| |
| 2.22, Аноним (-), 00:33, 30/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Опять CVE для дев ветки?
> Дунин опять уйдёт из F5?
Конечно!
Но только после того, как заберет патчи в свою Свободную™ версию
| | |
|
| 1.2, morphe (?), 20:52, 29/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Тем временем реализация на Rust модуля quic под nginx от cloudflare давно работает в проде, и не имеет известных уязвимостей
| | |
| |
| 2.3, Аноним (3), 20:54, 29/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> работает в проде
> не имеет известных уязвимостей
Это ещё не аргумент в пользу модных язычков.
| | |
| |
| 3.38, Аноним (-), 11:04, 30/05/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Это ещё не аргумент в пользу модных язычков.
Конечно! Нужно использовать древнейший копролитный язык, и проект на нем, в котором точно есть известные уязвимости!
Их же можно будет искать и исправлять десятилетиями.
Заодно без работы не останутся)
| | |
|
| 2.4, Аноним (4), 21:17, 29/05/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>не имеет известных уязвимостей
Ну ничего, зато неизвестные на месте, учитывая количество unsafe блоков в ржавых проектах.
| | |
| |
| 3.18, Аноним (3), 23:50, 29/05/2024 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Ну найдите хоть одну :)
Код на сишке — это 100% unsafe. Код на rust с одним unsafe на 1000 строк — 0.1% unsafe.
| | |
|
| 2.5, Аноним (5), 21:30, 29/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Тем временем клоунфларе с помощью ресурсов типа ценсис и днсдампстер обходится с вероятностью процентов 80.
| | |
| |
| 3.8, Аноним (8), 22:38, 29/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> с вероятностью процентов 80
Показывай, как рассчитывал. И заодно расскажи, как тебе эти погремушки помогают пробить фаерволл и mTLS.
Обожаю опеннетных кекспертов, от кого ещё узнаешь о чём пацаны за гаражами болтают?
| | |
| |
| 4.17, Аноним (3), 23:49, 29/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Если злоумышленники знают ваш внешний адрес, на который ходит cloudflare, они могут легко залить вас трафиком, и никакой фаервол вам не поможет. И cloudflare сможет только показать, что конечный сервер недоступен.
| | |
| |
| 5.23, Аноним (8), 01:47, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Если злоумышленники знают
> Если
А если не знают? Да и откуда им его узнать, если эндпоинт ником кроме CF не отвечает?
| | |
|
| 4.35, Аноним (5), 10:20, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Исключительно ежедневная практика и статистика.
Судя по тому, что ты написал ты в принципе не понимаешь как WAF такого типа работает и что за ценсис с днсдампстером.
Так что теоретизируй на кафедре с другими всезнайками дальше.
| | |
| |
| 5.53, Аноним (8), 19:00, 30/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Исключительно ежедневная практика и статистика.
Стало быть точно пацаны за гаражами рассказывали. Ни ценсис, ни днсдампер тебе никак не помогут найти бэкэнд за «WAF такого типа», при условии, что всё настроено по BCP. Я это на практике знаю, так как всех своих клиентов первым делом подключаю к публичному интернету через CF, специально чтобы школьники с ценсисом в логах не шумели. Но даже если я перечислю все подсети, тебе это всё равно никак не поможет. Трафик тупо заблэкхолится на границе AS наших аплинков.
| | |
|
|
|
| 2.15, Аноним (15), 22:57, 29/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
ну всё просто. любая программа имеет уязвимости особенно новая.
если они не найдены то она просто никому не нужна
| | |
| 2.43, Аноним (-), 11:52, 30/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Тем временем реализация на Rust модуля quic под nginx от cloudflare давно
> работает в проде, и не имеет известных уязвимостей
Так новостей про "просто работает" много не насочиняешь)
Разве что "вышла новая версия", да и в комментах будет уныло.
А вот новость про типичную дырку "шел по буферу, считать не научился, вышел за пределы, все сломал" соберет кучу комментов.
А веселые обсуждения, это хорошо)
| | |
|
| 1.7, Аноним (8), 22:30, 29/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
> налажена сборка в NetBSD
Нужность примерно такая же, как и у самого форка. Как нельзя лучше иллюстрирует мой тезис о том, что «без корпоративного вмешательства» программисты будут бесконечно оптимизировать тулчейн.
| | |
| |
| 2.13, Аноним (13), 22:47, 29/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
И чего? Есть в ТЗ поддержка нетбсд, программист взял тикет, закрыл. Причина тряски? Или ты не знаешь как работают команды людей?
| | |
| |
| 3.20, Аноним (8), 00:25, 30/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Есть в ТЗ поддержка нетбсд
> Или ты не знаешь как работают команды людей?
Как команды работают я знаю очень хорошо, и потому с уверенностью могу сказать, что в ТЗ поддержки NetBSD нет и быть не может, потому что не существует валидного бизнес-кейса для поддержки маргинальных ОС.
| | |
|
| 2.27, Аноним (27), 03:46, 30/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
А какое ваше дело, чем человек занимается в свое свободное время? Он вам что-то должен? Долговая расписка есть?
| | |
| |
| 3.54, Аноним (8), 19:02, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так это всё-таки хобби-проект, как и предполагалось изначально. А чего тогда Дунин пыжился, мол, ещё неизвестно кто форк? Цену себе набивал?
| | |
|
|
| 1.16, Аноним (15), 23:22, 29/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
почему бы не стандартизировать интерфейс для подобных протоколов и потом браузер сначала скачивает с сервера и кеширует код для протокола запускает его и дальше работает как задумано.
| | |
| |
| 2.50, Аноним (50), 16:00, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Стандартизация подразумевает множество реализации. А догорняк – реализации тех, кого надо и с кем надо договориться. Потом у них все возьмут и будут сверяться как с эталоном. И так много западных технологий работают.
| | |
|
| 1.21, Анонин (-), 00:29, 30/05/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Фиксы как всегда шикарны))
+ qb->last_chain = NULL;
Ну забыли занулить, бывает, дело то житейское)
- elts = ngx_alloc(max * sizeof(void *), c->log);
+ elts = ngx_alloc((max + 1) * sizeof(void *), c->log);
Не умеем считать размер выделяемой памяти начиная с 1972 года...
+ st->value.data = (u_char *) "";
Зачем инициализировать данные, если можно про это забыть. Дважды!
+ if ((size_t) (end - p) < len)
Проверка входных данных - это особое тайное знание.
О котором большинство сишников даже не догадывается...
Отдельное спасибо автору новости, который не поленился привести ссылки на их гит для каждой из уязвимостей.
| | |
| |
| 2.24, Rev (?), 02:39, 30/05/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Да, такое впечатление, что писано жопой. Или студентами.
А сколько вою на болотах стоит на тему "скиллы всё решают, раст не нужен"!
| | |
| |
| 3.40, Аноним (44), 11:50, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
Только все нормальные веб серверы написаны на Go. Раст отстал в этом плане на миллион лет от нормальных языков.
| | |
|
| 2.28, Аноним (27), 03:50, 30/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Это модуль в стадии разработки. На сайте английским (да и русским) по белому написано, что для продакшена не готово.
Ну, Сысоев с Дуниным, конечно, лучше писали и с первого раза, но они вообще среди лучших. Но и тут нормально, до релиза нашли и исправили, всё хорошо.
| | |
| |
| 3.55, Аноним (8), 17:50, 01/06/2024 [^] [^^] [^^^] [ответить]
| +/– |
Сысоев и Дунин, возможно, хорошие кодеры, но время показало в очередной раз, что даже самые лучшие кодеры в лучшем случае посредственные программисты, и совсем никакие архитекторы. Подробности о плохом дизайне Nginx можно почитать да хоть у тех же CloudFlare, которые в отличие от местных анонимов с вэпээсочкой за два евро в месяц использовали Nginx в проде в хвост и в гриву.
| | |
|
| |
| 3.41, Аноним (44), 11:51, 30/05/2024 [^] [^^] [^^^] [ответить]
| +/– |
И как ты потом будешь мериться синтетикой которая будет показывать дико плохие результаты?
| | |
|
| 2.31, Совершенно другой аноним (?), 09:12, 30/05/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> + st->value.data = (u_char *) "";
> Зачем инициализировать данные, если можно про это забыть. Дважды!
Ну, Вы вот тоже не смогли до 3-рёх посчитать...
| | |
|
|
