forum.opennet.ru

Составление сообщения

Исходное сообщение

"Критическая уязвимость в Git LFS, проявляющаяся на платформе..."
Отправлено Аноним, 05-Ноя-20 16:25

>чтобы продолжать использовать архитектуру, работавшую с рождения Unix
Mesa у тебя тоже в отдельном процессе?
>А как быть на платформах, где не поддерживаются разделяемые библиотеки
На доработку такие платформы.
>Ну и самое главное: в винде и exe, и dll ищутся одинаковым образом, так что в плане безопасности вообще никакой разницы нет.
Дллки линкуются на этапе загрузки через таблицу импорта, о безопасности заботится линкер, и он не будет грузить из папки, где файл лежит, в первую очередь, у него другие папки в приоритете. Ручная загрузка через LoadLibrary - это редкий случай, применяется, например, для плагинов. К soшкам всё вышесказанное тоже применимо.
А смысл в том, что любой интерфейс, допускающий инъекцию, фундаментально небезопасен. И командная строка - как раз такой интерфейс. Даже если эту багу пофиксили, рядом ещё 100500 могут ждать своего часа. Использование же общих библиотек - лучший по всем параметрам подход.

Исходное сообщение
"Критическая уязвимость в Git LFS, проявляющаяся на платформе..." Отправлено Аноним, 05-Ноя-20 16:25
>чтобы продолжать использовать архитектуру, работавшую с рождения Unix Mesa у тебя тоже в отдельном процессе? >А как быть на платформах, где не поддерживаются разделяемые библиотеки На доработку такие платформы. >Ну и самое главное: в винде и exe, и dll ищутся одинаковым образом, так что в плане безопасности вообще никакой разницы нет. Дллки линкуются на этапе загрузки через таблицу импорта, о безопасности заботится линкер, и он не будет грузить из папки, где файл лежит, в первую очередь, у него другие папки в приоритете. Ручная загрузка через LoadLibrary - это редкий случай, применяется, например, для плагинов. К soшкам всё вышесказанное тоже применимо. А смысл в том, что любой интерфейс, допускающий инъекцию, фундаментально небезопасен. И командная строка - как раз такой интерфейс. Даже если эту багу пофиксили, рядом ещё 100500 могут ждать своего часа. Использование же общих библиотек - лучший по всем параметрам подход.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>чтобы продолжать использовать архитектуру, работавшую с рождения Unix > Mesa у тебя тоже в отдельном процессе? >>А как быть на платформах, где не поддерживаются разделяемые библиотеки > На доработку такие платформы. >>Ну и самое главное: в винде и exe, и dll ищутся одинаковым образом, так что в плане безопасности вообще никакой разницы нет. > Дллки линкуются на этапе загрузки через таблицу импорта, о безопасности заботится линкер, > и он не будет грузить из папки, где файл лежит, в > первую очередь, у него другие папки в приоритете. Ручная загрузка через > LoadLibrary - это редкий случай, применяется, например, для плагинов. К soшкам > всё вышесказанное тоже применимо. > А смысл в том, что любой интерфейс, допускающий инъекцию, фундаментально небезопасен. И > командная строка - как раз такой интерфейс. Даже если эту багу > пофиксили, рядом ещё 100500 могут ждать своего часа. Использование же общих > библиотек - лучший по всем параметрам подход.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру