The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход/выход
слежка
RSS


"Фшинг-атака на разработчиков пакетов на языке Rust"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Фшинг-атака на разработчиков пакетов на языке Rust"  +/
Сообщение от opennews (?), 13-Сен-25, 09:43 
Организация Rust Foundation предупредила разработчиков о выявлении фшинг-атаки против пользователей репозитория crates.io. Атака напоминает наблюдаемые последние месяцев попытки компрометации учётных записей в сервисах NPM, PyPI и Mozill AMO для последующей публикации релизов, содержащих вредоносный код. Сведений об успешном захвате учётных данных в ходе атаки пока нет...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63875

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

4. Сообщение от Аноним (4), 13-Сен-25, 09:50   +3 +/
централизованное хранилище кода - это удобно
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Голдер и Рита (?), 13-Сен-25, 09:53   +1 +/
> Фшинг-атака на разработчиков пакетов на языке Rust

Мы этого ожидали!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #47

8. Сообщение от Сергей (??), 13-Сен-25, 09:55   +1 +/
Децентрализованные точно такие же
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #55, #124

11. Сообщение от Фридрих (?), 13-Сен-25, 10:02   +11 +/
Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #64, #93

13. Сообщение от Голдер и Рита (?), 13-Сен-25, 10:05   +/
> Наконец взялись за этих павлинов

Это еще цветочки, а ягодки впереди. 😏

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

26. Сообщение от Аноним (26), 13-Сен-25, 10:35   +/
Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете, т.к. какие-то бабушки поймались.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #49, #127

28. Сообщение от Аноним (28), 13-Сен-25, 10:39   +7 +/
> Вот. IT-шники с мозгами ловятся на эту муть. А вы WhatsApp отрубаете,
> т.к. какие-то бабушки поймались.

Пока ты веришь что это из-за бабушек тебя модно обманывать как угодно и на только мошенникам.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #72, #85

33. Сообщение от Аноним (33), 13-Сен-25, 10:57   +1 +/
NPM и Crates.io ещё посоревнуются за первенство ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #90

35. Сообщение от Аноним (-), 13-Сен-25, 11:09   +5 +/
> NPM и Crates.io ещё посоревнуются за первенство ;)

Отличное соревнование,пока что NPM обгоняет Crates.
Но победитель все еще kernel.org.
Взлом которого не замечали ДЖВА ГОДА ¯\_(ツ)_/¯

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #37, #94

37. Сообщение от Аноним (37), 13-Сен-25, 11:17   +/
Соревнование по количеству проектов, за которые выдавали подставные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

47. Сообщение от Rev (ok), 13-Сен-25, 13:24   +2 +/
Да, а сведений об успешной атаке всё нет. Может всё-таки Rust-программисты умнее js-ников?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #51

48. Сообщение от Прохожий (??), 13-Сен-25, 13:39   –2 +/
Ожидаемо. И неудивительно. Не понимаю, чему здесь радуются Воины Борьбы Супротив Раста. Ведь эта атака показывает только то, что Раст становится таким же популярным, как JS, Python.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #78, #80

49. Сообщение от Прохожий (??), 13-Сен-25, 13:41   –1 +/
IT-шники с мозгами не считают Rust мутью. А вот те, кого природа обделила - да, считают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26 Ответы: #129

51. Сообщение от Аноним (51), 13-Сен-25, 14:51   +7 +/
> Может всё-таки Rust-программисты умнее js-ников?

Нет, не может. Просто у одних ЯП компилируется в бинарный код, у других нет. В остальном разницы никакой, оба не умеют обращаться с памятью поэтому одни пользуются js, другие растом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #82

55. Сообщение от Аноним (55), 13-Сен-25, 15:33   +4 +/
Всё же не совсем. Тут игра идёт на доверие к центральному авторитету, уважаемой компании, всяким там "foundation", за которыми даже без фишингов неизвестно кто стоит. В децентрализованной системе доверие в почти целиком зижится на карме конкретной личности, производящей продукт, а если и система доступа вообще децентрализованна (каждый сам хранит свои ключи публикации и нет паролей к чему-либо), то тут и фишить особо нечего.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #60, #68, #84

60. Сообщение от Аноним (60), 13-Сен-25, 16:06   +/
Есть такая пословица неизвестного происхождения: if you want to go fast, go alone, if you want to go far, go together. Подумай как-нибудь что она на самом деле обозначает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #71

64. Сообщение от Аноним (64), 13-Сен-25, 16:50   –1 +/
> Наконец взялись за этих павлинов. Теперь посмотрим как с них перья сейчас полетят в разные стороны.

А о каких "павлинах" речь? В Microsoft и других компаниях, топящих за Раст, вполне закономерно не юзают crates.io (и прочие публичные помойки для других языков) - у них своя локальная инфраструктура развернута.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #117, #126

68. Сообщение от Аноним (-), 13-Сен-25, 17:54   +3 +/
> Тут игра идёт на доверие к центральному авторитету,
> уважаемой компании, всяким там "foundation",

Про какой foundation идет речь? Про Linux Foundation?
Которые владеют центральной репой, готовят эталонные ядра и централизовано распространяют их?

> В децентрализованной системе доверие в почти целиком зижится на
> карме конкретной личности, 

Жын Тян передает привет)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #79

71. Сообщение от Аноним (71), 13-Сен-25, 19:06   +/
Вместе на дистанции, - эффективно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60

72. Сообщение от Аноним (72), 13-Сен-25, 19:25   –2 +/
Пока ты веришь, что способен знать Настоящую Истинную Правду, скрываемую властями, тебя можно обманывать как угодно и на только мошенникам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #121

76. Сообщение от Аноним (76), 13-Сен-25, 21:08   +/
Какая связь между crates.io и GitHub? Через прокси воровали учётные данные ведь к Github'у, а не к crates.io
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #115

78. Сообщение от Аноним (78), 13-Сен-25, 21:32   +2 +/
не путай популярность с хайпом
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #110

79. Сообщение от Аноним (79), 13-Сен-25, 21:55   +/
Жын Тян пытался заразить централизованный репозиторий (дистрибутив(ы)) через централизованный инит)))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

80. Сообщение от Аноним (80), 13-Сен-25, 22:26   +1 +/
> Раст становится таким же популярным, как JS, Python.

Раст становится просто таким же, как JS и Python.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #98, #111

82. Сообщение от Аноним (82), 14-Сен-25, 00:46   +3 +/
Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно.
А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем?
Вон еще чатгопота есть, думать вообще не надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #92

84. Сообщение от Bob (??), 14-Сен-25, 08:27   –3 +/
Тут игра идёт на то, что вафёлы будут невнимательны к отправителю письма. Ну и судя по скринам - так и есть.

А тут плевать на централизацию или децентрализацию, если сам юзер туп как пробка)

Люди с мозгами под такое создают отдельную почту с вайтлистом для входящей корреспонденции. Но откуда им взяться в дуракоцентрированном хайповом языке?)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #91

85. Сообщение от Bob (??), 14-Сен-25, 08:37   +/
К чему стадам дары свободы?
Их должно резать или стричь.
Наследство их из рода в роды
Ярмо с гремушками да бич.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #89

87. Сообщение от Аноним (-), 14-Сен-25, 08:41   +2 +/
> атакующие могли перехватить передаваемые параметры входа
> и двухфакторной аутентификации.

И тут вдруг оказалось что майкрософт много делал мозг окружающим - и это мешает всем кроме, собственно, атакующих. Типикал майкрософт.

Ответить | Правка | Наверх | Cообщить модератору

88. Сообщение от Аноним (88), 14-Сен-25, 09:07   +/
сайты надо писать на безопасных языках, чтобы нельзя было перехватить.
Ответить | Правка | Наверх | Cообщить модератору

89. Сообщение от Аноним (-), 14-Сен-25, 09:47    Скрыто ботом-модератором+/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85

90. Сообщение от Аноним (-), 14-Сен-25, 09:48   +/
> NPM и Crates.io ещё посоревнуются за первенство ;)

И тут они замечают что pipi обощел их уже на целый круг. Вот это поворот!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #95

91. Сообщение от mustai (ok), 14-Сен-25, 12:23   +/
Ждём, когда создатели почтовых клиентов и веб-интерфейсов почты начнут не "красивенько скрывать" отправителя, а всячески выделять.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84 Ответы: #97

92. Сообщение от Ананимус (?), 14-Сен-25, 13:58   +/
> Отлично сказано! Тут вот любят гнать на сишников, типа они пишут дырени - но умалчивают что сишник знает как оно там все работает, и да, в основном си прогеры умеют работать с памятью, просто тех кто умеет, их не видно не слышно.

Сишники не знают как оно там все работает. Во много потому, что сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала.

> А те самые растовики, что жсники - понятия не имеют о низкоуровневых вещах, им это вообще без надобности - компилятор же все сам разрулит, думать то зачем?

Чем отличается

  uint8_t *buf = malloc(128);

от

  let mut buf = Vec::with_capacity(128);

Разница-то где? Средний сишник понятия не имеет что там внутри у malloc().

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #96, #99, #101, #125

93. Сообщение от Ананимус (?), 14-Сен-25, 14:01   +/
Пока что единственная атака, которая лишь по счастливой случайности не попала в дистрибутивы -- атака на сишный xz. Атаки на JS, Python и Rust заканчивались взломом какой-то библиотеки раскрашивания CLI, которую находили через неделю, чинили, и никаких серьезных последствий в итоге не было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #119

94. Сообщение от Аноним (33), 14-Сен-25, 14:50   +/
Что-то только не появилось на kernel.org: 1inux, lunix, lenux и т.д.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

95. Сообщение от Аноним (33), 14-Сен-25, 14:53   +/
NPM он пока ещё не обошёл, но запасаемся попкорном.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90

96. Сообщение от Аноним (96), 14-Сен-25, 15:55   +/
> uint8_t *buf = malloc(128);

аж передёрнуло

как они там вообще живут непонятно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

97. Сообщение от Аноним (97), 14-Сен-25, 16:47   +/
Отдельный привет гуглам, где и урл в браузере украсят, так что мама родная не узнает, и в их веб почте отправителя красивенько покажут, что хрен поймёшь кто это...

Но, кажется, 50% клюнувших не помогло бы если бы даже всё это не скрывалось бы..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #91 Ответы: #116

98. Сообщение от Аноним (33), 14-Сен-25, 16:49   +1 +/
У Python, хотя бы, комьюнити не токсичное, в отличие от Раста.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #109, #113

99. Сообщение от Аноним (-), 14-Сен-25, 17:09   +/
> сишный стандарт настолько сложный и противоречивый, что большая часть сишников его никогда не читала.

Да какой там читать, "открытый" сишный стандарт раздают только за денёжку, большая часть сишников его в глаза никогда не видела. Холопам в лучшем случае дают только черновики полистать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92

101. Сообщение от Аноним (51), 14-Сен-25, 21:48   +/
> Разница-то где? Средний сишник понятия не имеет что там внутри у malloc().

Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #102

102. Сообщение от Ананимус (?), 14-Сен-25, 21:54   +/
> Это не то что средний сишник, а даже начинающий знает, знает что там под капотом mmap(), а когда-то был sbrk(). И даже начинающий сишник знает как работает mmap(), и как sbrk() сдвигает указатель на стек. Да и блин, сишник просто откроет исходники glibc (если в линуксе) и посмотрит как оно там сделано.

Там под капотом per-thread arena-аллокатор на 12k строк. Но хорошая попытка.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #103

103. Сообщение от Аноним (51), 14-Сен-25, 22:38   +/
там под капотом jemalloc, у которого per-thread arena-аллокатор, у которого под капотом mmap().
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #104

104. Сообщение от Ананимус (?), 14-Сен-25, 22:50   +/
> там под капотом jemalloc, у которого per-thread arena-аллокатор

Нет, там под капотом нет jemalloc. Там их собственный ptmalloc2. Чем больше ты пишешь, тем больше ты подверждаешь мой тезис что сишники понятия не имею что там на аллокации памяти происходит.

> у которого под капотом mmap()

Это примерно как сказать "у него под капотом syscall". Вся сложность аллокатора начинается после того, как ты сделал mmap. Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен, потому что ходить каждый раз в mmap() за новой памятью (особенно когда мы говорим про мелкие объекты вроде структур деревьев, структур для запросов и т.д.) очень дорого.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #103 Ответы: #105

105. Сообщение от Аноним (51), 14-Сен-25, 23:14   +1 +/
> Нет, там под капотом нет jemalloc

Хз почему у тебя там нет jemalloc, у меня вот есть.

> Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен

У меня не линукс, и даже не glibc

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104 Ответы: #106

106. Сообщение от Ананимус (?), 14-Сен-25, 23:26   +/
>> Нет, там под капотом нет jemalloc
> Хз почему у тебя там нет jemalloc, у меня вот есть.

Разговор перестает иметь хоть какой-то смысл. jemalloc ещё сложнее и никто, кроме тех, кто читал сорцы, не знает, что там происходит.

>> Весь развесистный линуксовый slab-аллокатор в данной ситуации напрочь бесполезен
> У меня не линукс, и даже не glibc

Это все ещё подтверждает мой тезис что сишники понятия не имеют что происходит на аллокации. В том числе потому что аллокатор отличается от окружения к окружению.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #105 Ответы: #107

107. Сообщение от Аноним (51), 14-Сен-25, 23:31   +/
Ну вот я сишник и понятия не имею как работает аллокатор в винде, потому что не пользуюсь ей. И линуксом не пользуюсь.  А вот в ОС, которой пользуюсь, знаю как он работает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #106 Ответы: #108

108. Сообщение от Ананимус (?), 14-Сен-25, 23:35   +/
> Ну вот я сишник и понятия не имею как работает аллокатор в
> винде, потому что не пользуюсь ей. И линуксом не пользуюсь.  
> А вот в ОС, которой пользуюсь, знаю как он работает.

Ты там что-то про mmap() вроде писал?

$ cat test.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>

#define NR_POINTERS 4096
#define NR_BYTES    128

int main(void)
{
    char *pointers[NR_POINTERS];

    for (size_t n = 0; n < 100; ++n) {
        puts("allocation start");
        fflush(stdout);

        for (size_t i = 0; i < NR_POINTERS; ++i) {
            pointers[i] = malloc(NR_BYTES);
            memset(pointers[i], 'x', NR_BYTES);
        }

        puts("allocation end");
        fflush(stdout);

        for (size_t i = 0; i < NR_POINTERS; ++i)
            free(pointers[i]);

    }

    return 0;
}
$ strace -c ./test
% time     seconds  usecs/call     calls    errors syscall
------ ----------- ----------- --------- --------- ----------------
72.72    0.002335           4       503           brk
20.06    0.000644           3       200           write
  2.93    0.000094          11         8           mmap
  0.97    0.000031          10         3           mprotect
  0.69    0.000022          22         1           munmap
  0.56    0.000018           6         3           fstat
  0.31    0.000010           5         2           close
  0.31    0.000010           5         2           pread64
  0.28    0.000009           4         2           openat
  0.19    0.000006           6         1           read
  0.19    0.000006           6         1           prlimit64
  0.19    0.000006           6         1           getrandom
  0.16    0.000005           5         1           arch_prctl
  0.16    0.000005           5         1           set_tid_address
  0.16    0.000005           5         1           set_robust_list
  0.16    0.000005           5         1           rseq
  0.00    0.000000           0         1         1 access
  0.00    0.000000           0         1           execve
------ ----------- ----------- --------- --------- ----------------
100.00    0.003211           4       733         1 total

Ой-ой, аллокатор почему-то делает brk(). Где же mmap()?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #122

109. Сообщение от Ананимус (?), 15-Сен-25, 00:12   +2 +/
> У Python, хотя бы, комьюнити не токсичное, в отличие от Раста.

У Python нет единого сообщества. Ни у одного языка нет, кроме языка, где сообщество в один IRC канал умещается.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

110. Сообщение от Прохожий (??), 15-Сен-25, 01:29   –1 +/
Если взглянуть на количество загрузок библиотек с crates.io, увидишь сам, что я ничего не путаю.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #78 Ответы: #130

111. Сообщение от Прохожий (??), 15-Сен-25, 01:31   +/
Надо было что-то ляпнуть, да? Rust никогда таким не станет, просто потому, что это принципиально другой язык программирования.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80 Ответы: #131

112. Сообщение от Master255 (?), 15-Сен-25, 03:12   +/
А я на go пишу кросплатформенную логику. Он компилируется и в jar и в dll библиотеку и все остальные платформы и архитектуры.

Забудьте про этот раст! Пишите на Golang!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #114

113. Сообщение от Аноним (-), 15-Сен-25, 07:11   +1 +/
> У Python, хотя бы, комьюнити не токсичное, в отличие от Раста.

Легион утят доказывающих что их картонные макеты самые самые и на этом можно чуть не ядра ос писать а остальное не нужно - готовы с этим утверждением конкретно поспорить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #98

114. Сообщение от Аноним (-), 15-Сен-25, 07:14   +/
> А я на go пишу кросплатформенную логику. Он компилируется и в jar
> и в dll библиотеку и все остальные платформы и архитектуры.
> Забудьте про этот раст! Пишите на Golang!

Штука с неотключаемым GC - хрусту не конкурент, даже чисто теоретически. Фуксики ударно переписывающие дрова с go на rust подтвердят. Видите ли драйвер FAT32 с аппетитами как ZFS - не очень ценный актив оказался. И план по захвату мира застрял на паре фоторамок. А потом тиму децимировали - так что хэппи энда в этой истории, увы, не будет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #112 Ответы: #118

115. Сообщение от Ананимус (?), 15-Сен-25, 09:07   +/
Кексперты тригерятся на млоао Rust, в детали им слишком сложно вникать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

116. Сообщение от Васянemail (?), 15-Сен-25, 10:43   +/
--- Отдельный привет гуглам, где...

Да ладно... просто гулерасты возомнили себя агентами спецслужб, работающими под прикрытием и торгующими информацией... Пользуйтесь рекомендациями гугле... и другими такими же. А миллиарды бюджетные или не бюджетные, какая разница через кого это всё отмывается и как, где там и какие договорённости и между кем, да и почему это всё не называется сговором? Коммерческая тайна брендированных монополий? Реклама двигатель прогресса? Нет, слив инфы и тотальный контроль над сетью... Безопасность, конфиденциальность? От кого и для кого? Интерфейс для удобства пользователей? Законы какие-то там типа ещё и международные? Для кого поисковики сделаны и кем, типа там ещё какая-то электроннная почта и всё такое? Гуглерасты и другие не раскрывают ваши данные? А чё там с сертефикатами безопасности всякими разными и т.н. легитимизаторами? Браузинг это не прогулка в парке... Стандарты, протоколы, рекомендации-обязательства использования всего этого... Зачем люди покупают компьютеры, смартфоны и всё такое? Кто там частную собственность пользует, чью, где и как, а на основании каких законов или это всё односторонним лицсоглашением назывется между тремя сторонами, а может пятью и десятью называется? Где там цензура запрещена и зачем? ... А что такое вообще частная жизнь? Как корпорасты прячутся от окружающих, а к окружающим лезут везде? ...?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97

117. Сообщение от anamnez (?), 15-Сен-25, 23:59   +/
откуда информация, что MS не использует публичные репозитории пакетов?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

118. Сообщение от Аноним (118), 16-Сен-25, 07:57   +/
На Golang можно отключить GC. Всё что нужно сделать это задать GOGC=off.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #114

119. Сообщение от Аноним (-), 16-Сен-25, 17:02   +/
> Пока что единственная атака, которая лишь по счастливой случайности
> не попала в дистрибутивы -- атака на сишный xz.

Она единственная только потому что там спалились атакующие.
А когда в ядро попадает код, который дарит рута, потому что "забыли" проверить на null, это разумеется никакая не атака, а просто баг)))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #93 Ответы: #120

120. Сообщение от Ананимус (?), 16-Сен-25, 17:31   +/
> Она единственная только потому что там спалились атакующие.

Так они всегда палятся. Просто здесь они спалились уже на финишной прямой.

> А когда в ядро попадает код, который дарит рута, потому что "забыли" проверить на null, это разумеется никакая не атака, а просто баг)))

А если пруфы что атака? Алсо для этого туда Rust несут, чтобы не забывали проверять, но опеннетчиким это тоже почему-то не нравится.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #119

121. Сообщение от Ананимус (?), 16-Сен-25, 17:32   +/
> Пока ты веришь, что способен знать Настоящую Истинную Правду, скрываемую властями, тебя
> можно обманывать как угодно и на только мошенникам.

Так её никто не скрывает, лол.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

122. Сообщение от Мимопроходил (?), 18-Сен-25, 21:22   +/
> Ой-ой, аллокатор почему-то делает brk(). Где же mmap()?

Ты не поверишь, но зависит от размера выделяемого блока
https://stackoverflow.com/questions/55768549/in-malloc-why-u...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #123

123. Сообщение от Ананимус (?), 19-Сен-25, 00:55   +/
> Ты не поверишь, но зависит от размера выделяемого блока

Поверю. Но тут люди утверждали что ваще прекрасно знают что там внизу работает. Выяснилось что нет, не знают.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #122

124. Сообщение от adolfus (ok), 19-Сен-25, 11:22   +/
Да ну? Есть, скажем, контора, в которой работает сколько-то рыл. В конторе сервак, специально выделенный под git репозиторий.
1) у каждого рыла есть учетная запись на сервере конторы, соответственно, хомяк, почта, .ssh и прочее.
2) доступ на сервер только по ssh и только по ssh-ключу, парольный доступ закрыт.
Ну и как можно компрометировать такое хранилище? Только DDOS'ить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

125. Сообщение от adolfus (ok), 19-Сен-25, 11:29   +/
"Средний сишник понятия не имеет что там внутри у malloc()."
А ему и знать не нужно, поскольку malloc() -- это часть языка. Такая же, как открывающая и закрывающая фигурные скобки. Только за соответствием скобок компилятор следит, а соответствие malloc-free возлагается на программиста, поскольку С -- язык компилируемый и модульный.
Тем не менее, знает, раз умеет пользоваться памятью, выделяемой из кучи.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #92 Ответы: #128, #132

126. Сообщение от adolfus (ok), 19-Сен-25, 11:39   +/
Microsoft взялась за раст потому, что ее по факту вышибли из комитета 9899. А вышибли потому, что она пыталась вставлять палки в колеса во время работы со стандартом 2011, пытаясь препятствовать сближению libc с POSIX, а также пропихивая туда свои "безопасные" функции для работы со строками, у которых интерфейс специально был сделан таким, чтобы заменить классические функции на "безопасные" используя sed, было невозможно.
До сих пор их С-компилятор не поддерживает в полной мере даже стандарт 1999 года.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

127. Сообщение от adolfus (ok), 19-Сен-25, 11:42   +/
Вацап следовало бы запретить изначально просто потому, что у него нет клиента под линукс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

128. Сообщение от Ананимус (?), 19-Сен-25, 12:46   +/
> "Средний сишник понятия не имеет что там внутри у malloc()."
> А ему и знать не нужно, поскольку malloc() -- это часть языка.
> Такая же, как открывающая и закрывающая фигурные скобки. Только за соответствием
> скобок компилятор следит, а соответствие malloc-free возлагается на программиста, поскольку
> С -- язык компилируемый и модульный.
> Тем не менее, знает, раз умеет пользоваться памятью, выделяемой из кучи.

Писали что средний сишник очень классный, все знает, а растовый программист тупой и на компилятор и стандартную библиотеку полагается, не зная что там внутри. А теперь ты пишешь что оба полагаются. И как тогда чувствовать превосходство?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

129. Сообщение от Капчевод (?), 22-Сен-25, 07:11   +/
Поэтому 95% алгоритмов шифрования, реализованные, на Rust или не работают, или позволяют получения доступа к закрытому ключу, или требуют 16 ГБ ОЗУ для обычного SSL шифрования ключом размером 4096 бит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

130. Сообщение от Капчевод (?), 22-Сен-25, 07:15   +/
Если увидеть количество загрузок с Pytnon или NPM, или Go, то каждый из них в сотни раз обходит загрузи библиотек с Rust.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #110

131. Сообщение от Капчевод (?), 22-Сен-25, 07:17   +/
> Rust никогда таким не станет, просто потому, что это принципиально другой язык программирования.

Как Кумир или Роботрон.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111

132. Сообщение от Аноним (132), 23-Сен-25, 08:42   +/
> malloc() -- это часть языка

Как же ты меня позабавил сейчас, спасибо

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру