forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз языка программирования Perl 5.26.0"
Отправлено Аноним, 03-Июн-17 10:04

>Сам придумал кривые случаи и сам поудивлялся. Аншлаг))
Вот поэтому и запилил фикс. Никто толком не знает про "потенциальные" ситуации, где "." что-то может сделать. Я ждал либо описания, либо кода, а ты как и все балаболишь только.
>Ты не то придумал, как раз ради безопасности приходилось думать чтобы не подгрузилось нечаянно что-либо из-за ".".
Что думать? Ты вкурсе что @INC модифицируется в рантайме? Не? Ты вкурсе, что патч @INC под себя дело на 2 минуты? Не? О чем ты? Где примеры? Впрочем, мне и так ясно, это все балабольство.
Реальные примеры я привел. Могу даже добавить, что есть класс программ, где динамически _нужно_ грузить рандомные модули. Например, плагины. И знаешь, что? Это проблема не перла, а приложения. Аналогичный вектор атаки есть в винде (он даже страшнее) и что? О нем нормальные программеры знают и зашивают абсолютные пути до DLL, а модули грузяться по абсолютному пути к директории с плагинами. И так несколько миллионов людей живут. И нечего.
И вот cwd('/') как раз таки решает проблему криворукий и ЛЕНИВЫХ программистов, которым лень работать с абсолютными путями. У них приложение "прыгает" из директории в директорию, грузить все что не попадя. Да, такие люди и не слышали про PERL5LIB, не слышали, что @INC оказывается модифицируется и т.п.
Все. Спор окончен. Главное ведь CVE прикрыли! Хурей!
>А тут кто-то кроме меня и администратора ресурса читал текст новости? :-)
Зачем его читать из вторых рук? Я лично подписан на p5p и читаю все. Вот ты бы мог привести ссылку из p5p, где проводится бенч по новым алгоритмам для хэшей. Но ты не привел. О чем это говорит? О том, что ты нытик. Убегаешь от темы. Впрочем, я тебя спас. Расслабься.
>Никто слова не казал про /xx, ~ в here-docs или scalar(%HASH).
Потому что это несусветная фигня, которая нужна 1.5 человеку, кроме может scalar(%HASH). И то, все привыкли либо к scalar(keys %HASH), либо 0+keys(%HASH) -- это надо было фиксить еще 15 лет назад, когда вышел 5.6. Или ты думаешь, все должны охать от того, что должно было быть пофикшено 15 лет назад? Походу ты слишком мало кодишь, поэтому для тебя такие вещи "в новинку". Все, не буду больше на тебя гнать. Пиши код. Пока!

Исходное сообщение
"Релиз языка программирования Perl 5.26.0" Отправлено Аноним, 03-Июн-17 10:04
>Сам придумал кривые случаи и сам поудивлялся. Аншлаг)) Вот поэтому и запилил фикс. Никто толком не знает про "потенциальные" ситуации, где "." что-то может сделать. Я ждал либо описания, либо кода, а ты как и все балаболишь только. >Ты не то придумал, как раз ради безопасности приходилось думать чтобы не подгрузилось нечаянно что-либо из-за ".". Что думать? Ты вкурсе что @INC модифицируется в рантайме? Не? Ты вкурсе, что патч @INC под себя дело на 2 минуты? Не? О чем ты? Где примеры? Впрочем, мне и так ясно, это все балабольство. Реальные примеры я привел. Могу даже добавить, что есть класс программ, где динамически _нужно_ грузить рандомные модули. Например, плагины. И знаешь, что? Это проблема не перла, а приложения. Аналогичный вектор атаки есть в винде (он даже страшнее) и что? О нем нормальные программеры знают и зашивают абсолютные пути до DLL, а модули грузяться по абсолютному пути к директории с плагинами. И так несколько миллионов людей живут. И нечего. И вот cwd('/') как раз таки решает проблему криворукий и ЛЕНИВЫХ программистов, которым лень работать с абсолютными путями. У них приложение "прыгает" из директории в директорию, грузить все что не попадя. Да, такие люди и не слышали про PERL5LIB, не слышали, что @INC оказывается модифицируется и т.п. Все. Спор окончен. Главное ведь CVE прикрыли! Хурей! >А тут кто-то кроме меня и администратора ресурса читал текст новости? :-) Зачем его читать из вторых рук? Я лично подписан на p5p и читаю все. Вот ты бы мог привести ссылку из p5p, где проводится бенч по новым алгоритмам для хэшей. Но ты не привел. О чем это говорит? О том, что ты нытик. Убегаешь от темы. Впрочем, я тебя спас. Расслабься. >Никто слова не казал про /xx, ~ в here-docs или scalar(%HASH). Потому что это несусветная фигня, которая нужна 1.5 человеку, кроме может scalar(%HASH). И то, все привыкли либо к scalar(keys %HASH), либо 0+keys(%HASH) -- это надо было фиксить еще 15 лет назад, когда вышел 5.6. Или ты думаешь, все должны охать от того, что должно было быть пофикшено 15 лет назад? Походу ты слишком мало кодишь, поэтому для тебя такие вещи "в новинку". Все, не буду больше на тебя гнать. Пиши код. Пока!

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру