-Янв-24, 13:14
	Qt... Что-то из области маркетинга, видимо.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	–1 +/–
	Сообщение от Аноним (43), 06-Янв-24, 22:14
	Кути пришли из 90х. Ты помнишь плюсы тех лет?
	Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

	61. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Советский инженер (ok), 07-Янв-24, 10:32
	>Кути пришли из 90х. Ты помнишь плюсы тех лет? а из каких годов пришел HTTP/2 ?
	Ответить | Правка | Наверх | Cообщить модератору

	49. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 07-Янв-24, 04:19
	А если всё проверять то будет не производительно (( и код дольше писать. Окажется что сишечка не быстрее гошечки да джавы. А так нельзя.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	69. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:48
	В данном случае это особенность формата HPACK, он хитрый и нужно много проверять. Тут проверки на итоговые задержки практически не повлияют. Во всяком случае сначала нужно написать корректный код с проверками, а потом аккуратно оптимизировать. Тут же сразу на от...сь сложили два unsigned и результат проверили на переполнение сравнением с max<unsigned>(). Даже не пытались не нагогнокодить
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 07-Янв-24, 17:12
	> Во всяком случае сначала нужно написать корректный код с проверками Автоматически увеличивает строк кода в сишечной программы в 3-5 раз. Соответственно и трупрограммисто рабочих часов. На самом деле часов будет больше, так как растёт не линейно. > Тут же сразу на от...сь сложили два unsigned Обычная сишечная практика. > и результат проверили на переполнение сравнением с max<unsigned>() И вот реально, наняли же на работу, платят человеку ЗП. > Даже не пытались не нагогнокодить По другому почти никогда и не бывает. Особенно с сишкой. Потому как читать первую часть комментария, иной подход требует очень дорогих специалистов и кучу человеко-часов.
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 17:35
	Чушь пишеь, это c++ и здесь всё можно посахарить до уровня питона
	Ответить | Правка | Наверх | Cообщить модератору

	81. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 07-Янв-24, 18:29
	Сишка и сипипишка конечно отличаются. Сишка просто несколько хромосом лишних имеет. Но сипипишка страдает острой маниакальной шизофренией. Да, можно включить в сипипишке рантайм чек, добавить управление памятью, и завернуть бездумные адские "шаблоны" и прочую сатанинскую жуть в что-то более няшное. Только С# изобрели много много лет назад, и ненужно вот таким вот в нём заниматься вообще, оно уже всё там есть.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	–1 +/–
	Сообщение от Аноним (67), 07-Янв-24, 19:25
	Какая ты всё-таки бестолочь. C# тормоз и не гибкий ЯП
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+2 +/–
	Сообщение от Аноньимъ (ok), 08-Янв-24, 12:39
	> Какая ты всё-таки бестолочь. C# тормоз и не гибкий ЯП Если С# - не гибкий, пишите на F#.
	Ответить | Правка | Наверх | Cообщить модератору

	90. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	–2 +/–
	Сообщение от Аноним (90), 07-Янв-24, 21:48
	>С# изобрели много много лет назад Ага, каждая программа гвоздями прибита к конкретной .Net Core, дофига зависимостей и пакетам нюгета. Ффзвезду ЯП с таким рантаймом.
	Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

	91. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от анон (?), 07-Янв-24, 23:24
	.Net поддерживает компиляцию в нативный код (как и Java к слову, но с ограничениями)
	Ответить | Правка | Наверх | Cообщить модератору

	99. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноньимъ (ok), 08-Янв-24, 12:18
	> Ага, каждая программа гвоздями прибита к конкретной .Net Core, дофига зависимостей и > пакетам нюгета. Ффзвезду ЯП с таким рантаймом. У С++ дела с этим гораздо ХУЖЕ. И вообще, дотнетовские программы то обычно жаст воркс, и им для этого ненужен пАкЕтНый меНеджЕр.
	Ответить | Правка | К родителю #90 | Наверх | Cообщить модератору

	117. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Котофалк (?), 09-Янв-24, 09:27
	>  жаст воркс жаст котегов себе заведи жаст пяток. Ну чтобы выяснить, что кроме "жаст" ещё нужно чтоб к лотку были приучены. Да и других тонкостей вагон. Да и дотнетовский "жаст воркс" тоже ожидается что конфиги на месте (там где определил дистр), логи на месте, органы управления на месте. Но у дотнетчиков понятное дело не так. Весь пар в жалобы про пакетный менеджер в пабликах. И да, "жаст ворк" это про static линковку? Это вы  так удивить пытались?
	Ответить | Правка | Наверх | Cообщить модератору

	63. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от cheburnator9000 (ok), 07-Янв-24, 13:11
	Просто кому-то захотелось выпендриться и написать феерическое "const unsigned" чтобы что не ясно, вместо условного unsigned long long или Qt-шного quint64.
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

	77. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 17:15
	Размер то они проверили, но не осилили сложить два unsigned без переполнения
	Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема