Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Checkpoint предложил технику защиты Safe-Linking, усложняющу..., opennews (??), 23-Май-20, (0) [смотреть все] Чего только люди не придумают, лишь бы не писать на memory-safe языках , Аноним (1), 12:47 , 23-Май-20, (1) –27 // потому-что есть разница между 3 4 строками ассемблема и over9000, Аноним (3), 12:55 , 23-Май-20, (3) +32 Кто заплатит за оверхед пистона и пр высокоуровневой мути в системный библиотек, z (??), 14:21 , 23-Май-20, (7) +9 // Пользователи, конечно Что за странные вопросы , YetAnotherOnanym (ok), 10:46 , 24-Май-20, (71) +5 В самом деле Как только не изголяются, чтобы не потерять половину производитель, Онаним (?), 14:27 , 23-Май-20, (8) +22 Правильно нужно на РАСТЕ всё писать, Фантик Хруста (?), 15:12 , 23-Май-20, (17) +3 // И тогда троянцев вгрузят прямо из хранилища карго-культа, оптом Всем и сразу В, Аноним (-), 15:31 , 23-Май-20, (21) Да, а параметры в функцию передавать через https jsob bsonБинарные файлы вообще , deeaitch (ok), 00:05 , 24-Май-20, (52) +4 // Как ты умудрился всё это у себя в голове с ржавчиной связать , Аноним (59), 01:30 , 24-Май-20, (59) Код на ржавчине наверное позырил Там такие конструкции попадаются что им даже с, Аноним (73), 11:24 , 24-Май-20, (73) Очень просто Горепрограммисты обычно такую кашу и делают И обычно именно горе , deeaitch (ok), 19:16 , 24-Май-20, (91) +1 Ну тогда и ножик с кухни выкинь, им порезаться можно , Аноним (-), 15:31 , 23-Май-20, (20) +3 // Мозг надо выкинуть, он иногда сбоит и подталкивает к самоубийству , deeaitch (ok), 00:06 , 24-Май-20, (53) Какие только memory-safe языки не придумают, лишь бы не учиться нормально програ, Аноним (24), 15:39 , 23-Май-20, (24) +9 // Так он не memory-safe внезапно Это идиотская видимость Внезапно C тоже memory, deeaitch (ok), 00:09 , 24-Май-20, (54) +3 // Если на то пошло - в сях так например никто и не заставляет pointer ы использова, Аноним (74), 11:26 , 24-Май-20, (74) Если память распределена статически, её объём фиксирован и, в общем случае, недо, n00by (ok), 17:04 , 24-Май-20, (89) +1 Это кстати именно так К слову в контроллерах вообще не используется динамическа, deeaitch (ok), 19:25 , 24-Май-20, (95) +1 Я все время говорю что rust гораздо более опасный язык программирования чем Си , Аноним (88), 16:01 , 24-Май-20, (88) Вот и я о примерно тоже , deeaitch (ok), 19:25 , 24-Май-20, (96) А что, в memory-safe языках под капотом не malloc free , Аноним (27), 16:26 , 23-Май-20, (27) +6 // В том же Расте вроде нет раньше Но тогда хэллоувроды весили под 300Кб на ас, Lex (??), 17:41 , 23-Май-20, (36) // Сам то понял что сказал rust пускается на операционной системе а не в сферическ, deeaitch (ok), 00:10 , 24-Май-20, (55) Сам то понял что сказал Само-собой, что запускается на системе и, в конечном сч, Lex (??), 06:26 , 24-Май-20, (69) И заодно рантаймлиба немалого размера - к которой и линкуются все маленькие си, Аноним84701 (ok), 19:19 , 24-Май-20, (92) Сишные приложения и сами по себе не шибко маленькие, так за ними еще и тонны ран, Lex (??), 12:24 , 25-Май-20, (97) Каких только глупостей люде не придумают лишь бы мозг не включать , deeaitch (ok), 00:03 , 24-Май-20, (50) +1 // Очень неосмотрительно ассоциациировать попытку привнести больше безопасности в м, Аноним (60), 01:45 , 24-Май-20, (60) // Можешь не благодарить , YetAnotherOnanym (ok), 11:54 , 24-Май-20, (81) +1 Чушь Написание на C не приводит к ряшливости ума, а лишь порождает баги на пусто, Аноним (60), 15:23 , 24-Май-20, (85) +1 А Вы писали на C и в ваших программах вылезали баги Или анализировали баги в чу, YetAnotherOnanym (ok), 15:37 , 24-Май-20, (86) +1 C в основном, в контексте разница не велика, stl или qt core вообще не панацея, Аноним (60), 16:40 , 26-Май-20, (98) Ну не знаю Я писал на простом C, у меня всё работало корректно Возможно, это с, YetAnotherOnanym (ok), 11:54 , 27-Май-20, (99) Мозилла корп, огестапливающая свою паству там и тут почему-то не ощущается безо, Аноним (82), 11:56 , 24-Май-20, (82) Что-то у меня ничего не падает, не течет и в ногу ни разу не попал Нет, я не го, deeaitch (ok), 19:22 , 24-Май-20, (93) Умный ходить по минному полю не будет , Аноним (68), 02:37 , 24-Май-20, (68) // Да госпади, где вы это минное поле то нашли Хоть бы почитали какие книжки Поль, deeaitch (ok), 19:23 , 24-Май-20, (94) Каких только глупостей люде не придумают лишь бы мозг не включать , deeaitch (ok), 00:03 , 24-Май-20, (51) А как же jemalloc Или он уже не модный 4 года назад он был эффективней и в отл, Аноним (2), 12:51 , 23-Май-20, (2) +3 // Из того же раста его вроде выкинули-таки , Lex (??), 17:42 , 23-Май-20, (37) // В расте скорее дали свободу выбора аллокатора и выкинули очередной багаж времён , имя (ok), 17:59 , 23-Май-20, (43) Сколько утомительной работы вокруг сишных дыр , Fracta1L (ok), 13:13 , 23-Май-20, (4) –8 // Давай, фрактал, пришло твоё время, расскажи как правильно, мы внемлим , Аноним (15), 15:06 , 23-Май-20, (15) +1 // Можно забить на программирование и пойти выращивать рассаду Тогда дыры будут то, Аноним (-), 15:39 , 23-Май-20, (25) +2 // На самом деле, не такая уж и плохая идея Тем более, как раз самый сезон , Lex (??), 17:43 , 23-Май-20, (38) Хочешь быть передовым - сей квадратно-гнездовым , InuYasha (?), 17:49 , 23-Май-20, (40) +2 Наша главная задача - молотьба и хлебоздача , Аноним (61), 01:59 , 24-Май-20, (61) +1 Тыб уже написал чтонибудь дельное на своё истинно верном языке который спасает о, deeaitch (ok), 00:12 , 24-Май-20, (56) // Выбери что-нибудь одно , псевдонимус (?), 02:14 , 24-Май-20, (64) +3 Одни не принимает патч из-за дополнительных 5-7 ассемблерных инструкций, зато др, qwe (??), 13:49 , 23-Май-20, (5) +6 // У вторых электрон просаживается в 10 раз когда первые вставляют дополнительные 5, Аноним (2), 13:56 , 23-Май-20, (6) +2 // И все вместе хватаются за голову когда дополнительные 5-7 ассемблерных инструкци, InuYasha (?), 17:52 , 23-Май-20, (41) –1 А по теме - да, это нужно внедрять, как опцию Приятным бонусом будет ловля не в, Онаним (?), 14:29 , 23-Май-20, (9) +1 На rust пиши, проблем не знай , Аноним (10), 14:30 , 23-Май-20, (10) –7 // Дядь, в борьбе с переполнениями есть ровно два варианта - ренжи, которые есть да, Crazy Alex (ok), 14:41 , 23-Май-20, (11) +2 // В rust оно всё есть из коробки и для всех, ваш юный джун не обосрется , Аноним (10), 20:03 , 23-Май-20, (46) –1 // Поэтому он наломает дров в десятке других мест Проверено WormPress ом и прочими, Аноним (74), 11:29 , 24-Май-20, (75) +1 Красиво было на бумаге, да забыли про овраги Очередной спаситель человечества , Аноним (-), 15:33 , 23-Май-20, (22) –2 // Эй, D вообще не из той серии - там тот же подход, что и в плюсах - все инструмен, Crazy Alex (ok), 16:51 , 23-Май-20, (30) +2 // Если не считать того что дохрена лет был 1 компилер, делаемый 1 полупроприетарно, Аноним (74), 11:32 , 24-Май-20, (76) Именно, всё равно это никому надо не будет, вот и дыр нет , deeaitch (ok), 00:14 , 24-Май-20, (57) Чудесно, все прочие тормоза защит умножили ещё на один коэффициент Если всё а, Crazy Alex (ok), 14:44 , 23-Май-20, (12) +1   // К счастью, нет, в большинстве случаев это так не работает Например, эта правка , solardiz (ok), 15:43 , 23-Май-20, (26) +1   // Конкертно это - пожалуй, да Но очень интересно было бы сравнить нынешний дефол, Crazy Alex (ok), 16:47 , 23-Май-20, (28)   // DJB определил уязвимости как ошибки, ведущие к проблемам безопасности Так что е, Аноним (-), 16:53 , 23-Май-20, (32) +1   Я имею в виду ситуацию, когда мы вообще никаких атак не ожидаем и не боимся То , Crazy Alex (ok), 17:05 , 23-Май-20, (35)   Для обычного десктопника или сервера это достаточно синтетическая ситуация Даже, Аноним (-), 11:39 , 24-Май-20, (77)   когда капуста, козы и волки в одной лодке никакие перегородки не спасут Может в, Sw00p aka Jerom (?), 20:53 , 23-Май-20, (47) –1   Как бы MMU MPU позволяют разграничивать что и где А чистый гарвардец офигенная , Аноним (-), 11:41 , 24-Май-20, (78)   Попробуйте сначала разговаривать с машиной на её языке , а не посредством перев, Sw00p aka Jerom (?), 13:52 , 24-Май-20, (84)   а определение понятию безопасность очевидно он не дал Как вы думаете, в прир, Sw00p aka Jerom (?), 21:01 , 23-Май-20, (48) –1   Оно следует из определения уязвимости по DJB это в принципе любое поведение про, Аноним (-), 11:46 , 24-Май-20, (79)   когда одно определение следует из другого - это порочный круг, вот вы и доказали, Sw00p aka Jerom (?), 13:46 , 24-Май-20, (83)   Да, в всяких там декомпрессорах и парсерах протоколов оборвать к дьяволу проверк, Аноним (-), 16:51 , 23-Май-20, (31) +1   Правильно, что не приняли этот гимн современного маркетинга А то, давайте забьё, Alen (??), 14:54 , 23-Май-20, (13) +1 А мне вот что стало интересно Сколько процентов производительности процессора з, Аноним (14), 15:01 , 23-Май-20, (14) // До нуля Всё, что работает - небезопасно Ибо может быть сломано , Аноним (15), 15:11 , 23-Май-20, (16) +1 До нуля Если компьютер оставить совсем без электричества, его хрен сломаешь, ко, Аноним (-), 15:35 , 23-Май-20, (23) Пожалуйста уточните, какая конкретно дыра в безопасности , Lex (??), 17:46 , 23-Май-20, (39) +1 Здравая идея, похожее уже применяется в GCC для защиты функций от переполнения с, Аноним (19), 15:29 , 23-Май-20, (19) –2 // здравая идея это манагеров интела под суди гос конторы которые у них это закупа, mos87 (ok), 16:55 , 23-Май-20, (34) помню как в одной конторе работали с гуй-мордой чекпоинтовского фиревола прим, mos87 (ok), 16:54 , 23-Май-20, (33) а разве __typeof не GCC специфичная штука Да не закидают меня помидорами, но ра, Аноним (44), 19:03 , 23-Май-20, (44) // Intel C Compiler поддерживает как и большую часть гццшных расширения, MVSC прост, Аноним (49), 21:30 , 23-Май-20, (49) Особо выбора нет В С 11 есть портируемый declspec, а в чистом С нету Но реали, Аноним (61), 02:12 , 24-Май-20, (63) +2 Решение проблемы косвенными методами - зло Т ч всё правильно сделали , Аноним (45), 19:15 , 23-Май-20, (45) Вот не дочитал коменты до конца, но в очередной раз увидел и задался вопросом От, deeaitch (ok), 00:21 , 24-Май-20, (58) –1 // Я обычно вижу кучу хейтеров раста, а как раз его приверженцы вполне спокойные и , Аноним (60), 02:00 , 24-Май-20, (62) +1 // Это всего лишь следствие молодости и неокреплости языка У С, С и Явы тоже к, Аноним (61), 02:17 , 24-Май-20, (65) // Не думаю, что когда-нибудь будет такая же жесть, как с плюсамиДа это и не к чему, Аноним (60), 02:35 , 24-Май-20, (67) Так что визгливые идиотины желающие именно концлагерных порядков от стремной ком, Аноним (82), 11:53 , 24-Май-20, (80) +1 Факты говорят сами за себя Я люблю C , но он безнадежно отстаёт И во многом из-, Аноним (60), 15:53 , 24-Май-20, (87) Сказанное тобою, на мой взгляд, подразумевает, что ты увидел представителей сооб, Ordu (ok), 02:18 , 24-Май-20, (66) Это каким боком две доп инструкции при вызове malloc роняют произовдительность н, Аноним (70), 08:29 , 24-Май-20, (70) –2 // malloc это не одна, а десятки или даже сотни инструкций , Ordu (ok), 11:19 , 24-Май-20, (72) В аду сатана pешил пpоведать, как у него людям живется Hу, зашел в одну комнат, Аноним (90), 18:05 , 24-Май-20, (90) +1 1,2,4,5,9,10,12,13,14,19,33,44,45,58,70,90

Сообщения

[Сортировка по времени | RSS]

12. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+1 +/–
Сообщение от Crazy Alex (ok), 23-Май-20, 14:44
Чудесно, все прочие тормоза "защит" умножили ещё на один коэффициент. Если всё ампутировать производительность, небось раза в три поднимется.
Ответить | Правка | Наверх | Cообщить модератору

	26. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+1 +/–
	Сообщение от solardiz (ok), 23-Май-20, 15:43
	К счастью, нет, в большинстве случаев это так не работает. Например, эта правка malloc'а не замедляет дополнительно защиту от Meltdown с помощью KPTI, и наоборот. Тут речь идет приблизительно о сложении, а не об умножении. Если попытаться найти пример другой защиты, последствия которой для производительности умножались бы на получаемые от дополнительных инструкций в malloc, в голову приходит только выключение speculative store bypass в CPU, но это сейчас делают только в программах, явно запросивших такую защиту через prctl, и при использовании seccomp.
	Ответить | Правка | Наверх | Cообщить модератору

	28. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Crazy Alex (ok), 23-Май-20, 16:47
	Конкертно это - пожалуй, да. Но очень интересно было бы сравнить нынешний "дефолтный" код с "чистой" версией - без ASLR, stack protection и прочего, в идеале - с защитой исключительно от ошибок, а не атак.
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+1 +/–
	Сообщение от Аноним (-), 23-Май-20, 16:53
	> с защитой исключительно от ошибок, а не атак. DJB определил уязвимости как ошибки, ведущие к проблемам безопасности. Так что если исключительно все ошибки исключить, проблемы безопасности тоже должны исключиться, как частный случай. Но что надо сделать с людьми чтобы исключить все ошибки в коде - вопрос открытый.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Crazy Alex (ok), 23-Май-20, 17:05
	Я имею в виду ситуацию, когда мы вообще никаких атак не ожидаем и не боимся. То есть мы, конечно, не хотим, чтобы по ошибке одно приложение переписало память другого или забрало себе все ресурсы системы (поэтому некоторая изоляция таки нужна), но именно злонамеренных действий не ждём.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Аноним (-), 24-Май-20, 11:39
	> Я имею в виду ситуацию, когда мы вообще никаких атак не ожидаем и не боимся. Для обычного десктопника или сервера это достаточно синтетическая ситуация. Даже просто посмотреть картинку или музычку послушать - уже untrusted input в общем случае. Единственный юзкейс который я могу вспомнить vs алгоритмы: в демке на speccy чувак юзал unsafe версию декомпрессора, забивающую на проверку всяких глупостей. Ну, в крайнем случае, если демка сдуреет, поезд с рельсов не сойдет, банки не взломают, так что и черт с ним. Вот там на отсутствии проверок у чувака был солидный профит, при ориентации на столь тормозной проц как бы актуально. Однако ценность такого кейса ... вызывает определенные вопросы.
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	–1 +/–
	Сообщение от Sw00p aka Jerom (?), 23-Май-20, 20:53
	>Но что надо сделать с людьми чтобы исключить все ошибки в коде - вопрос открытый. когда капуста, козы и волки в одной лодке никакие перегородки не спасут. Может все таки архитектура Фон Неймана - УГ?
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	78. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Аноним (-), 24-Май-20, 11:41
	> Может все таки архитектура Фон Неймана - УГ? Как бы MMU/MPU позволяют разграничивать что и где. А чистый гарвардец офигенная штука. Попробуй блин под него хотя-бы бутлоадер написать. Так что вон в AVR в RAM извне вгрузить прошивалку совсем низя, а в флехе - пока флеха шьется, все встает раком, в том числе и код бутлоадера. И он тупо недееспособен все время пока флеха в ауте, на это время чип становится полной тыквой - и это вообще совсем нельзя обойти.
	Ответить | Правка | Наверх | Cообщить модератору

	84. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Sw00p aka Jerom (?), 24-Май-20, 13:52
	>Попробуй блин под него хотя-бы бутлоадер написать. Попробуйте сначала разговаривать с машиной на её "языке", а не посредством переводчиков, я бы посмотрел бы сколько Г еще посыпалось из её архитектуры.
	Ответить | Правка | Наверх | Cообщить модератору

	48. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	–1 +/–
	Сообщение от Sw00p aka Jerom (?), 23-Май-20, 21:01
	>DJB определил уязвимости как ошибки, ведущие к проблемам безопасности а определение понятию "безопасность" очевидно он не дал :) Как вы думаете, в природе есть понятие "безопасность" ? По мне - нет, есть понятие "инстинкт самосохранение", и природа создала баланс всех животных, "ахиллесову пяту" имеют все.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	79. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Аноним (-), 24-Май-20, 11:46
	> а определение понятию "безопасность" очевидно он не дал :) Оно следует из определения уязвимости по DJB: это в принципе любое поведение программы, которое не было запланировано программистом. Атакующий потенциально может использовать неожиданное для программиста поведение его программы для получения какого-то незапланированного бонуса, в ущерб чьим-то легитимным интересам. > Как вы думаете, в природе есть понятие "безопасность" ? Я попробовал доразвить идею. > "ахиллесову пяту" имеют все. Люди не умеют писать программы без ошибок. Поэтому как максимум одни классы ошибок мутируют в другие. Ну хорошо, вместо кидисов с переполнением буфера приходит пачка ботов с вордпресовского плагина. Безопаснее это не ощущается.
	Ответить | Правка | Наверх | Cообщить модератору

	83. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+/–
	Сообщение от Sw00p aka Jerom (?), 24-Май-20, 13:46
	>Оно следует из определения уязвимости по DJB: когда одно определение следует из другого - это порочный круг, вот вы и доказали, что безопасность это порочный круг ("Щит и меч"). >это в принципе любое поведение программы, которое не было запланировано программистом. как такое возможно? не запланировано - это как? Может ли быть у детерминированного алгоритма незапланированное поведение? >Люди не умеют писать программы без ошибок. Ну так смиритесь с этим, будут и ошибки и заплатки, чем крепче меч - тем крепче и щит, и так по кругу - "порочному". >Безопаснее это не ощущается. Потому-что это псевдо-ощущение.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "Checkpoint предложил технику защиты Safe-Linking, усложняющу..."	+1 +/–
	Сообщение от Аноним (-), 23-Май-20, 16:51
	> Если всё ампутировать производительность, небось раза в три поднимется. Да, в всяких там декомпрессорах и парсерах протоколов оборвать к дьяволу проверку валидности входных данных и прочих глупостей. Вот весело будет, когда все это - в интернете!
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема