forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов, opennews (??), 16-Май-21, (0) [смотреть все]

Редактор от MS Что могло пойти не так , Аноним (1), 08:17 , 16-Май-21, (1) –12 //

Даже без редактора если запустить cargo build, эффект будет тот же , Аноним (3), 08:18 , 16-Май-21, (3) +30 //

Это опеннет, нут лишь бы проприетарщиков в комментах обосрать, за другим сюда не, Аноним (34), 11:43 , 16-Май-21, (34) +9 //

как будто это не проприетарная поделка намеренный оверинжиниринг и NIH в традиц, hindoohindoo (?), 12:03 , 16-Май-21, (36) +1

Какое отношение к раст имеет Гугл , Минона (ok), 15:40 , 16-Май-21, (91) +5

Менеджеры Гуглятины продвигают Раст для программирования ядра Linux , Аноним (-), 17:24 , 16-Май-21, (122) –4

вот ещё да картина-то складывается интересная - из мозиллы выгоняют всех незави, hindoohindoo (?), 10:37 , 17-Май-21, (220) +5

вот не согласен Жить нам предстоит с забаненным Twitter, Reddit, Youtube И ч, Аноним (-), 07:40 , 18-Май-21, (275) –3

чего это вдруг Ну ненужно-вредитт может и правда зобанют Свитер с ютрупом - да, нах.. (?), 10:04 , 18-Май-21, (288)

Может тогда linux-разрабы отстранят гугл от разработки ядра как университет Минн, ммнюмнюмус (?), 15:52 , 18-Май-21, (292) +1

такое же как к мозилле владеет , hindoohindoo (?), 10:26 , 17-Май-21, (217) –1

VS Code вроде как open source проект, Аноним (37), 12:04 , 16-Май-21, (37) –3

Ага, повторяй чаще перед сном , Аноним (266), 20:45 , 17-Май-21, (266)

Как будто это что-то плохое А кроме того, это же весело , Урри (ok), 15:14 , 16-Май-21, (87) +1
не отвлекайся, лижи дальше , Аноним (102), 16:35 , 16-Май-21, (102) +2

Очевидно ж, редактор от MS - это сразу с халтуркой , Аноним (73), 14:06 , 16-Май-21, (73) –1 //

не юзай юзай одобренный, расово-правильный JetBrains, Аноним (-), 07:41 , 18-Май-21, (276)

rust-analyzer это так называемый language server Он может использоваться в любы, n00by (ok), 14:30 , 16-Май-21, (82) +6
Помнится, даже в их блокноте была критическая уязвимость с выполнением кода, phpoenx (?), 19:22 , 16-Май-21, (144) +1
От MS там только название Электрон-поделка, как она есть Надо СРОЧНО переписат, Аноним (194), 00:29 , 17-Май-21, (194) +2

compile-time уязвимость, такого я еще не встречал, Аноним (3), 08:17 , 16-Май-21, (2) +16 //

Скрыто модератором, Плохой Танцор (?), 08:30 , 16-Май-21, (4) +63 //

Скрыто модератором, phpoenx (?), 19:22 , 16-Май-21, (146) –4 //

Скрыто модератором, Неа (?), 20:06 , 16-Май-21, (163)
Скрыто модератором, Эноним (?), 21:50 , 16-Май-21, (179)

Зато без утечек памяти Ваши данные утекают без ошибок С , Аноним (5), 08:32 , 16-Май-21, (5) +39 //

Раст не защищает от утечек памяти , Аноним (21), 09:43 , 16-Май-21, (21) +2 //

и приводит к утечкам данных безопасность кого надо безопасность, hindoohindoo (?), 12:04 , 16-Май-21, (38) +8

ну и отлично, leibniz (ok), 11:17 , 18-Май-21, (291)

Ты мейкфайлы тоже запускаешь без предварительной проверки того, что там выполняе, виндотролль (ok), 10:34 , 16-Май-21, (26) //

да, анакомус (?), 11:24 , 16-Май-21, (31) +4 //

cmake, qmake, ninja, meson, conan наконец-то можно кодить как будто это 2021 и, виндотролль (ok), 05:08 , 17-Май-21, (196) +1

Да, можно собрать любой язык одним лишь компилятором линковщиком Да, в расте ра, виндотролль (ok), 08:52 , 17-Май-21, (208) +2

Ну что ты заладил со своим eval Выучил новое слово Во всех примерах, где мне вс, виндотролль (ok), 15:29 , 17-Май-21, (234)

просто надо юзать Maven Все четко, централизованно, из репозитория, проверено, , Аноним (-), 07:44 , 18-Май-21, (277)

Если у тебя программа из 1 файла то система сборки не нужна, можно просто запуст, Аноним (202), 07:49 , 17-Май-21, (202) +2
Это ещё что, некоторые делают eval во время выполнения, вот прикол , Аноньимъ (ok), 09:44 , 17-Май-21, (211)
А мужики-то и не знали с https clang llvm org get_started htmlhttps gcc gn, Аноним_в_противогазе (?), 15:42 , 17-Май-21, (238)

Какая экспрессивная, но невнятная отмазка Да-да, сборка C C компилятора не име, Аноним_в_противогазе (?), 16:06 , 17-Май-21, (242)

Да-да, разрабы gcc и clang - инвалиды и то ли дело великий, анонимный, непризн, Аноним_в_противогазе (?), 16:42 , 17-Май-21, (247)

Кавычки - это вообще-то цитирование тебя же, ыксперд Но даже тут ты умудрился д, Аноним_в_противогазе (?), 17:28 , 17-Май-21, (250)

А у меня нет редактора, запускающего мэйкфайлы при попытке их редактировать Чт, нах.. (?), 16:14 , 17-Май-21, (243) +1

Грабли_с_топором_ pngЧего еще ждать от моды на лютое переусложнение, Аноним (6), 08:33 , 16-Май-21, (6) +9 //

Интересно, из вышеотписавшихся хоть кто-то хоть раз открывал тот же configure , Аноним (49), 12:51 , 16-Май-21, (49) +8 //

Не ламерьё, а недалёкие, ограниченные configure никогда никто не проверял Н, Аноним (73), 14:09 , 16-Май-21, (75) +2 //

Так это и есть сленговое названия таких вот, рассуждающих с умным видом , Аноним (-), 14:20 , 16-Май-21, (80) +2

Ну я открывал И что характерно -- никуда никто при этом не ломится, потому как, Michael Shigorin (ok), 14:10 , 16-Май-21, (76) –4 //

0, Аноним (-), 14:18 , 16-Май-21, (79) –3

Открывал И более того - правил И даже - не свались со стула - чистил вилкой за , Dzen Python (ok), 15:58 , 16-Май-21, (95) +1 //

Но никаких выводов о том, что там и черта лысого спрятать можно - не сделал , Аноним (-), 16:47 , 16-Май-21, (110) +2

Да он там максимум опции компилятора поправил, потому что через automake, config, Аноним (37), 17:02 , 16-Май-21, (116) –1
При желании, да Но в принципе, это атака на невнимательность и на использование, Dzen Python (ok), 19:36 , 16-Май-21, (157)

Раскурить можно всё Пару часов всего-то потратить Но после пятого такого раску, Likern (?), 21:04 , 16-Май-21, (170) –1

mount_namespaces 7 , Аноним (-), 21:24 , 16-Май-21, (173)
В шарагах на три студента, манагера-истеричку и мамкиного капиталиста - владетел, Dzen Python (ok), 22:17 , 16-Май-21, (184)

У меня друг работал в Касперыче и Мэйле и вроде в Яндексе Спрошу у него про , Likern (?), 22:26 , 16-Май-21, (186)

Что у тебя подгорело и ты бросился оспаривать что-то, придуманное тобою же, я уж, Аноним (-), 20:43 , 16-Май-21, (167) +1

Давай я задам вопрос прямо - дорогой ты наш читатель жопой, где в Интересно,, Аноним (-), 21:39 , 16-Май-21, (175)
Мда ну что тут сказать цитаты великих, не иначе Можно каждое предложение ра, Likern (?), 21:47 , 16-Май-21, (177) +2

Братишка, я тебе покушать принёс Надеюсь ты подлечишься, подучишь что такое С , Likern (?), 22:11 , 16-Май-21, (182) +2

Так это и есть мода на переусложнение Как собственно и кресты И сишка туда-же М, Аноньимъ (ok), 09:37 , 17-Май-21, (210) +1 //

Zig - это попытка уйти от переусложнения Язык учится за пару дней, Аноним (37), 00:49 , 18-Май-21, (273)
Ты предлагаешь использовать бейсик , Anon Nona (?), 19:27 , 18-Май-21, (294) –1

Лисп машины были неплохие, как и многие объектные процессоры Аду например, модул, Аноньимъ (ok), 20:03 , 18-Май-21, (295)

Интересно, какой придурок додумался встраивать пакетный менеджер в ЯП Он вообще, Аноним (5), 08:33 , 16-Май-21, (7) +4 //

Непосредственно в ЯП ничего не встроено, если хотите - используйте rustc вручную, боня (?), 08:56 , 16-Май-21, (12) +6
динозавр, ты ничего не понимаешь в современном программировании привык к своим , Аноним (13), 08:58 , 16-Май-21, (13) –2 //

Согласен, перфокарты же не утекают , Аноним (30), 11:04 , 16-Май-21, (30) +1
точно в век инклюзивности и открытости ни у кого не должно быть секретиков от об, hindoohindoo (?), 12:11 , 16-Май-21, (41) –1

Если бы код, делающий то же самое, встроили не в макрос, а в тело функции - силь, inferrna (ok), 09:34 , 16-Май-21, (20) –5 //

Её можно было бы увидеть в редакторе перед запуском, Рмшъ (?), 13:25 , 16-Май-21, (67) –1 //

А сишкины макросы языковым сервером не раскрываются , Аноньимъ (ok), 09:48 , 17-Май-21, (212) +1

Тут надо понимать, что такое фазы трансляции Сишкины макросы могут не более, , n00by (ok), 10:10 , 17-Май-21, (214) +1

зато не дырявая сишка бебебе, hindoohindoo (?), 12:05 , 16-Май-21, (39) –1 //

скрипты сборки сишки не менее дырявые , Аноним (100), 16:22 , 16-Май-21, (100) +1 //

А при чём тут скрипты сборки Вы только скачали из какого-нибудь github исходник, Совершенно другой аноним (?), 08:35 , 17-Май-21, (204) –1

А сишкины макросы языковым сервером не раскрываются , Аноньимъ (ok), 09:50 , 17-Май-21, (213) –1

Где У меня - нет, не раскрываются И в C, насколько я понимаю, никаких процедур, Совершенно другой аноним (?), 11:13 , 17-Май-21, (223)

Чтобы произвести компиляцию нужно развернуть макросы Чтобы обнаружить ошибки в к, Аноньимъ (ok), 15:19 , 17-Май-21, (232) +1

Макросы для C не разворачиваются компилятором C, соответственно не могут быть вы, Совершенно другой аноним (?), 17:26 , 17-Май-21, (249) +2

Молодец, ты, наверное, единственный на этой помойке кто действительно решил в чё, Прорыв_запарты_фелиал (ok), 19:42 , 17-Май-21, (261)
Ага, и этот код получается никак не ограничен в доступе к внешним ресурсам Фс и, Аноньимъ (ok), 21:41 , 17-Май-21, (267)

Тут я Вам сказать ничего не могу, но судя по новости, которую мы с Вами обсуждае, Совершенно другой аноним (?), 08:19 , 18-Май-21, (286)

Ладно, когда исходный код используется злонамерено, но написаные на современных , Константавр (ok), 08:43 , 16-Май-21, (9) +18 //

Типа все либы на C ты писал вручную и не брал из интересных Изучал каждую функц, Аноним (100), 16:09 , 16-Май-21, (97) –2 //

Руками брал, и устанавливал на свою систему Автоматом ничего ниоткуда не тянетс, Crazy Alex (ok), 19:07 , 16-Май-21, (142) +2 //

Т е когда берешь руками, а не автоматом, то ранее внедренные бэкдоры самоудаляю, Аноним (230), 13:33 , 17-Май-21, (230) +3

Дырявый, но очень безопасный Может исследователи не увидели unsafe рядом с макр, Аноним (-), 08:56 , 16-Май-21, (11) –1
Скрыто модератором, Аноним_t (?), 08:59 , 16-Май-21, (14) –5 //

Скрыто модератором, Аноним (15), 09:04 , 16-Май-21, (15) +4
Скрыто модератором, Аноним (13), 09:08 , 16-Май-21, (16) +1
Скрыто модератором, Аноним (19), 09:31 , 16-Май-21, (19) +1

Америку открыли Помнится, при открытии проектов с гитхаба визуалстудия выдаёт п, Нанобот (ok), 09:18 , 16-Май-21, (17) +6 //

Чорд, правда ведь, выдает А не могли бы они быть это more specific и уточнит, нах.. (?), 19:22 , 17-Май-21, (257)

Опеннетчики не смогли осилить умом, что атака возможна на любой язык и редактор,, Аноним (18), 09:22 , 16-Май-21, (18) +19 //

любой редактор кода, раскрывающий процедурные макросы любой , Fractal cucumber (ok), 10:53 , 16-Май-21, (28) +8 //

Дело не в процедурных макросах Любой код, который запускает редактор из проекта, Аноним (37), 12:29 , 16-Май-21, (46) –1 //

И много редакторов, запускающих код из проекта, вы знаете Даже VSCode скорее все, Онаним (?), 12:53 , 16-Май-21, (51) +3

Чего, забыли как nodejs выполняет код при установке зависимостей То рекламу в к, Аноним (138), 18:23 , 16-Май-21, (138)

Но это ни чем принципиально не отличается от установки православных deb rpm па, Аноним (37), 18:40 , 16-Май-21, (141)

В случае deb rpm мейнтейнеры вполне известны А вот в случае проектиков, собранны, Онаним (?), 20:32 , 16-Май-21, (166)

а толку-то Как будто у тех 48 часов в сутках, знание всех ведомых и неведомых я, нах.. (?), 18:42 , 17-Май-21, (255)

И всё равно надёжнее сиволапого васяна просто по определению Ну и я подозреваю ч, Онаним (?), 20:17 , 17-Май-21, (263)

почему надёжнее - потому что да, у него завтра ещё овердохера пакетов, и рука у, Онаним (?), 20:18 , 17-Май-21, (264)

Смешно это читать Учитывая что мейнтейнер пакетов - это во-первых, низкоквалифиц, Аноним (37), 00:36 , 18-Май-21, (271) –1

Matthias Gerstner of SUSE s security team передает гуанокодерам на хрусте привет, нах.. (?), 10:18 , 18-Май-21, (289)

Васян сделает лучше потому что ему один раз надо это сделать качественно И он и, Аноним (37), 00:39 , 18-Май-21, (272)

nodejs - таки не редактор, но да, это вторая фееричная оверхайпленная хипстерска, Онаним (?), 20:30 , 16-Май-21, (165) +1

Idea при каждой сборке проекта на java выполняет код процессоров аннотации и сбо, Аноним (202), 07:39 , 17-Май-21, (201) +2

Месье, вы с утра упоролись грибами что ли Как при подсветки синтаксиса можно пе, Аноним (58), 12:59 , 16-Май-21, (58) +2

Легко Также как и для линтинга передают eslint js То что конкретно для этой фич, Аноним (37), 13:08 , 16-Май-21, (62)

Вы понимаете, что интепретация кода и его имплементация это разные понятия Чтобы, Аноним (58), 14:06 , 16-Май-21, (74)

Что Вы о чём Я вам привёл неполный список фич редактора, где это может всплыть , Аноним (37), 14:35 , 16-Май-21, (83)
Исполняется естественно не сам файл любой в проекте , который открывается А от, Аноним (37), 14:44 , 16-Май-21, (85)

Вы будете смеяться, VSCode для этого использует JSON-RPC https microsoft gith, n00by (ok), 14:45 , 16-Май-21, (86) +5

Приятно поговорить с умным человеком , Аноним (37), 15:34 , 16-Май-21, (90)

я тебе открою секрет - редактор VSCode вообще ни-при-чем В VSCode-е за все отве, Аноним (-), 08:02 , 18-Май-21, (279) //

Тем более , Fractal cucumber (ok), 10:23 , 18-Май-21, (290)

vi, make Ваш ход, болтун , Michael Shigorin (ok), 16:35 , 16-Май-21, (103) +1 //

Ну как, сделай мне в vi вывод файлов где используется какая-то функция или класс, Аноним (37), 17:04 , 16-Май-21, (117) –1 //

grep жеж, Аноним (130), 17:53 , 16-Май-21, (130) +2

В условии задачи сказано функция или класс из C , то есть говорится о возможн, n00by (ok), 07:26 , 17-Май-21, (199) +1

С Шигориным бесполезно общаться - он пока еще не дорос до того уровня, чтоб вест, Аноним (-), 08:04 , 18-Май-21, (280)

Просто надо перейти на модно-молодёжные vim8 and neovim, для которого аж 6 реали, n00by (ok), 10:16 , 17-Май-21, (216)
Просто надо почитать вот это https microsoft github io language-server-protoco, n00by (ok), 10:28 , 17-Май-21, (218)

Сухун , Аноним (293), 19:04 , 18-Май-21, (293)

дополню анонима выше - текст новости тоже отдаёт желтизной ssh id_rsa - эт, x3who (?), 09:50 , 16-Май-21, (22) //

Всего-то Фигня какая Уася может запустить у тебя на тачке скрипт от имени тебя , Аноним (24), 10:28 , 16-Май-21, (24) +5 //

Сложный вопрос С одной стороны свобода творчества, с другой стороны не хотят , Аноним (73), 14:11 , 16-Май-21, (77)
а ты новость читал А то похоже ты ее не понял , Аноним (-), 08:07 , 18-Май-21, (281)

Ну, конкретно такие файлы имеют права вроде rw-------, и если рассчитывать на та, Аноним (225), 12:44 , 17-Май-21, (225)

Кошмар какой А ещё cargo build может использовать build-скрипты, которые суть и, Ordu (ok), 10:23 , 16-Май-21, (23) //

Сказано же Раст безопасен Наверное дело в MSCode Надо его на расте переписат, Аноним (24), 10:33 , 16-Май-21, (25) //

Да, и autotools тоже, вместе с make, meson, и прочими, чтобы избавить их от возм, Ordu (ok), 10:57 , 16-Май-21, (29) +1 //

С этими достаточно просмотреть мейкфайл, чтобы убедиться в безопасности сборки , Аноним (42), 12:19 , 16-Май-21, (42) –1

Хоть раз смотрел риторический вопрос Теоретики-впопеннета-рука-лицо жпг там , Аноним (49), 12:57 , 16-Май-21, (56) +3

Сюда уже захожу в комментарии чисто поржать Эксперты оппеннета поражают своей к, Аноним (37), 13:12 , 16-Май-21, (63) –2

скачиваем курлом скрипт инсталлятора и перенаправляем сразу в шелл, а вы тут про, Sw00p aka Jerom (?), 13:45 , 16-Май-21, (69) –1

Так я и говорю - проблема не в скриптах Проблема в Linux, в её древней модели б, Аноним (37), 14:21 , 16-Май-21, (81) –1

Не надо, там через жопу Особенно в 11 , Аноним (42), 16:09 , 16-Май-21, (98)
Ох, каждый первый дурак должен вылезти всех учить, потому как не в курсе о синдр, Michael Shigorin (ok), 16:40 , 16-Май-21, (106) –2

Батенька, да вы идиот однако И подтверждение это - от вас никакой конкретики, т, Аноним (37), 17:18 , 16-Май-21, (120) –1

Прикинь, андроид тупо создаёт классического юниксового юзера под каждую аппку А, Аноним (42), 17:39 , 16-Май-21, (126) –1

Серьезно Если это так - это ужас на крыльях ночи Костыльное говнецо Но я скоре, Аноним (37), 17:49 , 16-Май-21, (129) –1

дыркер все исправит песочница для системы сборки, Sw00p aka Jerom (?), 00:10 , 17-Май-21, (193)
Я там что-то ни одной хорошей идеи не видел, учитывая то, что второй раст от гуг, Аноним (-), 12:54 , 17-Май-21, (227) +1

Да, смотрю, а что В мелких проектах нет никакой кучи, а большие уже опакечены в, Аноним (42), 16:07 , 16-Май-21, (96) –1

Мелкие - это калькуляторы Потому что даже в i3 configure - под 12 тыщ, а сгенер, Аноним (-), 16:44 , 16-Май-21, (109) +1

А в мейкфайле ядра линукс 2K строк, и шо Сравнимо с размером срачика под этой, Аноним (42), 17:07 , 16-Май-21, (118) –1

шо find usr src linux -name Makefile 124 xargs wc -l 37 usr src l, Ordu (ok), 18:02 , 16-Май-21, (131) +2
code find linux-5 12 4 -name Makefile 124 wc -l 2607 find l, Аноним (-), 18:17 , 16-Май-21, (132) +2

Проблема и маленькая и большая одновременно и касается она ЛЮБОЙ прграммы, в к, Сергей (??), 10:50 , 16-Май-21, (27) +1 //

Попробуй воспроизвести ее в vifm , Аноним (61), 13:07 , 16-Май-21, (61) +2 //

я легко воспроизвожу это в vim - делаю шоткаты запускающие внешние exe-ники В Е, Аноним (-), 08:09 , 18-Май-21, (282)

Не корректно сказато что это дыра в редакторе Корректно сказать что это дыра в , Msk2 (?), 11:30 , 16-Май-21, (32) +1 //

notepad exe в свое время запускал calc exe , Sw00p aka Jerom (?), 07:35 , 17-Май-21, (200)

Вы, может быть, подумали, что это какое-то Undefined Behavior Ничего подобного,, Аноним (-), 12:06 , 16-Май-21, (40) +1
Это не новость, в JS при открытии проекта автоматически подхватывается файл линт, Аноним (37), 12:20 , 16-Май-21, (43) –2 //

Естественно эта атака делается на любой редактор Включая vim , Аноним (37), 12:23 , 16-Май-21, (44) +1
Ну так запрети через SELinux сеому говнолинтеру шариться по системе, делов-то , Аноним (42), 12:27 , 16-Май-21, (45) +1 //

Показывает ущербность Линукса и подхода Огромная дыра в безопасности много лет , Аноним (37), 12:38 , 16-Май-21, (47) –1 //

Ну да, в других-то ОС такого конечно же нет, чтобы программы имели доступ к файл, Аноним (42), 12:41 , 16-Май-21, (48) +2

Нет конечно В его любимой десяточке все программы плиточкой на экране выложены, , Онаним (?), 12:55 , 16-Май-21, (54)

id_rsa priv В десяточке Окстись 21 век, какой id_rsa priv , Аноним (-), 08:13 , 18-Май-21, (284)

Мне не интересно что в других системах Мне интересно в Linux А то что где-то та, Аноним (37), 12:58 , 16-Май-21, (57) –1

Не сами по себе утекают, а юзер запускает помойный софт, суёт в него помойные фа, Аноним (42), 13:19 , 16-Май-21, (64)

Как ты определяешь помойный от непомойного ДО запуска приложения Поделис, Аноним (37), 13:24 , 16-Май-21, (66) –2

По репутации Когда речь идёт об npm, rust и связанных инструментах, очевидно чт, Аноним (42), 13:46 , 16-Май-21, (70)

При чём тут Rust и npm Это для разработчиков А глубже копнуть Пользователь зап, Аноним (37), 14:06 , 16-Май-21, (72) –1

В прошлом веке ещё в линукс были ограничения прав различных пользователей и возм, Аноним (42), 15:46 , 16-Май-21, (92)

Какие пользователи Пользователь всего один И у него много приложений, с разным, Аноним (37), 16:50 , 16-Май-21, (112) –2

Приложению по просмотру фоточек и их каталогированию я хочу дать доступ к папке , Аноним (37), 16:57 , 16-Май-21, (114) –1
Apparmor selinux flatpack , Аноним (42), 17:11 , 16-Май-21, (119) +1
Что ты мне названиями тыкаешь Ты покажи как это легко Конкретно, на примере Fl, Аноним (37), 17:24 , 16-Май-21, (123) –1
А мне оно не надо, я ж не параноик Шлакпак чужд идеологически, apparmor не нуже, Аноним (42), 17:32 , 16-Май-21, (125)
и когда понадобится выложить фотографию в веб или отправить почтой другому васян, нах.. (?), 00:34 , 18-Май-21, (270) +1
0 слово приложение предлагаю резко забыть есть процессы,у процессов есть UID, СеменСеменыч777 (?), 12:43 , 17-Май-21, (224)

Это не так просто, потому что нужно проследить чтобы у ресурсов защищаемых пол, Аноним (178), 21:49 , 16-Май-21, (178)

Яндекс не помойка получается , Аноним (18), 14:40 , 16-Май-21, (84) +1

Не то, что в богоспасаемой виндавс Тот не только в профиль пускает, но и дает н, Dzen Python (ok), 12:51 , 16-Май-21, (50) +2 //

Мне как-то глубоко наплевать что тамв Windows Я сижу под Linux И их проблемы мн, Аноним (37), 13:02 , 16-Май-21, (59) –2 //

Настолько глубоко, что даже линукс толком не знаешь Девляпс, не ты ли это , Dzen Python (ok), 13:24 , 16-Май-21, (65) +4

Это мне рассказывают эксперты , которую знают что-то про плиточку и windata в, Аноним (37), 14:12 , 16-Май-21, (78) –1

Девляпс, ну залогинься уже, Dzen Python (ok), 15:53 , 16-Май-21, (94)

Не заслужил ещё, Аноним (37), 17:27 , 16-Май-21, (124) –1

правильнее сказать проблемы вообще нет Но 99 коментирующих этого не поняли , Аноним (-), 08:10 , 18-Май-21, (283)

Хруст перенёс на этапы компиляции не только проверку на возможные уязвимости, но, Онаним (?), 12:54 , 16-Май-21, (52) //

_редактирования_ Этап компиляции - это каменный век какой-то Зачем ждать компил, нах.. (?), 16:21 , 17-Май-21, (245) +2 //

Истинно такЪ, Онаним (?), 20:19 , 17-Май-21, (265)

Rust, vscode, безусловно запускающиеся макросы, фанатом которых является разрабо, Псевдоним (??), 12:54 , 16-Май-21, (53) //

На самом деле часть IT-сферы всегда деградировало, просто не всегда вокруг этой , Онаним (?), 12:55 , 16-Май-21, (55) –1

Проблема в Rust, а пишется что могут быть проблемы и в других местах Это двойны, Аноним (61), 13:06 , 16-Май-21, (60) //

согласен rustexploitmatter, Аноним (102), 16:44 , 16-Май-21, (108) –2
Да, надо писать что в других местах - ЕСТЬ проблемы Они же ж точно где-то есть, нах.. (?), 18:35 , 17-Май-21, (254)

Скрыто модератором, ржачников_накрыло (?), 13:26 , 16-Май-21, (68) –1 //

Скрыто модератором, жиесть (?), 23:01 , 16-Май-21, (189)

глобально и надёжно, mos87 (ok), 13:49 , 16-Май-21, (71)
Ну що, сынку Помог табе твой раст , Аноним (-), 15:22 , 16-Май-21, (88) –2
Ну що, сынку Помог табе твой раст , Тарас Б. (?), 15:22 , 16-Май-21, (89) –2
А вообще да, вся новость сводится к стандартному Если пользователь запустит на , Dzen Python (ok), 15:52 , 16-Май-21, (93) +1
Дикие полотна configure sh тоже работают до непосредственно сборки и прямо из ко, Аноним (100), 16:22 , 16-Май-21, (99) +3 //

К тебе на улице могут подойти, набить морду и отобрать кредитку Ты же не дурачо, Аноним (42), 16:54 , 16-Май-21, (113) –2 //

Неудачный пример Подойти на улице можно приравнять к получить локальный доступ к, Аноним (100), 18:17 , 16-Май-21, (133) //

Ну вот получил я локальный доступ к твоему телу, а у тебя нет кредиток, ка-зззел, нах.. (?), 19:29 , 17-Май-21, (258)

Жесть, сейчас проверил, вскод даже в снап-версии ставится в классическом режиме, Аноним (100), 16:26 , 16-Май-21, (101) //

ты не поверишь, но это непопулярно https github com microsoft vscode issues 75, Аноним (102), 16:38 , 16-Май-21, (105) //

Скрыто модератором, Аноним (100), 18:19 , 16-Май-21, (134) //

Скрыто модератором, афинянин (?), 19:35 , 17-Май-21, (259)

А говорили rust надежный язык Код еще не даже не скомпилировался, а уязвимости , Аноним (102), 16:48 , 16-Май-21, (111) –3 //

Раст и надёжный язык, что изменилось , Аноним (100), 18:20 , 16-Май-21, (135)

зря микрософт на гитхабе запрещает использование паролей, принудительно навязыва, Аноним (115), 17:01 , 16-Май-21, (115) +1 //

Ничего не мешает запаролить ключи , Аноним (-), 17:47 , 16-Май-21, (127) –1 //

ничего не мешает оставить оба варианта, как было до покупки микрософтом, Аноним (-), 18:30 , 16-Май-21, (140) //

Это корпы и им неважно как тебе удобно Им важно как они решили, Аноним (209), 08:52 , 17-Май-21, (209)

Лол они это специально сделали Просто майки пытаются делать хорошую мину при пл, Аноним (151), 19:27 , 16-Май-21, (151)

Фрактал, ау Ты где , Аноним (-), 17:19 , 16-Май-21, (121)
Rustовая дырень, Аноним (128), 17:48 , 16-Май-21, (128) –3 //

Всё еще в разы лучше типичной си дырени в рантайме, Аноним (100), 18:21 , 16-Май-21, (136) +2 //

Раст ничем не лучше и не безопаснее других языков , Аноним (151), 19:25 , 16-Май-21, (149) –3 //

Смотря с чем сравниватьЕсли с C C , то и лучше, и удобнее, и на голову безопасн, Аноним (100), 00:05 , 17-Май-21, (191) +2

Раст хуже, неудобнее, менее безопасен чего стоят только его дыры в vscode, утечк, Аноним (209), 08:47 , 17-Май-21, (205)

Вот зачем на этом ресурсе пропагандировать подобное Теперь малодалекие будут ци, Аноним (137), 18:22 , 16-Май-21, (137) //

да какая разница, мелкие проблемы, которые скоро пофиксят, не мешают расту продо, Аноним (100), 18:26 , 16-Май-21, (139) –2 //

пофиксил, не благодари, Аноним (42), 19:29 , 16-Май-21, (153) –2 //

По версии любого, кто хоть немного в него вник, а не строчит на форуме всякий му, Аноним (100), 19:39 , 16-Май-21, (160)

Раст пора законодательно запретить Чтобы малодалекие не писали ерунда про какую, Аноним (151), 19:26 , 16-Май-21, (150) –2 //

Не бывает ничего безопасного, но на фоне C C это СУПЕР безопасный язык , Аноним (100), 19:38 , 16-Май-21, (159) +3 //

все познается в сравнении, Ааа (?), 19:42 , 16-Май-21, (161)
Надеюсь, раст его заменит , Аноним (174), 21:35 , 16-Май-21, (174) +2

В ближайшие 20 лет врядли C только усиливает позиции Node js на C написан , Аноним (37), 00:06 , 17-Май-21, (192) –1

нет такого языка C C Или Си или Си Одно из двух, Аноним (-), 08:17 , 18-Май-21, (285) +1

В расте дырень Вот это да он же безопасный язык, как так-то а , Аноним (151), 19:24 , 16-Май-21, (147) //

Где дырень Он просто сделал процедурный макрос предусматривающий пользовательск, Аноним (298), 20:48 , 26-Май-21, (298)

Скоро во всех растоманских IDE Открытие этого rs файла может привести к краже з, Аноним (42), 19:52 , 16-Май-21, (162) //

Для JavaScript проектов уже так спрашивает про выполнение настроек линтера в пр, Likern (?), 22:14 , 16-Май-21, (183) +1
не умеешь ты писать ide, как мы поглядим ну кто ж так делает-то Работать как, Современные разработчики (?), 19:40 , 17-Май-21, (260) +1
В java проектах уже сейчас так Idea спрашивает открыть его в безопастном режиме, Аноним (202), 23:05 , 17-Май-21, (269)

Спасибо, Кэп Все и так знали, что растоманы - смузихлёбы, и что их пакетный мен, Аноним (176), 21:42 , 16-Май-21, (176) +2 //

Скрыто модератором, Аноним (209), 08:52 , 17-Май-21, (207) –2

Демонстрация атаки на редакторы кода я слеп или в статье ничего кроме VScode, Аноним (203), 08:12 , 17-Май-21, (203) //

Список редакторов здесь https microsoft github io language-server-protocol imp, n00by (ok), 10:11 , 17-Май-21, (215)

Если говорить об эпичности новости, вопрос в том, насколько полно языковой серве, n00by (ok), 11:09 , 17-Май-21, (222) //

Не, не правильно initialize_params -- это явно инстанс какого-то типа, не описа, Ordu (ok), 22:00 , 17-Май-21, (268) //

Вот-вот Он описан в спецификации LSP Это параметры инициализации сервера, кото, n00by (ok), 08:46 , 18-Май-21, (287)

Растоманство , Аноним12345 (?), 12:54 , 17-Май-21, (226)
Предлагаю уже царю запилить свой язычок и пиарить, главное, надо нанять BLM для , Аноним (-), 13:00 , 17-Май-21, (228)
Это скорее не новость, а забавное замечание того, что можно делать с просто ред, Аноним (225), 13:01 , 17-Май-21, (229) //

нет далеко не все приложения, выполняющиеся от root, позволяют какие-то юзерски, нах.. (?), 19:44 , 17-Май-21, (262) +1

тут, кстати, нового прекрасного привалило https ubuntu com security notices US, нах.. (?), 03:02 , 18-Май-21, (274) +1
Юзеры г0вноподелия VSCode должны страдать Скажем дружное нахрен любым Жабо, Gogi (??), 22:14 , 18-Май-21, (296)
Всмысле демонстрация атаки Я посмотрел код, он же просто сделал вызов нужного, Аноним (298), 20:47 , 26-Май-21, (297)

Сообщения [Сортировка по времени | RSS]

222. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..." +/–

Сообщение от n00by (ok), 17-Май-21, 11:09

Если говорить об эпичности новости, вопрос в том, насколько полно языковой сервер для Rust реализует спецификацию LSP.
TextDocumentItem
An item to transfer a text document from the client to the server.
interface TextDocumentItem {
    /**
     * The text document's URI.
     */
    uri: DocumentUri;
...
}
Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority:

    let config = {
        let root_path = match initialize_params
            .root_uri
            .and_then(|it| it.to_file_path().ok())
            .and_then(|it| AbsPathBuf::try_from(it).ok())
        {
            Some(it) => it,
            None => {
                let cwd = env::current_dir()?;
                AbsPathBuf::assert(cwd)
            }
        };

или не правильно? =)

Ответить | Правка | Наверх | Cообщить модератору

268. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..." +/–

Сообщение от Ordu (ok), 17-Май-21, 22:00

> Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority, или не правильно?
Не, не правильно. initialize_params -- это явно инстанс какого-то типа, не описанного в std, аргументы лямбд it тоже, я подозреваю, ссылаются на типы вне std. AbsPathBuf -- опять же не из std. Соответственно, можно конечно гадать по названиям идентификаторов о том, что этот код делает, но лучше не стоит, лучше сделать cargo doc и посмотреть в документацию.
То есть, что-то этот код отфильтрует конечно -- to_file_path, судя по всему, может сфейлится иногда (если метод ok следует сложившимся условностям именования методов, точнее если это метод библиотечного Result, конвертающий Result в Option), значит что-то он фильтрует. AbsPathBuf тоже может сфейлится, значит он тоже что-то фильтрует. Но что именно оно фильтрует? Ты можешь либо гадать на кофейной гуще, либо почитать в документации.
Повторяя же твою ошибку (гадая на кофейной гуще), я бы предположил, что здесь отбрасываются uri, которые ссылаются не на локальные файлы и которые не могут быть преобразованы в абсолютный путь к файлу. Если они отбрасываются, то вместо них подставляется env::current_dir (если, конечно, его удаётся получить и валидировать как абсолютный путь).

Ответить | Правка | Наверх | Cообщить модератору

287. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..." +/–

Сообщение от n00by (ok), 18-Май-21, 08:46

>> Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority, или не правильно?
> Не, не правильно. initialize_params -- это явно инстанс какого-то типа, не описанного
> в std
Вот-вот. Он описан в спецификации LSP. Это параметры инициализации сервера, которые отправляет клиент. Далее сервер производит с этими параметрами некие действия, которые в итоге приводят к исполнению кода, а располагается этот код по адресу root_uri (это корневой каталог "проекта").
Потому интересно, что может оказаться в root_uri.
Там может быть только file:///
или ещё и ftp://bhc-crew.org/perl-sploet.rs
Потому что семантика TextDocumentItem подразумевает для описываемых URI сущностей (это не только корневой каталог, но и каждый анилизируемый файл) не просто open, а transfer (from the client to the server).
> я бы предположил, что
> здесь отбрасываются uri, которые ссылаются не на локальные файлы и которые
> не могут быть преобразованы в абсолютный путь к файлу.
Именно это я и предположил, это действительно не более чем предположение. Может быть, что не отбрасываются? =)

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

222. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..."	+/–
Сообщение от n00by (ok), 17-Май-21, 11:09
Если говорить об эпичности новости, вопрос в том, насколько полно языковой сервер для Rust реализует спецификацию LSP. TextDocumentItem An item to transfer a text document from the client to the server. interface TextDocumentItem { /** * The text document's URI. */ uri: DocumentUri; ... } Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority: let config = { let root_path = match initialize_params .root_uri .and_then(\|it\| it.to_file_path().ok()) .and_then(\|it\| AbsPathBuf::try_from(it).ok()) { Some(it) => it, None => { let cwd = env::current_dir()?; AbsPathBuf::assert(cwd) } }; или не правильно? =)
Ответить \| Правка \| Наверх \| Cообщить модератору


	268. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..."	+/–
	Сообщение от Ordu (ok), 17-Май-21, 22:00
	> Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority, или не правильно? Не, не правильно. initialize_params -- это явно инстанс какого-то типа, не описанного в std, аргументы лямбд it тоже, я подозреваю, ссылаются на типы вне std. AbsPathBuf -- опять же не из std. Соответственно, можно конечно гадать по названиям идентификаторов о том, что этот код делает, но лучше не стоит, лучше сделать cargo doc и посмотреть в документацию. То есть, что-то этот код отфильтрует конечно -- to_file_path, судя по всему, может сфейлится иногда (если метод ok следует сложившимся условностям именования методов, точнее если это метод библиотечного Result, конвертающий Result в Option), значит что-то он фильтрует. AbsPathBuf тоже может сфейлится, значит он тоже что-то фильтрует. Но что именно оно фильтрует? Ты можешь либо гадать на кофейной гуще, либо почитать в документации. Повторяя же твою ошибку (гадая на кофейной гуще), я бы предположил, что здесь отбрасываются uri, которые ссылаются не на локальные файлы и которые не могут быть преобразованы в абсолютный путь к файлу. Если они отбрасываются, то вместо них подставляется env::current_dir (если, конечно, его удаётся получить и валидировать как абсолютный путь).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	287. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..."	+/–
	Сообщение от n00by (ok), 18-Май-21, 08:46
	>> Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority, или не правильно? > Не, не правильно. initialize_params -- это явно инстанс какого-то типа, не описанного > в std Вот-вот. Он описан в спецификации LSP. Это параметры инициализации сервера, которые отправляет клиент. Далее сервер производит с этими параметрами некие действия, которые в итоге приводят к исполнению кода, а располагается этот код по адресу root_uri (это корневой каталог "проекта"). Потому интересно, что может оказаться в root_uri. Там может быть только file:/// или ещё и ftp://bhc-crew.org/perl-sploet.rs Потому что семантика TextDocumentItem подразумевает для описываемых URI сущностей (это не только корневой каталог, но и каждый анилизируемый файл) не просто open, а transfer (from the client to the server). > я бы предположил, что > здесь отбрасываются uri, которые ссылаются не на локальные файлы и которые > не могут быть преобразованы в абсолютный путь к файлу. Именно это я и предположил, это действительно не более чем предположение. Может быть, что не отбрасываются? =)
	Ответить \| Правка \| Наверх \| Cообщить модератору