Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимости в проекте Pingora, позволяющие вклиниться в сторонние запросы"	+/–
Сообщение от opennews (??), 10-Мрт-26, 20:52
Компания Cloudflare объявила об устранении трёх уязвимостей во фреймворке Pingora, двум из которых присвоен критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust и предназначен для разработки защищённых высокопроизводительных сетевых сервисов. Построенный при помощи Pingora прокси используется в сети доставки контента Cloudflare  и обрабатывает более 40 млн запросов в секунду. Уязвимости устранены в выпуске Pingora 0.8.0... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64957
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Диды (ok), 10-Мрт-26, 20:53	+9 +/–
Ну ожидаемо. На brainfuck весьма сложно отслеживать логику приложения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19, #28

3. Сообщение от Аноним (3), 10-Мрт-26, 20:53	+4 +/–
РЕШЕТO!!1 А если серьезно: спецификации содержат настолько большое количество нюансов, что нам ещё долго предстоит выгребать последствия, даже если языки будут супер-пупер безопасные.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16, #34

8. Сообщение от Аноним (16), 10-Мрт-26, 21:08	+/–
>Уязвимости устранены в выпуске Pingora 0.8.0 Реагируют, уже хорошо. Хотя сейчас везде так, ПО становится всё сложнее и сложнее.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #12

9. Сообщение от Аноним (16), 10-Мрт-26, 21:10	+/–
>Проблемы выявлены участником программы Bug Bounty, предусматривающей выплату вознаграждения за обнаружение уязвимостей. А это прям хорошо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от Аноним (12), 10-Мрт-26, 21:17	+2 +/–
> Хотя сейчас везде так, ПО становится всё сложнее и сложнее. Так и есть. Диды не зря завещали: "Keep it simple, stupid". Но теперь же надо всё переписать, да навернуть покруче.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15, #33

15. Сообщение от Аноним (16), 10-Мрт-26, 21:22	–1 +/–
И без переписывания за всем не уследишь: 1) https://opennet.ru/62635-kernel 2) https://opennet.ru/64574-bug
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (16), 10-Мрт-26, 21:23	–2 +/–
https://www.opennet.dev/opennews/art.shtml?num=64574
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

19. Сообщение от Аноним (19), 10-Мрт-26, 21:39	–1 +/–
> В Pingora кэширование является экспериментальной функцией, не рекомендованной для рабочих внедрений. Если так, почему её использовали?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

24. Сообщение от Аноним (24), 10-Мрт-26, 22:02	+3 +/–
"haha, classic" (ц) Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #29, #40

27. Сообщение от Аноним (28), 10-Мрт-26, 22:20	+6 +/–
> Оказывается, если использовать язык программирования, с которым не надо тщательно обдумывать каждую строку, то можно знатно нафакапить. Обдумавания вроде "как не вылезти за пределы буфера", "как не сделать дабл-фри" и "как не уронить память" на каждую строку никак не спасут тебя от багов, о которых говорится в новости. Наоборот: в дополнение к проблемам ищ новости у тебя были бы те самые дабл-фри, вылазания за буфер и т.п.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #37

28. Сообщение от Аноним (28), 10-Мрт-26, 22:21	+/–
> На brainfuck весьма сложно отслеживать логику приложения. А на каком легко? На Go?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

29. Сообщение от Аноним (29), 10-Мрт-26, 22:25	–1 +/–
Он берёт на себя некие гарантии по безопасной работе с памятью, что снижает потребность пограммиста заботиться именно об этом - о памяти. Какие из этого можно сделать выводы? На кону миллион долларов: A) Освобождаются силы, что позволяет больше уделять времени другим вещам (общее количество трудозатрат остаётся то же, но перераспределяется на другие проблемы) B) Программист перестаёт думать над каждой строчкой вообще, а не только о некоторых моментах с памятью Можно позвонить другу, если кажется, что ответ не очевиден. Или попросить помощи у других комментаторов, прямо из зала.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #42, #57

33. Сообщение от Аноним (33), 10-Мрт-26, 22:41	+1 +/–
> Диды не зря завещали: "Keep it simple, stupid". А делали Keep it simple-stupid. В первом же новом юниксе выcpaли дырень в 50 строках. Как говорится "не мешки ворочать".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

34. Сообщение от Аноним (34), 10-Мрт-26, 22:52	+/–
никакой спеки там нет, костыль на костыле
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

35. Сообщение от ятупойтролль (ok), 10-Мрт-26, 23:00	+/–
так, а зачем на этот небезопасный язык переписывают ядро и коре утилс?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43

36. Сообщение от Аноним10084 и 1008465039 (?), 10-Мрт-26, 23:03	–1 +/–
Противники божественного Rust'а сейчас побегут писать: "Ага, вот видите, Раст не спасает!1" Но на деле эта новость именно что подтверждает, что божественный Раст спасает! Уязвимость не переполнение буффера, а реальная логическая ошибка. Она и на Си завсегда могла быть, только прежде чем ее обнаружить, было бы куча ошибок памяти. А тут сразу логика - успех.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #41

37. Сообщение от Аноним (37), 10-Мрт-26, 23:06	+/–
Мне кажется ты не разобрался.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

38. Сообщение от Tron is Whistling (?), 10-Мрт-26, 23:19	+1 +/–
Так и запишем: критический уровень опасности на языке Rust предназначен для разработки защищённых сетевых сервисов.
Ответить | Правка | Наверх | Cообщить модератору

39. Сообщение от Аноним (39), 10-Мрт-26, 23:19	+2 +/–
Это только цветочки. Всё, что переписывается на Rust будет обложено бэкдорами и уязвимостями, которые потом задействует. А люди будут верить, что уязвимостей там нет, ибо Rust. Если надо, они её подтянут очередной версией какого-нибудь crate при сборке. Rust пропихивается теми, кто заинтересован через него распространять бэкдоры.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #50, #55

40. Сообщение от Аноним (40), 10-Мрт-26, 23:25	+/–
Что характерно, если использовать язык программирования, где приходится обдумывать каждую строчку, то тоже можно знатно нафакапить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

41. Сообщение от Аноним83 (?), 10-Мрт-26, 23:28	+/–
Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат! Нужно срочно придумать или ещё более защищённый язык где такое будет не возможно или какой ИИ с блокчейном приплести, только бы больше программист не было ни в чём виноват - это не выносимый уровень давления на психику!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #46

42. Сообщение от Аноним83 (?), 10-Мрт-26, 23:31	+/–
а) теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов. б) ...и начинает думать о жизни: как с этим всем дальше жить :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #56

43. Сообщение от Сладкая булочка (?), 10-Мрт-26, 23:44	+/–
1. Чтобы лицензию сменить 2. Чтобы подсадить на компилятор без стандарта хз кем развиваемый.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

44. Сообщение от Сладкая булочка (?), 10-Мрт-26, 23:45	+1 +/–
Вы не понимаете! Это blazing fast memory safe критическая уязвимость! На сишке так нельзя!
Ответить | Правка | Наверх | Cообщить модератору

45. Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:48	+/–
и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией, к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #47, #49, #53

46. Сообщение от Аноним (46), 10-Мрт-26, 23:53	+/–
> Но ведь получилось что растовики облажались, теперь кого то из них жестоко покарают и отлучат! Конечно. > Нужно срочно придумать или ещё более защищённый язык где такое будет Можешь начинать. Я буду первый кто захочет это попробовать. Но разве вы на такое способны?)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

47. Сообщение от Аноним (28), 10-Мрт-26, 23:53    Скрыто ботом-модератором	+/–
> чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора Извини, что разрушаю твой розовый мирок, но твой компилятор С написан не на С, а не C++. Удачи тебе там разобраться с C++ при помощи "молотка и отвертки".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #51

48. Сообщение от Аноним (28), 10-Мрт-26, 23:55	+2 +/–
Я не пойму, у mc сегодня ПМС, что он от балды трет комменты, в которых нет никаких прочих нарушений? Дядя, ау!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #54, #58, #59

49. Сообщение от Аноним (46), 10-Мрт-26, 23:56	–1 +/–
> и самое забавное, что для того, чтобы разобраться в проекте на С, тебе обычно достаточно молотка и отвёртки, вплоть до кишок компилятора, Напоминает описаныи жигулей или уаза) > а для того, чтобы разобраться в конюшнях раста... ну, как минимум нужен > тулчейн под несвободной лицензией, Несвободной? Даже Столлман и FSF признают пермиссивные лицензии - лицензией свободного программного обеспечения. Как раз недавно какая-то баба из FSF комментировала. Так что тут ты просто обделался. Впрочем это не удивительно. > к нему такой же компилятор, пакетный менеджер и бутылка чего-нибудь крепкого, потому что синтаксис Конечно, это же не на жаваскипте писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45 Ответы: #52

50. Сообщение от Аноним (28), 10-Мрт-26, 23:58	–1 +/–
> А люди будут верить, что уязвимостей там нет, ибо Rust. Люди знают, что в сишном коде есть уязвимости (их поток уже более полувека не останавливается) - и все равно пользуются софтом, на нем написанном. Так с чего ты драму именно про Раст разводишь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

51. Сообщение от Аноним (51), 10-Мрт-26, 23:58	+/–
Так это местный юродивый. Он типа вебсиньойр, ходит на курсы для таких же, а потом в комментах рассказывает, чего им там вещали. Так что в его черепушке скорее всего "СИ, С++... А какая разница?" (с)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

52. Сообщение от 12yoexpert (ok), 10-Мрт-26, 23:58	+/–
> Конечно, это же не на жаваскипте писать. почему тогда на расте пишут исключительно и только джаваскриптеры? задумайся
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

53. Сообщение от Аноним (28), 10-Мрт-26, 23:59	–1 +/–
> чтобы разобраться в конюшнях раста... ну, как минимум нужен тулчейн под несвободной лицензией С каких это пор Apache стал несвободной лицензией?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

54. Сообщение от 12yoexpert (ok), 11-Мрт-26, 00:00	+1 +/–
миша его напоил, 100%
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

55. Сообщение от Анончик давай выпьем чаю. Анончик выручай. (?), 11-Мрт-26, 00:02	+/–
Я так и не понял, а как собрать rust компилятор из исходников. Он везде как бинарный пакет распространяется. Как Гентушники с этим справляются?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

56. Сообщение от Аноним (29), 11-Мрт-26, 00:16	–1 +/–
> теперь все силы уходят на борьбу с компилятором - чтобы это всё как то собралось за пару часов. Нет никакой борьбы с компилятором если ты научился писать на расте, что занимает месяц-два. "Что бы быстрее собралось" - все способы давно известны, никакой борьбы там нет. Капец люди, вы сколько-то лет назад где-то что-то в газете прочитали и до сих пор считаете, что что-то знаете о реальном мире по этим сообщениям. С нуля: ``` ...    Compiling pingora-s2n v0.7.0 (/home/user/p/pingora-0.7.0/pingora-s2n)    Compiling pingora-boringssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-boringssl)    Compiling pingora-openssl v0.7.0 (/home/user/p/pingora-0.7.0/pingora-openssl)     Finished `dev` profile [unoptimized + debuginfo] target(s) in 29.24s ``` Это в WSL - с эмуляцией линуксового ядра, хотя в винде оно хорошо и быстро сделано. При разработке же всё не пересобирается, поэтому время сильно меньше. Кроме того, при разработке (о чём вы разумеется не знаете, как обычно) IDE ошибки сразу подсвечивает, тебе вообще сборку спамить не надо - только если запустить-проверить. Огромный движок Bevy например инкрементально собирается и запускается менее, чем за 1 секунду. Осторожно, пригнитесь: можно ушибить голову о реальный мир.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42 Ответы: #60

57. Сообщение от Аноним (19), 11-Мрт-26, 00:19	+/–
> критический уровень опасности (9.3 из 10). Фреймворк Pingora написан на языке Rust "позволяет больше уделять времени другим вещам" - интересно, каким таким другим вещам программисты уделили время.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

58. Сообщение от Аноним (19), 11-Мрт-26, 00:22    Скрыто ботом-модератором	+/–
> у mc сегодня ПМС да после 8-го ещё не отошёл - упраздновались.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

59. Сообщение от Аноним (19), 11-Мрт-26, 00:23	+/–
принимал поздравления недавно, тяжёлое начало рабочей недели.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

60. Сообщение от Аноним (19), 11-Мрт-26, 00:26	+/–
> писать на расте, что занимает месяц-два Странно, языку уже 20 лет, но пока ещё нет научившихся писать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема