| |
| 2.43, Карлос Сношайтилис (ok), 19:38, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Не похоже.
Какой фаззинг "додумается" до bridge_lines? А zip-бомба это вообще первое что надо проверять, если приложение с архивами работает.
Ну разве что ошибку нулевого байта фаззингом можно выявить.
| | |
| |
| 3.56, n00by (ok), 20:11, 30/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 В оригинале (pdf по ссылке) code audit и crystal box. То есть код смотрели. Сканер уязвимостей упомянут дальше в "Our general approach during penetration tests", то есть больше похоже на рекламу, что могут и без исходников.
| | |
| |
| 4.84, Электрон (?), 07:06, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Может они без исходников за 50x в дисассемблере сидят и то же самое проверяют.
| | |
| |
| 5.100, n00by (ok), 16:48, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
В такое я не верю. Лично у меня систематическая ошибка при переписывании с асма на ЯВУ, это проморгать какой-то переход. Причина в том, что всё однообразно, отчего глаз замыливается. Одно дело, если бы задачей стояло проникновение, тогда да, возможно - спец в этом деле поищет знакомые паттерны, где-то копнёт поглубже, если что-то найдёт, задача решена. Тут задача дать некую гарантию, что ошибок нет, а "не нашёл" на неё не тенет. Если же взять сканер, то можно отчитаться "вот такие атаки оказались безуспешны".
| | |
|
|
|
|
| |
| 2.35, Аноним (35), 19:19, 30/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Нет аудита - нет и уязвимостей. А то мог бы получится и конфуз с утратой доверия.
| | |
| |
| 3.53, Аноним (-), 19:57, 30/01/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Нет аудита - нет и уязвимостей.
О, вы прогрессируете! Раньше было "нет кода - нет уязвимостей", а теперь "не аудита - нет уязвимостей"))
Можете начинать придумывать следующую, на случай когда еще и аудит проведут и уязвимостей не на найдут.
| | |
| |
| 4.57, Аноним (57), 20:36, 30/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Проблема раста в том, что его сложно читать, низкая популярность и дефицит специалистов, ну и ничего адекватного для инструментирования не придумали, что тоже накладывает определённый отпечаток. Но вообще нежелание саботировать такую славную серебряную пулю тоже понятно.
| | |
| |
| 5.63, Аноним (-), 21:36, 30/01/2024 [^] [^^] [^^^] [ответить] | +3 +/– | тем, кто на нем не писал, это да а все остальным норм, не сложнее чем кресты а м... большой текст свёрнут, показать | | |
| |
| 6.65, Аноним (57), 21:44, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>не сложнее чем кресты
Лукавишь. В плюсах нет такого количества закорючек и всё более наглядно, зачастую.
>чего именно не хватает
Средств анализа и профилирования, например. Частая проблема программ на расте это утекающая в неизвестном направлении по неочевидным причинам память, непонятные блокировки, и прочее подобное.
>парочка
2 саботирующих друг друга специалиста не смогут развивать серьёзный проект, кроме того, пока что всё указывает на то, что разработка на расте в среднем в 1000 раз медленнее разработки на других языках.
| | |
| |
| 7.66, Аноним (57), 21:50, 30/01/2024 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>Частая проблема
Ну и самая частая, это постоянные падения по поводу и без. Например, я пытался использовать ripgrep, и он постоянно падал у меня по десяткам различных причин. А производительность в 1-задачном режиме (что является единственно применимым вариантом на тех же жёстких дисках) совсем не впечатляла. И, учитывая невозможность использовать привычные возможности и выражения классического гну греп, это сводит на нет любую применимость в любых задачах. Про повышенные требования к памяти я даже не говорю.
| | |
| 7.67, Аноним (-), 21:55, 30/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Средств анализа и профилирования, например.
Хоть бы доку открыл https://nnethercote.github.io/perf-book/profiling.html
> саботирующих друг друга специалиста
сильное заявление, пруфцов бы...
> разработка на расте в среднем в 1000 раз медленнее разработки на других языках.
Эти оценки не могут быть адекватными, иначе Arti не дополз даже до версии 0.1.
Его начали писать May 07, 2020 (первый коммит), а текущую версию (1.1.12) уже можно использовать для клиента.
При этом сам тор пилят с 2002 года.
| | |
| |
| 8.74, Аноним (57), 22:51, 30/01/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Просто ты теоретик Я основываюсь на собственном опыте и отзывах жертв ржавчины ... текст свёрнут, показать | | |
| |
| 9.75, Аноним (-), 23:20, 30/01/2024 [^] [^^] [^^^] [ответить] | +/– | А, ну так начал бы с того, что ты хейтер, я бы не тратил время Неосияторы есть ... текст свёрнут, показать | | |
|
|
| 7.69, Аноним (-), 22:10, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> В плюсах нет такого количества закорючек и всё более наглядно, зачастую.
Так и пиши "закорючки меня расстраивают, они заставляют напрягаться опилкам в моей голове".
> Частая проблема программ на расте это утекающая в неизвестном направлении по неочевидным причинам память, непонятные блокировки, и прочее подобное.
Хм... без примеров звучит как балабольство.
Так что ссылочки на багтреккеры или репы.
> разработка на расте в среднем в 1000 раз медленнее разработки на других языках.
Пруфы, Билли, нам нужны пруфы!
Это выглядит или как делириум, или как бред фанатика.
| | |
| |
| 8.82, Аноним (82), 02:59, 31/01/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Каждый раз поражаюсь какое доброжелательное у Раста коммьюнити, и почему многие ... текст свёрнут, показать | | |
| |
| 9.86, Ф1 (?), 09:08, 31/01/2024 [^] [^^] [^^^] [ответить] | +/– | По сравнению со злобными функциональщиками в свое время просто зайки ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 3.68, Аноним (-), 22:03, 30/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
С чего вдруг?
Они сами пишут что Аоти только дорос до версии 1.0 и там еще кучу всего писать.
Но проекты на раст уже подвергались аудиту, даже в новостях тут было
opennet.ru/opennews/art.shtml?num=60133
"Фонд OSTIF (Open Source Technology Improvement Fund), созданный с целью усиления защищённости открытых проектов, опубликовал результаты аудита проекта RustVMM, предоставляющего компоненты для создания специфичных для определённых задач гипервизоров и мониторов виртуальных машин (VMM).
...
Аудит подтвердил высокое качество кодовой базы и использование в архитектуре и реализации приёмов, нацеленных на достижение максимальной безопасности. В ходе аудита было выявлено 6 проблем, не имеющих прямого влияния на безопасность. "
| | |
| |
| 4.79, Аноним (82), 02:46, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Не проекты на Rust, а проект )) только RustVMM. И еще они провели аудит полсотни проектов на других языках.
| | |
|
|
|
| 1.40, Bottle (?), 19:33, 30/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Для проекта, который разрабатывается на Си, нетипично мало ошибок. Вероятно, это те самые люди, которые разрабатывают ПО, используя статические анализаторы.
| | |
| |
| 2.44, Карлос Сношайтилис (ok), 19:40, 30/01/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
Это те люди, которые ещё аудит заказывают.
Респект, вне зависимости от языка, ибо логические ошибки на любом могут быть.
| | |
| |
| 3.61, Аноним (61), 21:31, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Эх, вот бы придумали такой, где отсутствие логических ошибок можно доказать, да? Хотя не, тогда не получится каждый год заказывать аудит за деньги спонсоров.
| | |
| |
| 4.70, Аноним (-), 22:17, 30/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так есть же уже - формальная верификация и все дела.
Но на них настолько дорого "писать", что дешевле каждый год аудиты заказывать. И так лет на 100 хватит.
PS. Почитайте на досуге, сколько лет и денег ушло на формальную верификацию ядра seL4, с его жалкими "8,700 lines of C code and 600 lines of assembler". Статья "seL4: Formal Verification of an OS Kernel" в открытом доступе на сайте Columbia University.
| | |
| |
| 5.72, Аноним (57), 22:32, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Сегодня есть спарк (ада), отзывы говорят, что подорожание незначительно.
| | |
| |
| 6.80, Аноним (82), 02:51, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
GNATprove - инструмент для формальной верификации языка SPARK. Он проверяет соответствие подмножеству SPARK и выполняет анализ потока и доказательство исходного кода. Этот может потребовать дополнительного времени, но взамен предоставляет гарантии корректности кода. Если цель улучшение качества и надежности программного обеспечения, то оно того конечно же стоит.
| | |
|
|
| 4.85, Ф1 (?), 09:06, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Эх, вот бы придумали такой, где отсутствие логических ошибок можно доказать, да?
Давно придумали и не один, из самых практичных это ATS https://www.cs.bu.edu/~hwxi/atslangweb/
Но закорючки раста просто глаза будут радовать, в сравнении с тем сколько лишнего нужно писать на подобных языках чтобы все было доказано.
| | |
|
|
| 2.54, Аноним (-), 19:59, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Просто это не первый аудит.
Плюс там сильная команда, которая старается писать очень аккуратно.
Поэтому и cveшек за все эти годы случилось не так много.
| | |
| |
| 3.78, Аноним (82), 02:11, 31/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Хм, так выходит метод "писать нормально и не допускать очевидной лажи" все же работает? А местные сумасшедшие его высмеивали каждый раз.
| | |
| |
| 4.88, Советский инженер (ok), 10:03, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 >Хм, так выходит метод "писать нормально и не допускать очевидной лажи" все же работает? А местные сумасшедшие его высмеивали каждый раз.
не забывай что эта же команда также применила метод "переписать свой продукт на раст".
А местные сумасшедшие его высмеивали каждый раз.
| | |
| |
| 5.89, Аноним (89), 10:33, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> также применила метод "переписать свой продукт на раст".
все могут ошибаться, никто не идеален
| | |
|
| 4.90, Аноним (-), 10:38, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> выходит метод "писать нормально и не допускать очевидной лажи" все же работает
Не работает, потому что оно требует неоправданно много трудозатрат. И все равно у них были такие ошибки.
> А местные сумасшедшие его высмеивали каждый раз.
Если у тебя нет доверия к местным, что вполне логично, то обратись к тем, кто написал большой и надежный продукт на си, который прошел уже два аудита.
Ну т.е. к авторам тора. К ним же больше доверия, так?)
"Despite our efforts, it's all too simple to mess up when using a language that does not enforce memory safety. We estimate that at least half of our tracked security vulnerabilities would have been impossible in Rust, and many of the others would have been very unlikely."
gitlab torproject org/tpo/core/arti#why-rewrite-tor-in-rust
| | |
| |
| 5.103, Аноним (103), 19:02, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– |
Им просто финансирование нужно осваивать. Иначе зачем им деньги давать, если все и так надежно работает? Потом начнут на что-то еще переписывать.
| | |
|
|
|
|
| |
| 2.73, Аноним (-), 22:50, 30/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Cовременного O_o??
Диды не могли правильно посчитать размер массива еще когда иксы писали. Хотя не, еще раньше.
И с того времени практически ничего не изменилось (добро пожаловать с соседние темы про ffmpeg, IPv6 и тд).
Добавились хорошие средства автоматического тестирования, фаззинга, всякие анализаторы, линтеры, санитайзеры.
А мясные мешки как допускали тупые ошибки, так и допускают((
| | |
| |
| 3.81, Аноним (82), 02:56, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
А мы еще посмотрим как потомки будут разбирать те залежи гуано, что сегодняшние будущие диды понаписывают )) Там точно без искусственного суперинтеллекта не обойтись, потому как обычный повесится на своих же проводах ))
| | |
|
| 2.87, Ф1 (?), 09:12, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Что ни говорите, а живые программисты -- слабое звено современного IT.
То что сейчас почему-то называют ИИ по надежности вообще ниже плинтуса.
| | |
|
| 1.83, Аноним (82), 03:03, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
То есть теперь официально запруфано, что Си-версия Тора более чем безопасна? Это конец...
| | |
| |
| 2.91, Аноним (-), 10:44, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Да, после кучи времени разработки, багов и аудитов... они решили просто переписать все на Раст)
Причем с формулировками
- Rust is more secure than C. Despite our efforts, it's all too simple to mess up when using a language that does not enforce memory safety.
- Rust enables faster development than C.
Те самые люди, которые невероятными усилиями, добились более-менее работоспособной СИ версии.
> Это конец...
Да это конец. Для СИшной версии.
Will Arti replace the C Tor implementation?
Eventually, yes. But it will take a lot of work.
We plan to maintain and support the C Tor implementation until Arti is a viable replacement for the vast majority of use cases.
(gitlab.torproject.org/tpo/core/arti/-/blob/main/doc/FAQ.md)
| | |
| |
| 3.102, Аноним (103), 18:58, 01/02/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>We plan to maintain and support the C Tor implementation until Arti is a viable replacement for the vast majority of use cases.
То есть навсегда. Фух, можно выдохнуть... У напичканной закладками NSA версии на Rust всегда будет альтернатива на божественной Сишечке.
| | |
|
|
| 1.92, Аноним (-), 11:30, 31/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Пацаны, что там с подозрительным товарищ-майоровским входным нодом. Когда подключался без моста, он показывал страну Франция, и даже при изменении "идентичности" он всё время фигурировал в качестве входной ноды. Разумеется страна "Франция" может быть на практике сервером в Москве, и IP-шник у входной ноды был постоянно одним и тем же. Как у вас там ситуация, проверьте и отпишитесь.
Мне кажется товарищ-майоры специально направляли трафик через одну входящую ноду, наверно это проделки китайского магистрального сетевого оборудования.
| | |
| |
| 2.94, Аноним (60), 12:33, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Разумеется страна "Франция" может быть на практике сервером в Москве
Ни хрена не разумеется. Каждый экземпляр TOR-клиента имеет локальную актуальную базу GeoIP:
GeoIPFile /usr/share/tor/geoip
GeoIPv6File /usr/share/tor/geoip6
# Generated: Fri, 08 Dec 2023 04:51:53 GMT
# Vendor: IPFire Project
# License: CC BY-SA 4.0
>IP-шник у входной ноды был постоянно одним и тем же
Чего тебя так волнует входная нода? На ней можно определить ТОЛЬКО адрес откуда осуществляется вход в TOR и ни чего больше. Критичной является выходная нода. В случае незашифрованного HTTP, на выходной ноде можно снифить сайт назначения и содержимое сессии. Настрой у себя:
ExcludeExitNodes {by},{ru},{kz},{ua} и спи спокойно.
| | |
| |
| 3.95, Аноним (-), 12:43, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> На ней можно определить ТОЛЬКО адрес откуда осуществляется вход в TOR
А разве сам факт подключения к анонимной враждебной сети не будет уже флажком для майоров?
> В случае незашифрованного HTTP
Но.. но зачем?
Зачем вообще ходить куда-то по голому хттп?
| | |
| |
| 4.96, Аноним (-), 12:56, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А разве сам факт подключения к анонимной враждебной сети не будет уже флажком для майоров?
Конечно является.
> Зачем вообще ходить куда-то по голому хттп?
Потому что в мире есть отбитые, которое кричат, что https это заговор государства и/или корпов. И делают сайты http only.
Но к таким лучше не ходить ни по http, ни по https.
| | |
| 4.97, Аноним (60), 13:13, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Зачем вообще ходить куда-то по голому хттп?
В случае TOR вариантов нет.
Facebook, Twitter, Reddit, ProtonMail, DuckDuckGo, Debian и т.п. могут себе позволить получить сертификат на домен .onion для HTTPS.
А как думаешь, найдется хоть один CA, который выпишет сертификат, например, для маркетов (чтоб им сдохнуть!) в даркнете?
| | |
|
| 3.98, Аноним (-), 13:46, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>Каждый экземпляр TOR-клиента имеет локальную актуальную базу GeoIP:
Хорошо. Тогда вопрос: "Кто контроллирует сервер входной ноды во Франции?". Не думаю, что это чувак-анархист, скорей всего там сидит крот.
>Чего тебя так волнует входная нода?
При смене "идентичности" вся цепочка, в том числе и входная нода должны изменятся. Но в данном случае IP входной ноды оставался прежним. Заметил факт - из России весь трафик направлялся через одну входную ноду.
| | |
| |
| 4.99, Аноним (60), 14:00, 31/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>из России весь трафик направлялся через одну входную ноду
В РФ провайдеры негласно (РКН официально не запрещает TOR) блокируют входные ноды по списку открытого Tor Atlas. Вполне может быть, что эта входная нода - единственная из доступных у твоего провайдера. Просто пока не заблокирована.
| | |
| 4.101, Аноним (60), 22:51, 31/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>скорей всего там сидит крот
И оплачивают его:
- DARPA
- U.S. Department of State Bureau of Democracy, Human Rights, and Labor
- Federal Foreign Office of Germany
- Ford Foundation
- Freedom of the Press Foundation
- Naval Research Laboratory
- Google
......
https://www.torproject.org/ru/about/sponsors/
| | |
|
|
|
|
