top
logo


Атака по захвату кошельков Electrum через zero-day уязвимость в PyBitmessage PDF Печать E-mail
Автор: adm   
15.02.18 08:42
    2.3, A.Stahl, 12:15, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку] +11 +/ В своё время была истерия по поводу goto в результате которой про эту команду уже не каждый программист и знает-то иначе кроме как из анекдотов.
Может стоит среди скриптовиков поднять такую же бучу по поводу eval?
 
  3.17, pavlinux, 14:01, 15/02/2018 [^] [ответить] [смотреть все] –7 +/
Это копипастакодеры, а не программисты ... весь текст скрыт [показать]
 
3.38, eganru, 17:09, 15/02/2018 [^] [ответить] [смотреть все]  +2 +/
code __label__ exit for u32 foo HUGE foo --foo for u32 bar HU... весь текст скрыт [показать]
 
  4.41, A.Stahl, 17:25, 15/02/2018 [^] [ответить] [смотреть все]  +5 +/
И?
 
4.71, Аноним, 22:30, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +1 +/ Вложенный цикл лучше в отдельную функцию выделить, и goto станет не нужен.
 
  5.77, eganru, 00:15, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/
[i]лучше в отдельную функцию выделить[/i] - и это будет яркий пример костыля(лишь бы не использовать goto). и дело не только в затруднении читаемости кода на ровном месте.

ясное есть языки без goto. и ничего.

я последние годы пишу на С и asm. в воображаемом мире пугливые розовые единороги решают все свои проблемы избежанием goto.
в реальном мире есть куча куда как более глубоких логических промахов, с которыми не всегда ясно, что вообще делать.

 
  6.82, iPony, 05:58, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/
> в воображаемом мире пугливые розовые единороги решают все свои проблемы избежанием goto.

Кстати про единорогов... Правильность кода - это не пустые слова.
Можешь хоть сколько смеяться, но когда вот такое <CENSORED> пишут не для чисто своей подделки, то за это надо бить томиком чего-нибудь этакого фундаментального по голове.

 
  7.87, eganru, 08:32, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/
[i]этакого фундаментального по голове[/i] - я неоднократно видел как куски <CENSORED> своими фундаментальными томами вгоняли в гроб трезвые идеи.

по поводу goto - можете к слову полезть поспорить к Adam Dunkels с его protothreads (c labels as values). рассказать ему как Вы круто все знаете.

*впрочем спорить не намерен. ясное дело что в своих кодах Вы можете делать что хотите.

 
6.83, iPony, 05:59, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/ PS: https://twitter.com/Code_Analysis/status/963450814059696129
 4.80, Аноним, 02:30, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  +/
bool cancel false for u32 foo HUGE foo cancel --foo for u32... весь текст скрыт [показать]
 3.58, adolfus, 19:19, 15/02/2018 [^] [ответить] [смотреть все]  –1 +/ GOTO -- нормальная команда. Без нее нет жизни. Для выскочить из вложенного цикла при синтаксическом разборе вообще нет альтернативы. Везде, где использование GOTO дает выигрыш в ясности и производительности, его нужно использовать.
 
  4.60, A.Stahl, 19:41, 15/02/2018 [^] [ответить] [смотреть все]  +/
Ты забыл сообщить нам что вода мокрая и у квадрата целых 4 прямых угла.
 
4.66, Аноним, 20:59, 15/02/2018 [^] [ответить] [смотреть все]  +2 +/
А нечего вложенные циклы лепить Функциональщики и вовсе без них как-то живут, и... весь текст скрыт [показать]
 
  5.69, Аноним, 22:20, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  –4 +/
Функциональщики и прочие маргиналы неплохо обходятся и без программирования вооб... весь текст скрыт [показать]
 
3.84, Онаним, 06:09, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/ Согласен. В школьные годы всегда считал, что в каждом нормальном языке должна быть возможность загрузить код на нём из строки, и GOTO мне нравилась, но только чуть подрос - сразу понял, что и то и то - зло.
 2.32, pda, 15:48, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +3 +/
Т е использование eval вас смущает, а широковещательная рассылка сообщений с ... весь текст скрыт [показать] [показать ветку]
 
  3.42, Аноним, 17:39, 15/02/2018 [^] [ответить] [смотреть все]  +2 +/
И что именно там смущать должно ... весь текст скрыт [показать]
 
3.53, Аноним84701, 18:14, 15/02/2018 [^] [ответить] [смотреть все]  +1 +/
Возможно, изучение протокола по новостям на опеннете - не самый лучший подход ... весь текст скрыт [показать]
 3.70, Аноним, 22:30, 15/02/2018 [^] [ответить] [смотреть все]     [к модератору]  –1 +/
Ты все правильно понял, у штуки проблемы с масштабированием В конце концов хипс... весь текст скрыт [показать]
 
1.2, Аноним, 12:12, 15/02/2018 [ответить] [смотреть все]  –1 +/ Эталон дырявости.
  1.5, Аноним, 12:31, 15/02/2018 [ответить] [смотреть все]  +/ Питон, одним словом.
 
  2.6, курлык курлык, 12:36, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +1 +/
Ага, не проверите границы массивов в С - привет переполнение, рут права Не в ... весь текст скрыт [показать] [показать ветку]
 
  3.14, Аноним, 13:51, 15/02/2018 [^] [ответить] [смотреть все]  –1 +/
Используй range-based for loop, передавай по ссылке, и не будет переполнения.
 
  4.15, trolleybus, 13:56, 15/02/2018 [^] [ответить] [смотреть все]  +/
Так вот в чистом Си range-based и нет, она только в плюсах.
 
  5.18, Аноним, 14:04, 15/02/2018 [^] [ответить] [смотреть все]  +/
В Си есть макросы.
Python лучше сравнивать с C++. Си - скорее системный язык.
 
5.54, Crazy Alex, 18:34, 15/02/2018 [^] [ответить] [смотреть все]  +/ ну вот и пользуйтесь плюсами
 
  6.62, Он самый, 19:56, 15/02/2018 [^] [ответить] [смотреть все]  +/
... а мы будем и дальше за границы массива выходить. Думаю так задумывалось
 
  7.67, Crazy Alex, 21:08, 15/02/2018 [^] [ответить] [смотреть все]  +/
Э... кем задумывалось? Если обо мне речь - то наоборот, я не вижу ни одной причины писать на сях там, где можно писать на плюсах. Ну, или D в режиме "better C" - и там и там можно получить сравнимую проиводительность и потребление с сильно уменьшенными шансами на сишные ошибки и гораздо лучшую читабельность.
 
3.16, Аноним, 13:59, 15/02/2018 [^] [ответить] [смотреть все]  +/
Питон - высокоуровневый язык И программист, и пользователи за это платят гигант... весь текст скрыт [показать]
 
  4.19, нах, 14:06, 15/02/2018 [^] [ответить] [смотреть все]  –3 +/
удивленно глядя на пару питоновских сервисов не микро, в смысле, не падают, их ... весь текст скрыт [показать]
 
  5.25, Аноним, 14:40, 15/02/2018 [^] [ответить] [смотреть все]  +2 +/
Дело не в Ваших сервисах Дело в том, что подобные вещи пропагандируются и пропи... весь текст скрыт [показать]
 
  6.26, Аноним, 14:52, 15/02/2018 [^] [ответить] [смотреть все]  +/
убунтовцы упаковщики, а не разработчики если у них нет денег, чтобы спроектиро... весь текст скрыт [показать]
 
  7.35, Аноним, 16:29, 15/02/2018 [^] [ответить] [смотреть все]  +/
Стим работает приемлемо Не так плохо, как скайп, но и не хорошо При том до это... весь текст скрыт [показать]
 
6.51, Anonymoustus, 18:06, 15/02/2018 [^] [ответить] [смотреть все]  +1 +/ > И в результате экономия нескольких часов программистов выливается в миллионы потерянных минут пользователями по всему миру.

Всё правильно. Поэтому надо строить фабрики по сжиганию программистов. Слишком их много стало, обленились и обнаглели.

 3.29, Iaaa, 15:25, 15/02/2018 [^] [ответить] [смотреть все]  +/
Точнее не в людях, а в пороге вхождения Пока научишься на С делать что-то удобо... весь текст скрыт [показать]
 2.47, Аноним, 17:55, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +2 +/ 
  3.63, Нет ты, 20:53, 15/02/2018 [^] [ответить] [смотреть все]  +/
А вот в Rust такого не было бы!
https://doc.rust-lang.org/std/process/struct.Command.html#me...
 
1.7, Пиони, 12:46, 15/02/2018 [ответить] [смотреть все]  +5 +/ Кучу лет пишу на Питоне, и до сих пор не встречал ситуаций где нужно было бы использовать eval
 
  2.8, анончег, 13:12, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +6 +/
Это Вы эталонную реализацию клиента для p2p-сети Bitmessage ещё не пробовали писать! Вот там без eval-а никак!
 
  3.9, Анонй, 13:26, 15/02/2018 [^] [ответить] [смотреть все]  +6 +/
Если без eval никак да еще и со взодящими данными то это уже вопрос компетентности писателя
 
  4.10, A.Stahl, 13:35, 15/02/2018 [^] [ответить] [смотреть все]  +5 +/
Не знаю как там с компетентностью писателей, но твой детектор сарказма явно неис... весь текст скрыт [показать]
 
4.22, Аноним, 14:15, 15/02/2018 [^] [ответить] [смотреть все]  –2 +/
Говорить о компетентности среди гвидобейсиководов, это как говорить в доме повеш... весь текст скрыт [показать]
 
  5.45, Аноним, 17:48, 15/02/2018 [^] [ответить] [смотреть все]  +1 +/
https www opennet ru opennews art shtml num 48038 Всегда знал, что кедерасты н... весь текст скрыт [показать]
 
2.43, Аноним, 17:44, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +/
Пишу на perl и не один раз встречал ситуацию где оптимальнее использовать eval ... весь текст скрыт [показать] [показать ветку]
 
  3.52, Anonymoustus, 18:09, 15/02/2018 [^] [ответить] [смотреть все]  +1 +/
Иногда (в ИТ — очень часто) проблема в инструменте. Точнее в том, что не существует способов не дать обезьяне в руки гранату. А дальше уже обезьяна найдёт способ отыскать в гранате чеку.
 
  4.61, Аноним, 19:56, 15/02/2018 [^] [ответить] [смотреть все]  +1 +/
Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда обез... весь текст скрыт [показать]
 
  5.65, Аноним, 20:58, 15/02/2018 [^] [ответить] [смотреть все]  +1 +/
И кто же тогда будет писать и переписывать приложения для браузеров, менять ме... весь текст скрыт [показать]
 
  6.78, Аноним, 00:51, 16/02/2018 [^] [ответить] [смотреть все]     [к модератору]  +/
Действительно, я упустил из виду необходимые и важные для обезьян вещи ... весь текст скрыт [показать]
 
5.73, Anonymoustus, 22:36, 15/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/ > Вы видите проблему в инструменте, но проблема возникает чуть раньше - когда
> обезьяна попадает в ИТ индустрию. Если сделать невозможным попадание обезьян в
> ИТ, то проблем в инструменте нет. Так что ..

А как это сделать? Раньше этому препятствовал сравнительно высокий порог вхождения. Сегодня не препятствует ничто. Фреймворки «Для обезьян» и книги «Как стать гуру написания гoвнoкoда за 3 часа» общедоступны.

 
  6.79, Аноним, 00:52, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/
заменить их работу алгоритмами
 
2.76, Аноним, 23:37, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  +/
Либо вам не надо было встраивать бекдоры, либо вы взяли что-то похитрее вроде pi... весь текст скрыт [показать] [показать ветку]
 
  3.85, pangolin, 08:24, 16/02/2018 [^] [ответить] [смотреть все]    [к модератору]  +/
на самом деле pickle для внешних данных это тоже бекдор :)
Если нужно обмениваться сложными данными - используйте json/xml/yaml и т.п. ну или свой язык реализуйте...
 
1.11, Аноним, 13:42, 15/02/2018 [ответить] [смотреть все]  +/
Вот вам и типа безопасные языки И они от уязвимостей не застрахованы, а то тут ... весь текст скрыт [показать]
 
  2.20, Аноним, 14:10, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +2 +/
Фронты производительности, потребления ресурсов и безопасности питона прорваны ... весь текст скрыт [показать] [показать ветку]
 
2.39, PnDx, 17:17, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +2 +/ php не менее безопасный. И (местами) более производительный. А толку?
 
1.12, тоже Аноним, 13:46, 15/02/2018 [ответить] [смотреть все]  +9 +/ Eval внешних данных - это не уязвимость.
Это бэкдор.
  1.13, Xasd, 13:48, 15/02/2018 [ответить] [смотреть все]  +4 +/ > Проблема вызвана применением в коде функции eval(), в которой выполнялось содержимое, составленное на основе внешних данных

вот бывают же идииоты..

человеку не хватило возможностей языка СВЕРХвысокого уровня и он решил расширить их за счёт eval()

 
  2.27, Аноним, 14:54, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +3 +/
Люди не хотят думать и работать Поэтому питон, электрон и им подобные в тренде ... весь текст скрыт [показать] [показать ветку]
 
2.56, Crazy Alex, 18:38, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +/ Мозгов ему не хватило
 
  2.28, Аноним, 15:08, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +1 +/  1.30, Аноним, 15:26, 15/02/2018 [ответить] [смотреть все]  +2 +/ > 2018
> уязвимость с eval  1.31, Аноним, 15:42, 15/02/2018 [ответить] [смотреть все]  +/
electrum wallets Они же шифрованные, пока пароль не введёшь Electrum не знае... весь текст скрыт [показать]
 
  2.34, Аноним, 16:27, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +/
Ну может пароль в глобальной переменной скриптонщиков всего можно ожидать Тогд... весь текст скрыт [показать] [показать ветку]
 
2.36, Аноним, 16:52, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +/ прям все шифрованные?
 
1.33, Аноним, 15:57, 15/02/2018 [ответить] [смотреть все]  +/ а дальше беспощадный брут
 
  2.40, PnDx, 17:22, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +/
Делать больше нечего Вешаешь кей-логгер Если не терпится, можно спровоцирова... весь текст скрыт [показать] [показать ветку]
 
1.37, Аноним, 17:04, 15/02/2018 [ответить] [смотреть все]  +1 +/
я, видимо, туповат Поясните, пожалуйста, какая взаимосвязь между PyBitmessage ... весь текст скрыт [показать]
 
  2.57, Crazy Alex, 18:39, 15/02/2018 [^] [ответить] [смотреть все] [показать ветку]  +/
То, что Bitmessage используют в основном те, кто занимается криптовалютами - оно и родилось из разговоров на bitcointalk, если я правильно помню.
 
  3.59, Аноним, 19:20, 15/02/2018 [^] [ответить] [смотреть все]  +/
я с 2013-го года имею дело с криптой в основном по работе ни разу не слышал про ... весь текст скрыт [показать]
 
  4.68, Crazy Alex, 21:17, 15/02/2018 [^] [ответить] [смотреть все]  +/
По-моему хайп на эту тему был лет пять назад, вместе с хайпом по поводу неймкоина, так что здесь вы чуток опоздали ;-)

Есть разница между утверждением "большинство тех, кто связан с криптой, пользуются bitmessage" и "Большинство тех, кто пользуется bitmessage, связаны с криптой". Я говорил о втором - в основном это разного рода cypherpunks и прочие криптоанархисты, но и некоторые из core пользовались. Даже в BIP попало - https://github.com/bitcoin/bips/commits/master/bip-0047.mediawiki

 
1.49, Anonymoustus, 18:02, 15/02/2018 [ответить] [смотреть все]  +3 +/ > Атаке подвергся в том числе Peter Šurda, создатель Bitmessage, ключи которого были скомпрометированы.

Это прекрасно и православно.

  1.72, Аноним, 22:31, 15/02/2018 [ответить] [смотреть все]    [к модератору]  –1 +/ Авот на телеграме...
 
  2.86, Аноним, 08:31, 16/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
Минимум у одного свидетеля безопасного телеграма рвануло, найс.
 
1.74, Аноним, 22:59, 15/02/2018 [ответить] [смотреть все]     [к модератору]  +/
Это не уязвимость, а бекдор Если проект использует eval, compile, pickle, shelv... весь текст скрыт [показать]
 
  2.81, Anonim, 05:42, 16/02/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  +/
Запили библиотеку, хипстеры спасибо скажут. Тут вряд ли кто-то это реализует.
 

Read more http://www.opennet.ru/opennews/art.shtml?num=48080

 
Интересная статья? Поделись ей с другими:

Детские песни

    изображение - детские песни онлайн слушать и скачать минусовки

Детские песенки
онлайн скачать минус

Как собрать кубик?

изображение - как собрать кубик Рбика
Как собрать
кубик Рубика?


bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика