forum.opennet.ru

Составление сообщения

Исходное сообщение

"Используем BitMessage через IMAP/SMTP"
Отправлено Аноним, 06-Дек-20 16:23

В программе на си был бы не евал. Туда бы запрятали уязвимость в работе с памятью, которую вы бы вообще хрен нашли. В питоне бэкдор обнаружили постфактум так быстро именно потому, что во первых её и не прятали, во-вторых питон memory safe и высокоуровен, программа делает только то, что в неё заложено, для исполнения произвольного кода тебе придётся либо изначально написать виртуальную машину на питоне, либо заюзать eval или exec, либо заюзать хак типа сохранения кода в файл и его импорта, что опять палево, либо делегировать это уязвимому или забэкдоренному модулю, либо заюзать subprocess. Больше способов нет, поверхность атаки контролируется. Перечисленные способы палятся banditом, но pybitmessage, такой вот сюрприз, не проверялся banditом, когда в нём был этот бэкдор. Почему-то я не удивлён.
В отличие от C, где поверхность атаки - каждая функция, статический анализатор встроенный в язык прощает явно некорректный код, который заведомо приведёт к поврежбению стека и кучи, а традиция программирования - говнокод, в котором нет желающих копаться.
В отличие от C++, где поверхность атаки чуть лучше контролируется, но всё равно не контролируется, а стиль программирования уже энтерпрайзный с чётко разделёнными модулями о областями видимости.
В отличие от раст, который memory-safe, но сообщество которого совсем поехало и превратило пакетный менеджер в npm, при этом в добавок язык-отстой, писать на котором в стиле нормального ооп невозможно: автоделегирование до сих пор не завезли; соответственно малое сообщество.
Суммирую - для такого софта питон - один из наилучших выборов. Второй отн. норм выбор - джава. Если бы софт был строго для винды - то C#. В любом случае - Haxe, который транслируется во всё вышеперечисленное, а то что на нём почти никто не пишет, с лихвой компенсируется тем, что он генерирует человекочитаемый код, понятный разрабам на python, java, C#.

Исходное сообщение
"Используем BitMessage через IMAP/SMTP" Отправлено Аноним, 06-Дек-20 16:23
В программе на си был бы не евал. Туда бы запрятали уязвимость в работе с памятью, которую вы бы вообще хрен нашли. В питоне бэкдор обнаружили постфактум так быстро именно потому, что во первых её и не прятали, во-вторых питон memory safe и высокоуровен, программа делает только то, что в неё заложено, для исполнения произвольного кода тебе придётся либо изначально написать виртуальную машину на питоне, либо заюзать eval или exec, либо заюзать хак типа сохранения кода в файл и его импорта, что опять палево, либо делегировать это уязвимому или забэкдоренному модулю, либо заюзать subprocess. Больше способов нет, поверхность атаки контролируется. Перечисленные способы палятся banditом, но pybitmessage, такой вот сюрприз, не проверялся banditом, когда в нём был этот бэкдор. Почему-то я не удивлён. В отличие от C, где поверхность атаки - каждая функция, статический анализатор встроенный в язык прощает явно некорректный код, который заведомо приведёт к поврежбению стека и кучи, а традиция программирования - говнокод, в котором нет желающих копаться. В отличие от C++, где поверхность атаки чуть лучше контролируется, но всё равно не контролируется, а стиль программирования уже энтерпрайзный с чётко разделёнными модулями о областями видимости. В отличие от раст, который memory-safe, но сообщество которого совсем поехало и превратило пакетный менеджер в npm, при этом в добавок язык-отстой, писать на котором в стиле нормального ооп невозможно: автоделегирование до сих пор не завезли; соответственно малое сообщество. Суммирую - для такого софта питон - один из наилучших выборов. Второй отн. норм выбор - джава. Если бы софт был строго для винды - то C#. В любом случае - Haxe, который транслируется во всё вышеперечисленное, а то что на нём почти никто не пишет, с лихвой компенсируется тем, что он генерирует человекочитаемый код, понятный разрабам на python, java, C#.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> В программе на си был бы не евал. Туда бы запрятали уязвимость > в работе с памятью, которую вы бы вообще хрен нашли. В > питоне бэкдор обнаружили постфактум так быстро именно потому, что во первых > её и не прятали, во-вторых питон memory safe и высокоуровен, программа > делает только то, что в неё заложено, для исполнения произвольного кода > тебе придётся либо изначально написать виртуальную машину на питоне, либо заюзать > eval или exec, либо заюзать хак типа сохранения кода в файл > и его импорта, что опять палево, либо делегировать это уязвимому или > забэкдоренному модулю, либо заюзать subprocess. Больше способов нет, поверхность атаки > контролируется. Перечисленные способы палятся banditом, но pybitmessage, такой вот сюрприз, > не проверялся banditом, когда в нём был этот бэкдор. Почему-то я > не удивлён. > В отличие от C, где поверхность атаки - каждая функция, статический анализатор > встроенный в язык прощает явно некорректный код, который заведомо приведёт к > поврежбению стека и кучи, а традиция программирования - говнокод, в котором > нет желающих копаться. > В отличие от C++, где поверхность атаки чуть лучше контролируется, но всё > равно не контролируется, а стиль программирования уже энтерпрайзный с чётко разделёнными > модулями о областями видимости. > В отличие от раст, который memory-safe, но сообщество которого совсем поехало и > превратило пакетный менеджер в npm, при этом в добавок язык-отстой, писать > на котором в стиле нормального ооп невозможно: автоделегирование до сих пор > не завезли; соответственно малое сообщество. > Суммирую - для такого софта питон - один из наилучших выборов. Второй > отн. норм выбор - джава. Если бы софт был строго для > винды - то C#. В любом случае - Haxe, который транслируется > во всё вышеперечисленное, а то что на нём почти никто не > пишет, с лихвой компенсируется тем, что он генерирует человекочитаемый код, понятный > разрабам на python, java, C#.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру