forum.opennet.ru

"Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Демонстрация атаки на редакторы кода, приводящей к утечке фа..."	+/–
Сообщение от Ordu (ok), 17-Май-21, 22:00
> Я правильно понимаю, что следующий фрагмент не пропустит некоторые URI scheme + authority, или не правильно? Не, не правильно. initialize_params -- это явно инстанс какого-то типа, не описанного в std, аргументы лямбд it тоже, я подозреваю, ссылаются на типы вне std. AbsPathBuf -- опять же не из std. Соответственно, можно конечно гадать по названиям идентификаторов о том, что этот код делает, но лучше не стоит, лучше сделать cargo doc и посмотреть в документацию. То есть, что-то этот код отфильтрует конечно -- to_file_path, судя по всему, может сфейлится иногда (если метод ok следует сложившимся условностям именования методов, точнее если это метод библиотечного Result, конвертающий Result в Option), значит что-то он фильтрует. AbsPathBuf тоже может сфейлится, значит он тоже что-то фильтрует. Но что именно оно фильтрует? Ты можешь либо гадать на кофейной гуще, либо почитать в документации. Повторяя же твою ошибку (гадая на кофейной гуще), я бы предположил, что здесь отбрасываются uri, которые ссылаются не на локальные файлы и которые не могут быть преобразованы в абсолютный путь к файлу. Если они отбрасываются, то вместо них подставляется env::current_dir (если, конечно, его удаётся получить и валидировать как абсолютный путь).
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Демонстрация атаки на редакторы кода, приводящей к утечке файлов при открытии исходных текстов, opennews, 16-Май-21, 08:17 [смотреть все]

Редактор от MS Что могло пойти не так , Аноним, 16-Май-21, 08:17 (1) //
- Даже без редактора если запустить cargo build, эффект будет тот же , Аноним, 16-Май-21, 08:18 (3) //
  - Это опеннет, нут лишь бы проприетарщиков в комментах обосрать, за другим сюда не, Аноним, 16-Май-21, 11:43 (34) //
    - как будто это не проприетарная поделка намеренный оверинжиниринг и NIH в традиц, hindoohindoo, 16-Май-21, 12:03 (36)
      - Какое отношение к раст имеет Гугл , Минона, 16-Май-21, 15:40 (91)
        
        Менеджеры Гуглятины продвигают Раст для программирования ядра Linux , Аноним, 16-Май-21, 17:24 (122)
        
        вот ещё да картина-то складывается интересная - из мозиллы выгоняют всех незави, hindoohindoo, 17-Май-21, 10:37 (220)
        
        вот не согласен Жить нам предстоит с забаненным Twitter, Reddit, Youtube И ч, Аноним, 18-Май-21, 07:40 (275)
        
        чего это вдруг Ну ненужно-вредитт может и правда зобанют Свитер с ютрупом - да, нах.., 18-Май-21, 10:04 (288)
        
        Может тогда linux-разрабы отстранят гугл от разработки ядра как университет Минн, ммнюмнюмус, 18-Май-21, 15:52 (292)
        
        такое же как к мозилле владеет , hindoohindoo, 17-Май-21, 10:26 (217)
    - VS Code вроде как open source проект, Аноним, 16-Май-21, 12:04 (37)
      - Ага, повторяй чаще перед сном , Аноним, 17-Май-21, 20:45 (266)
    - Как будто это что-то плохое А кроме того, это же весело , Урри, 16-Май-21, 15:14 (87)
    - не отвлекайся, лижи дальше , Аноним, 16-Май-21, 16:35 (102)
- Очевидно ж, редактор от MS - это сразу с халтуркой , Аноним, 16-Май-21, 14:06 (73) //
  - не юзай юзай одобренный, расово-правильный JetBrains, Аноним, 18-Май-21, 07:41 (276)
- rust-analyzer это так называемый language server Он может использоваться в любы, n00by, 16-Май-21, 14:30 (82)
- Помнится, даже в их блокноте была критическая уязвимость с выполнением кода, phpoenx, 16-Май-21, 19:22 (144)
- От MS там только название Электрон-поделка, как она есть Надо СРОЧНО переписат, Аноним, 17-Май-21, 00:29 (194)
compile-time уязвимость, такого я еще не встречал, Аноним, 16-Май-21, 08:17 (2) //
- Это новый уровень безопасности, предоставляемый Rust, Плохой Танцор, 16-Май-21, 08:30 (4) //
  - А причём тут раст Это проблема редактора, phpoenx, 16-Май-21, 19:22 (146) //
    - А ты смешной , Неа, 16-Май-21, 20:06 (163)
    - cargo build это редактор , Эноним, 16-Май-21, 21:50 (179)
- Зато без утечек памяти Ваши данные утекают без ошибок С , Аноним, 16-Май-21, 08:32 (5) //
  - Раст не защищает от утечек памяти , Аноним, 16-Май-21, 09:43 (21) //
    - и приводит к утечкам данных безопасность кого надо безопасность, hindoohindoo, 16-Май-21, 12:04 (38)
  - ну и отлично, leibniz, 18-Май-21, 11:17 (291)
- Ты мейкфайлы тоже запускаешь без предварительной проверки того, что там выполняе, виндотролль, 16-Май-21, 10:34 (26) //
  - да, анакомус, 16-Май-21, 11:24 (31) //
    - cmake, qmake, ninja, meson, conan наконец-то можно кодить как будто это 2021 и, виндотролль, 17-Май-21, 05:08 (196)
      - просто надо юзать Maven Все четко, централизованно, из репозитория, проверено, , Аноним, 18-Май-21, 07:44 (277)
    - Если у тебя программа из 1 файла то система сборки не нужна, можно просто запуст, Аноним, 17-Май-21, 07:49 (202)
    - Это ещё что, некоторые делают eval во время выполнения, вот прикол , Аноньимъ, 17-Май-21, 09:44 (211)
    - А мужики-то и не знали с https clang llvm org get_started htmlhttps gcc gn, Аноним_в_противогазе, 17-Май-21, 15:42 (238)
  - А у меня нет редактора, запускающего мэйкфайлы при попытке их редактировать Чт, нах.., 17-Май-21, 16:14 (243)
Грабли_с_топором_ pngЧего еще ждать от моды на лютое переусложнение, Аноним, 16-Май-21, 08:33 (6) //
- Интересно, из вышеотписавшихся хоть кто-то хоть раз открывал тот же configure , Аноним, 16-Май-21, 12:51 (49) //
  - Не ламерьё, а недалёкие, ограниченные configure никогда никто не проверял Н, Аноним, 16-Май-21, 14:09 (75) //
    - Так это и есть сленговое названия таких вот, рассуждающих с умным видом , Аноним, 16-Май-21, 14:20 (80)
  - Ну я открывал И что характерно -- никуда никто при этом не ломится, потому как, Michael Shigorin, 16-Май-21, 14:10 (76) //
    - 0, Аноним, 16-Май-21, 14:18 (79)
  - Открывал И более того - правил И даже - не свались со стула - чистил вилкой за , Dzen Python, 16-Май-21, 15:58 (95) //
    - Но никаких выводов о том, что там и черта лысого спрятать можно - не сделал , Аноним, 16-Май-21, 16:47 (110)
      - Да он там максимум опции компилятора поправил, потому что через automake, config, Аноним, 16-Май-21, 17:02 (116)
      - При желании, да Но в принципе, это атака на невнимательность и на использование, Dzen Python, 16-Май-21, 19:36 (157)
        
        Раскурить можно всё Пару часов всего-то потратить Но после пятого такого раску, Likern, 16-Май-21, 21:04 (170)
        
        mount_namespaces 7 , Аноним, 16-Май-21, 21:24 (173)
        В шарагах на три студента, манагера-истеричку и мамкиного капиталиста - владетел, Dzen Python, 16-Май-21, 22:17 (184)
        
        У меня друг работал в Касперыче и Мэйле и вроде в Яндексе Спрошу у него про , Likern, 16-Май-21, 22:26 (186)
    - Что у тебя подгорело и ты бросился оспаривать что-то, придуманное тобою же, я уж, Аноним, 16-Май-21, 20:43 (167)
  - Так это и есть мода на переусложнение Как собственно и кресты И сишка туда-же М, Аноньимъ, 17-Май-21, 09:37 (210) //
    - Zig - это попытка уйти от переусложнения Язык учится за пару дней, Аноним, 18-Май-21, 00:49 (273)
    - Ты предлагаешь использовать бейсик , Anon Nona, 18-Май-21, 19:27 (294)
      - Лисп машины были неплохие, как и многие объектные процессоры Аду например, модул, Аноньимъ, 18-Май-21, 20:03 (295)
Интересно, какой придурок додумался встраивать пакетный менеджер в ЯП Он вообще, Аноним, 16-Май-21, 08:33 (7) //
- Непосредственно в ЯП ничего не встроено, если хотите - используйте rustc вручную, боня, 16-Май-21, 08:56 (12)
- динозавр, ты ничего не понимаешь в современном программировании привык к своим , Аноним, 16-Май-21, 08:58 (13) //
  - Согласен, перфокарты же не утекают , Аноним, 16-Май-21, 11:04 (30)
  - точно в век инклюзивности и открытости ни у кого не должно быть секретиков от об, hindoohindoo, 16-Май-21, 12:11 (41)
- Если бы код, делающий то же самое, встроили не в макрос, а в тело функции - силь, inferrna, 16-Май-21, 09:34 (20) //
  - Её можно было бы увидеть в редакторе перед запуском, Рмшъ, 16-Май-21, 13:25 (67) //
    - А сишкины макросы языковым сервером не раскрываются , Аноньимъ, 17-Май-21, 09:48 (212)
      - Тут надо понимать, что такое фазы трансляции Сишкины макросы могут не более, , n00by, 17-Май-21, 10:10 (214)
- зато не дырявая сишка бебебе, hindoohindoo, 16-Май-21, 12:05 (39) //
  - скрипты сборки сишки не менее дырявые , Аноним, 16-Май-21, 16:22 (100) //
    - А при чём тут скрипты сборки Вы только скачали из какого-нибудь github исходник, Совершенно другой аноним, 17-Май-21, 08:35 (204)
      - А сишкины макросы языковым сервером не раскрываются , Аноньимъ, 17-Май-21, 09:50 (213)
        
        Где У меня - нет, не раскрываются И в C, насколько я понимаю, никаких процедур, Совершенно другой аноним, 17-Май-21, 11:13 (223)
        
        Чтобы произвести компиляцию нужно развернуть макросы Чтобы обнаружить ошибки в к, Аноньимъ, 17-Май-21, 15:19 (232)
        
        Макросы для C не разворачиваются компилятором C, соответственно не могут быть вы, Совершенно другой аноним, 17-Май-21, 17:26 (249)
        
        Молодец, ты, наверное, единственный на этой помойке кто действительно решил в чё, Прорыв_запарты_фелиал, 17-Май-21, 19:42 (261)
        Ага, и этот код получается никак не ограничен в доступе к внешним ресурсам Фс и, Аноньимъ, 17-Май-21, 21:41 (267)
        
        Тут я Вам сказать ничего не могу, но судя по новости, которую мы с Вами обсуждае, Совершенно другой аноним, 18-Май-21, 08:19 (286)
Ладно, когда исходный код используется злонамерено, но написаные на современных , Константавр, 16-Май-21, 08:43 (9) //
- Типа все либы на C ты писал вручную и не брал из интересных Изучал каждую функц, Аноним, 16-Май-21, 16:09 (97) //
  - Руками брал, и устанавливал на свою систему Автоматом ничего ниоткуда не тянетс, Crazy Alex, 16-Май-21, 19:07 (142) //
    - Т е когда берешь руками, а не автоматом, то ранее внедренные бэкдоры самоудаляю, Аноним, 17-Май-21, 13:33 (230)
Дырявый, но очень безопасный Может исследователи не увидели unsafe рядом с макр, Аноним, 16-Май-21, 08:56 (11)
Заголовок отдаёт желтизной Продемонстрирована атака только на vscode, а не на , Аноним_t, 16-Май-21, 08:59 (14) //
- Потрудись прочитать новость чуть дальше середины , Аноним, 16-Май-21, 09:04 (15)
- Аноним_t отдаёт желтизной, Аноним, 16-Май-21, 09:08 (16)
- Если бы написали Демонстрация атаки на VSCode тут же бы всплыли недовольные, Аноним, 16-Май-21, 09:31 (19)
Америку открыли Помнится, при открытии проектов с гитхаба визуалстудия выдаёт п, Нанобот, 16-Май-21, 09:18 (17) //
- Чорд, правда ведь, выдает А не могли бы они быть это more specific и уточнит, нах.., 17-Май-21, 19:22 (257)
Опеннетчики не смогли осилить умом, что атака возможна на любой язык и редактор,, Аноним, 16-Май-21, 09:22 (18) //
- любой редактор кода, раскрывающий процедурные макросы любой , Fractal cucumber, 16-Май-21, 10:53 (28) //
  - Дело не в процедурных макросах Любой код, который запускает редактор из проекта, Аноним, 16-Май-21, 12:29 (46) //
    - И много редакторов, запускающих код из проекта, вы знаете Даже VSCode скорее все, Онаним, 16-Май-21, 12:53 (51)
      - Чего, забыли как nodejs выполняет код при установке зависимостей То рекламу в к, Аноним, 16-Май-21, 18:23 (138)
        
        Но это ни чем принципиально не отличается от установки православных deb rpm па, Аноним, 16-Май-21, 18:40 (141)
        
        В случае deb rpm мейнтейнеры вполне известны А вот в случае проектиков, собранны, Онаним, 16-Май-21, 20:32 (166)
        
        а толку-то Как будто у тех 48 часов в сутках, знание всех ведомых и неведомых я, нах.., 17-Май-21, 18:42 (255)
        
        И всё равно надёжнее сиволапого васяна просто по определению Ну и я подозреваю ч, Онаним, 17-Май-21, 20:17 (263)
        
        почему надёжнее - потому что да, у него завтра ещё овердохера пакетов, и рука у, Онаним, 17-Май-21, 20:18 (264)
        
        Смешно это читать Учитывая что мейнтейнер пакетов - это во-первых, низкоквалифиц, Аноним, 18-Май-21, 00:36 (271)
        
        Matthias Gerstner of SUSE s security team передает гуанокодерам на хрусте привет, нах.., 18-Май-21, 10:18 (289)
        
        Васян сделает лучше потому что ему один раз надо это сделать качественно И он и, Аноним, 18-Май-21, 00:39 (272)
        
        nodejs - таки не редактор, но да, это вторая фееричная оверхайпленная хипстерска, Онаним, 16-Май-21, 20:30 (165)
      - Idea при каждой сборке проекта на java выполняет код процессоров аннотации и сбо, Аноним, 17-Май-21, 07:39 (201)
    - Месье, вы с утра упоролись грибами что ли Как при подсветки синтаксиса можно пе, Аноним, 16-Май-21, 12:59 (58)
      - Легко Также как и для линтинга передают eslint js То что конкретно для этой фич, Аноним, 16-Май-21, 13:08 (62)
        
        Вы понимаете, что интепретация кода и его имплементация это разные понятия Чтобы, Аноним, 16-Май-21, 14:06 (74)
        
        Что Вы о чём Я вам привёл неполный список фич редактора, где это может всплыть , Аноним, 16-Май-21, 14:35 (83)
        Исполняется естественно не сам файл любой в проекте , который открывается А от, Аноним, 16-Май-21, 14:44 (85)
      - Вы будете смеяться, VSCode для этого использует JSON-RPC https microsoft gith, n00by, 16-Май-21, 14:45 (86)
        
        Приятно поговорить с умным человеком , Аноним, 16-Май-21, 15:34 (90)
  - я тебе открою секрет - редактор VSCode вообще ни-при-чем В VSCode-е за все отве, Аноним, 18-Май-21, 08:02 (279) //
    - Тем более , Fractal cucumber, 18-Май-21, 10:23 (290)
- vi, make Ваш ход, болтун , Michael Shigorin, 16-Май-21, 16:35 (103) //
  - Ну как, сделай мне в vi вывод файлов где используется какая-то функция или класс, Аноним, 16-Май-21, 17:04 (117) //
    - grep жеж, Аноним, 16-Май-21, 17:53 (130)
      - В условии задачи сказано функция или класс из C , то есть говорится о возможн, n00by, 17-Май-21, 07:26 (199)
    - С Шигориным бесполезно общаться - он пока еще не дорос до того уровня, чтоб вест, Аноним, 18-Май-21, 08:04 (280)
  - Просто надо перейти на модно-молодёжные vim8 and neovim, для которого аж 6 реали, n00by, 17-Май-21, 10:16 (216)
  - Просто надо почитать вот это https microsoft github io language-server-protoco, n00by, 17-Май-21, 10:28 (218)
- Сухун , Аноним, 18-Май-21, 19:04 (293)
дополню анонима выше - текст новости тоже отдаёт желтизной ssh id_rsa - эт, x3who, 16-Май-21, 09:50 (22) //
- Всего-то Фигня какая Уася может запустить у тебя на тачке скрипт от имени тебя , Аноним, 16-Май-21, 10:28 (24) //
  - Сложный вопрос С одной стороны свобода творчества, с другой стороны не хотят , Аноним, 16-Май-21, 14:11 (77)
  - а ты новость читал А то похоже ты ее не понял , Аноним, 18-Май-21, 08:07 (281)
- Ну, конкретно такие файлы имеют права вроде rw-------, и если рассчитывать на та, Аноним, 17-Май-21, 12:44 (225)
Кошмар какой А ещё cargo build может использовать build-скрипты, которые суть и, Ordu, 16-Май-21, 10:23 (23) //
- Сказано же Раст безопасен Наверное дело в MSCode Надо его на расте переписат, Аноним, 16-Май-21, 10:33 (25) //
  - Да, и autotools тоже, вместе с make, meson, и прочими, чтобы избавить их от возм, Ordu, 16-Май-21, 10:57 (29) //
    - С этими достаточно просмотреть мейкфайл, чтобы убедиться в безопасности сборки , Аноним, 16-Май-21, 12:19 (42)
      - Хоть раз смотрел риторический вопрос Теоретики-впопеннета-рука-лицо жпг там , Аноним, 16-Май-21, 12:57 (56)
        
        Сюда уже захожу в комментарии чисто поржать Эксперты оппеннета поражают своей к, Аноним, 16-Май-21, 13:12 (63)
        
        скачиваем курлом скрипт инсталлятора и перенаправляем сразу в шелл, а вы тут про, Sw00p aka Jerom, 16-Май-21, 13:45 (69)
        
        Так я и говорю - проблема не в скриптах Проблема в Linux, в её древней модели б, Аноним, 16-Май-21, 14:21 (81)
        
        Не надо, там через жопу Особенно в 11 , Аноним, 16-Май-21, 16:09 (98)
        Ох, каждый первый дурак должен вылезти всех учить, потому как не в курсе о синдр, Michael Shigorin, 16-Май-21, 16:40 (106)
        
        Батенька, да вы идиот однако И подтверждение это - от вас никакой конкретики, т, Аноним, 16-Май-21, 17:18 (120)
        
        Прикинь, андроид тупо создаёт классического юниксового юзера под каждую аппку А, Аноним, 16-Май-21, 17:39 (126)
        
        Серьезно Если это так - это ужас на крыльях ночи Костыльное говнецо Но я скоре, Аноним, 16-Май-21, 17:49 (129)
        
        дыркер все исправит песочница для системы сборки, Sw00p aka Jerom, 17-Май-21, 00:10 (193)
        Я там что-то ни одной хорошей идеи не видел, учитывая то, что второй раст от гуг, Аноним, 17-Май-21, 12:54 (227)
        
        Да, смотрю, а что В мелких проектах нет никакой кучи, а большие уже опакечены в, Аноним, 16-Май-21, 16:07 (96)
        
        Мелкие - это калькуляторы Потому что даже в i3 configure - под 12 тыщ, а сгенер, Аноним, 16-Май-21, 16:44 (109)
        
        А в мейкфайле ядра линукс 2K строк, и шо Сравнимо с размером срачика под этой, Аноним, 16-Май-21, 17:07 (118)
        
        шо find usr src linux -name Makefile 124 xargs wc -l 37 usr src l, Ordu, 16-Май-21, 18:02 (131)
        code find linux-5 12 4 -name Makefile 124 wc -l 2607 find l, Аноним, 16-Май-21, 18:17 (132)
Проблема и маленькая и большая одновременно и касается она ЛЮБОЙ прграммы, в к, Сергей, 16-Май-21, 10:50 (27) //
- Попробуй воспроизвести ее в vifm , Аноним, 16-Май-21, 13:07 (61) //
  - я легко воспроизвожу это в vim - делаю шоткаты запускающие внешние exe-ники В Е, Аноним, 18-Май-21, 08:09 (282)
Не корректно сказато что это дыра в редакторе Корректно сказать что это дыра в , Msk2, 16-Май-21, 11:30 (32) //
- notepad exe в свое время запускал calc exe , Sw00p aka Jerom, 17-Май-21, 07:35 (200)
Вы, может быть, подумали, что это какое-то Undefined Behavior Ничего подобного,, Аноним, 16-Май-21, 12:06 (40)
Это не новость, в JS при открытии проекта автоматически подхватывается файл линт, Аноним, 16-Май-21, 12:20 (43) //
- Естественно эта атака делается на любой редактор Включая vim , Аноним, 16-Май-21, 12:23 (44)
- Ну так запрети через SELinux сеому говнолинтеру шариться по системе, делов-то , Аноним, 16-Май-21, 12:27 (45) //
  - Показывает ущербность Линукса и подхода Огромная дыра в безопасности много лет , Аноним, 16-Май-21, 12:38 (47) //
    - Ну да, в других-то ОС такого конечно же нет, чтобы программы имели доступ к файл, Аноним, 16-Май-21, 12:41 (48)
      - Нет конечно В его любимой десяточке все программы плиточкой на экране выложены, , Онаним, 16-Май-21, 12:55 (54)
        
        id_rsa priv В десяточке Окстись 21 век, какой id_rsa priv , Аноним, 18-Май-21, 08:13 (284)
      - Мне не интересно что в других системах Мне интересно в Linux А то что где-то та, Аноним, 16-Май-21, 12:58 (57)
        
        Не сами по себе утекают, а юзер запускает помойный софт, суёт в него помойные фа, Аноним, 16-Май-21, 13:19 (64)
        
        Как ты определяешь помойный от непомойного ДО запуска приложения Поделис, Аноним, 16-Май-21, 13:24 (66)
        
        По репутации Когда речь идёт об npm, rust и связанных инструментах, очевидно чт, Аноним, 16-Май-21, 13:46 (70)
        
        При чём тут Rust и npm Это для разработчиков А глубже копнуть Пользователь зап, Аноним, 16-Май-21, 14:06 (72)
        
        В прошлом веке ещё в линукс были ограничения прав различных пользователей и возм, Аноним, 16-Май-21, 15:46 (92)
        
        Какие пользователи Пользователь всего один И у него много приложений, с разным, Аноним, 16-Май-21, 16:50 (112)
        
        Приложению по просмотру фоточек и их каталогированию я хочу дать доступ к папке , Аноним, 16-Май-21, 16:57 (114)
        Apparmor selinux flatpack , Аноним, 16-Май-21, 17:11 (119)
        Что ты мне названиями тыкаешь Ты покажи как это легко Конкретно, на примере Fl, Аноним, 16-Май-21, 17:24 (123)
        А мне оно не надо, я ж не параноик Шлакпак чужд идеологически, apparmor не нуже, Аноним, 16-Май-21, 17:32 (125)
        и когда понадобится выложить фотографию в веб или отправить почтой другому васян, нах.., 18-Май-21, 00:34 (270)
        0 слово приложение предлагаю резко забыть есть процессы,у процессов есть UID, СеменСеменыч777, 17-Май-21, 12:43 (224)
        
        Это не так просто, потому что нужно проследить чтобы у ресурсов защищаемых пол, Аноним, 16-Май-21, 21:49 (178)
        
        Яндекс не помойка получается , Аноним, 16-Май-21, 14:40 (84)
- Не то, что в богоспасаемой виндавс Тот не только в профиль пускает, но и дает н, Dzen Python, 16-Май-21, 12:51 (50) //
  - Мне как-то глубоко наплевать что тамв Windows Я сижу под Linux И их проблемы мн, Аноним, 16-Май-21, 13:02 (59) //
    - Настолько глубоко, что даже линукс толком не знаешь Девляпс, не ты ли это , Dzen Python, 16-Май-21, 13:24 (65)
      - Это мне рассказывают эксперты , которую знают что-то про плиточку и windata в, Аноним, 16-Май-21, 14:12 (78)
        
        Девляпс, ну залогинься уже, Dzen Python, 16-Май-21, 15:53 (94)
        
        Не заслужил ещё, Аноним, 16-Май-21, 17:27 (124)
- правильнее сказать проблемы вообще нет Но 99 коментирующих этого не поняли , Аноним, 18-Май-21, 08:10 (283)
Хруст перенёс на этапы компиляции не только проверку на возможные уязвимости, но, Онаним, 16-Май-21, 12:54 (52) //
- _редактирования_ Этап компиляции - это каменный век какой-то Зачем ждать компил, нах.., 17-Май-21, 16:21 (245) //
  - Истинно такЪ, Онаним, 17-Май-21, 20:19 (265)
Rust, vscode, безусловно запускающиеся макросы, фанатом которых является разрабо, Псевдоним, 16-Май-21, 12:54 (53) //
- На самом деле часть IT-сферы всегда деградировало, просто не всегда вокруг этой , Онаним, 16-Май-21, 12:55 (55)
Проблема в Rust, а пишется что могут быть проблемы и в других местах Это двойны, Аноним, 16-Май-21, 13:06 (60) //
- согласен rustexploitmatter, Аноним, 16-Май-21, 16:44 (108)
- Да, надо писать что в других местах - ЕСТЬ проблемы Они же ж точно где-то есть, нах.., 17-Май-21, 18:35 (254)
а я говорил, что все дороги ведут в D, ржачников_накрыло, 16-Май-21, 13:26 (68) //
- Уважуха, братуха, жиесть, 16-Май-21, 23:01 (189)
глобально и надёжно, mos87, 16-Май-21, 13:49 (71)
Ну що, сынку Помог табе твой раст , Аноним, 16-Май-21, 15:22 (88)
Ну що, сынку Помог табе твой раст , Тарас Б., 16-Май-21, 15:22 (89)
А вообще да, вся новость сводится к стандартному Если пользователь запустит на , Dzen Python, 16-Май-21, 15:52 (93)
Дикие полотна configure sh тоже работают до непосредственно сборки и прямо из ко, Аноним, 16-Май-21, 16:22 (99) //
- К тебе на улице могут подойти, набить морду и отобрать кредитку Ты же не дурачо, Аноним, 16-Май-21, 16:54 (113) //
  - Неудачный пример Подойти на улице можно приравнять к получить локальный доступ к, Аноним, 16-Май-21, 18:17 (133) //
    - Ну вот получил я локальный доступ к твоему телу, а у тебя нет кредиток, ка-зззел, нах.., 17-Май-21, 19:29 (258)
Жесть, сейчас проверил, вскод даже в снап-версии ставится в классическом режиме, Аноним, 16-Май-21, 16:26 (101) //
- ты не поверишь, но это непопулярно https github com microsoft vscode issues 75, Аноним, 16-Май-21, 16:38 (105) //
  - Ещё раз доказывает, что демократия голосования в опенсурсе - это жёпа , Аноним, 16-Май-21, 18:19 (134) //
    - Да потому что вы, дол6ое6ы, когда копировали нашу республику, зачем-то решили да, афинянин, 17-Май-21, 19:35 (259)
А говорили rust надежный язык Код еще не даже не скомпилировался, а уязвимости , Аноним, 16-Май-21, 16:48 (111) //
- Раст и надёжный язык, что изменилось , Аноним, 16-Май-21, 18:20 (135)
зря микрософт на гитхабе запрещает использование паролей, принудительно навязыва, Аноним, 16-Май-21, 17:01 (115) //
- Ничего не мешает запаролить ключи , Аноним, 16-Май-21, 17:47 (127) //
  - ничего не мешает оставить оба варианта, как было до покупки микрософтом, Аноним, 16-Май-21, 18:30 (140) //
    - Это корпы и им неважно как тебе удобно Им важно как они решили, Аноним, 17-Май-21, 08:52 (209)
- Лол они это специально сделали Просто майки пытаются делать хорошую мину при пл, Аноним, 16-Май-21, 19:27 (151)
Фрактал, ау Ты где , Аноним, 16-Май-21, 17:19 (121)
Rustовая дырень, Аноним, 16-Май-21, 17:48 (128) //
- Всё еще в разы лучше типичной си дырени в рантайме, Аноним, 16-Май-21, 18:21 (136) //
  - Раст ничем не лучше и не безопаснее других языков , Аноним, 16-Май-21, 19:25 (149) //
    - Смотря с чем сравниватьЕсли с C C , то и лучше, и удобнее, и на голову безопасн, Аноним, 17-Май-21, 00:05 (191)
      - Раст хуже, неудобнее, менее безопасен чего стоят только его дыры в vscode, утечк, Аноним, 17-Май-21, 08:47 (205)
Вот зачем на этом ресурсе пропагандировать подобное Теперь малодалекие будут ци, Аноним, 16-Май-21, 18:22 (137) //
- да какая разница, мелкие проблемы, которые скоро пофиксят, не мешают расту продо, Аноним, 16-Май-21, 18:26 (139) //
  - пофиксил, не благодари, Аноним, 16-Май-21, 19:29 (153) //
    - По версии любого, кто хоть немного в него вник, а не строчит на форуме всякий му, Аноним, 16-Май-21, 19:39 (160)
- Раст пора законодательно запретить Чтобы малодалекие не писали ерунда про какую, Аноним, 16-Май-21, 19:26 (150) //
  - Не бывает ничего безопасного, но на фоне C C это СУПЕР безопасный язык , Аноним, 16-Май-21, 19:38 (159) //
    - все познается в сравнении, Ааа, 16-Май-21, 19:42 (161)
    - Надеюсь, раст его заменит , Аноним, 16-Май-21, 21:35 (174)
      - В ближайшие 20 лет врядли C только усиливает позиции Node js на C написан , Аноним, 17-Май-21, 00:06 (192)
    - нет такого языка C C Или Си или Си Одно из двух, Аноним, 18-Май-21, 08:17 (285)
В расте дырень Вот это да он же безопасный язык, как так-то а , Аноним, 16-Май-21, 19:24 (147) //
- Где дырень Он просто сделал процедурный макрос предусматривающий пользовательск, Аноним, 26-Май-21, 20:48 (298)
Скоро во всех растоманских IDE Открытие этого rs файла может привести к краже з, Аноним, 16-Май-21, 19:52 (162) //
- Для JavaScript проектов уже так спрашивает про выполнение настроек линтера в пр, Likern, 16-Май-21, 22:14 (183)
- не умеешь ты писать ide, как мы поглядим ну кто ж так делает-то Работать как, Современные разработчики, 17-Май-21, 19:40 (260)
- В java проектах уже сейчас так Idea спрашивает открыть его в безопастном режиме, Аноним, 17-Май-21, 23:05 (269)
Спасибо, Кэп Все и так знали, что растоманы - смузихлёбы, и что их пакетный мен, Аноним, 16-Май-21, 21:42 (176) //
- У них в срасте безопасность только на словах Они уже даже не пишут в чем эта бе, Аноним, 17-Май-21, 08:52 (207)
Демонстрация атаки на редакторы кода я слеп или в статье ничего кроме VScode, Аноним, 17-Май-21, 08:12 (203) //
- Список редакторов здесь https microsoft github io language-server-protocol imp, n00by, 17-Май-21, 10:11 (215)
Если говорить об эпичности новости, вопрос в том, насколько полно языковой серве, n00by, 17-Май-21, 11:09 (222) //
- Не, не правильно initialize_params -- это явно инстанс какого-то типа, не описа , Ordu, 17-Май-21, 22:00 (268) //
  - Вот-вот Он описан в спецификации LSP Это параметры инициализации сервера, кото, n00by, 18-Май-21, 08:46 (287)
Растоманство , Аноним12345, 17-Май-21, 12:54 (226)
Предлагаю уже царю запилить свой язычок и пиарить, главное, надо нанять BLM для , Аноним, 17-Май-21, 13:00 (228)
Это скорее не новость, а забавное замечание того, что можно делать с просто ред, Аноним, 17-Май-21, 13:01 (229) //
- нет далеко не все приложения, выполняющиеся от root, позволяют какие-то юзерски, нах.., 17-Май-21, 19:44 (262)
тут, кстати, нового прекрасного привалило https ubuntu com security notices US, нах.., 18-Май-21, 03:02 (274)
Юзеры г0вноподелия VSCode должны страдать Скажем дружное нахрен любым Жабо, Gogi, 18-Май-21, 22:14 (296)
Всмысле демонстрация атаки Я посмотрел код, он же просто сделал вызов нужного, Аноним, 26-Май-21, 20:47 (297)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру