Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик видео VP8"	+/–
Сообщение от opennews (??), 28-Сен-23, 10:55
Компания Google опубликовала обновление браузера Chrome 117.0.5938.132, в котором устранена уязвимость (CVE-2023-5217) в библиотеке libvpx, приводящая к переполнению буфера при использовании функций кодирования в формате VP8. В отличие от недавно выявленной уязвимости в декодировщике изображений в формате WebP проблеме  в кодировщике VP8 присвоен высокий, но не критический уровень опасности, т.е. проблема не позволяет обойти все уровни защиты браузера и для выполнения кода в системе за пределами sandbox-окружения требуется задействование ещё каких-то уязвимостей. При этом уязвимость выявлена в ходе анализа существующего в сети рабочего эксплоита,  который применялся злоумышленниками для совершения атак (0-day)... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59838
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+4 +/–
Сообщение от Аноним (1), 28-Сен-23, 10:55
Уязвимость этой библиотеки в фоксе будет исправлена сегодня в 115.3.1esr и 118.0.1
Ответить | Правка | Наверх | Cообщить модератору

	103. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 30-Сен-23, 02:52
	В дебианы и убунты фикс уже прилетел в пакетник и на линухе софт уже пофикшен.
	Ответить | Правка | Наверх | Cообщить модератору

2. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Анонит (?), 28-Сен-23, 11:00
Для Яндекс браузера критично?
Ответить | Правка | Наверх | Cообщить модератору

	20. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+2 +/–
	Сообщение от Аноним (20), 28-Сен-23, 12:09
	да
	Ответить | Правка | Наверх | Cообщить модератору

	23. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Анонит (?), 28-Сен-23, 12:18
	Такая печалька.
	Ответить | Правка | Наверх | Cообщить модератору

	31. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+17 +/–
	Сообщение от Аноним (31), 28-Сен-23, 12:33
	На фоне того, что туда майор напихал, незаметно.
	Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

	60. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от твой товарищ майор (?), 28-Сен-23, 16:13
	Не надо "ля-ля"! Всё что напихнуто, напихивал лично Волож. А тов. майор вам в другое место напихает!
	Ответить | Правка | Наверх | Cообщить модератору

3. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+3 +/–
Сообщение от Анонин (?), 28-Сен-23, 11:01
> приводящая к переполнению буфера при использовании функций кодирования в формате VP8 > onyx_if.c > c Ахаха! Мы еще Exim обсудить не успели, а тут еще одна дырень приехала.
Ответить | Правка | Наверх | Cообщить модератору

	45. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Аноним (45), 28-Сен-23, 14:51
	Опять зависть что не смог написать это на безопасТном?
	Ответить | Правка | Наверх | Cообщить модератору

4. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–1 +/–
Сообщение от Аноним (4), 28-Сен-23, 11:01
думаете гугл покупает эксплоиты и анализирует их чтобы закрывать дыры?
Ответить | Правка | Наверх | Cообщить модератору

	6. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Аноним (6), 28-Сен-23, 11:25
	а почему нет? у них денег как грази
	Ответить | Правка | Наверх | Cообщить модератору

	30. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от фнон (?), 28-Сен-23, 12:32
	и это хорошо - пусть платят, распространенный код хоть станет лучше
	Ответить | Правка | Наверх | Cообщить модератору

	44. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Электрон (?), 28-Сен-23, 14:48
	Ну допустим мильён баксов. За эти деньги можно до десяти человек нанять на год. Реалистичнее: 2-4 на целый год. Bug bounty обходится дешевле, чем покупать у черношляпочных — в этом и суть.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

	46. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+2 +/–
	Сообщение от Аноним (45), 28-Сен-23, 14:51
	Гонишь? Он за деньги их и внедряет.
	Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Аноним (20), 28-Сен-23, 11:26
да сколько можно? гугель ты что? только пересобрал браузер - опять 25... о_О
Ответить | Правка | Наверх | Cообщить модератору

	22. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+8 +/–
	Сообщение от фнон (?), 28-Сен-23, 12:11
	а разве ты пересобираешь не ради удовольствия от пересборки? мне казалось, что это какой-то фетишь ну типа "смотреть как бегут строки", "фиксить ошибки компиляции", "пердолиться с конфигами и билд скриптами" почти как наблюдать как дефрагментируется диск
	Ответить | Правка | Наверх | Cообщить модератору

	36. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+4 +/–
	Сообщение от коньюктивит (?), 28-Сен-23, 13:11
	Да ладно. Собирают с флажками по умолчанию. Просто смотрят на мельтешаший экран и преисполняются якобы некой причастности.
	Ответить | Правка | Наверх | Cообщить модератору

	35. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от коньюктивит (?), 28-Сен-23, 13:08
	На корке дуба пересобрал?
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	41. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (20), 28-Сен-23, 14:27
	на 4 пне же!
	Ответить | Правка | Наверх | Cообщить модератору

	68. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+8 +/–
	Сообщение от ИмяХ (?), 28-Сен-23, 18:06
	Внимательнее надо было код смотреть перед сборкой. Так бы увидел уязвимость - и сразу же бы её исправил.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	83. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 28-Сен-23, 23:38
	> да сколько можно? > гугель ты что? > только пересобрал браузер - опять 25... Ты там точно в адеквате? Для фикса достаточно только libvpx пересобрать, а этого я даже на 32-битном ARM на гигагерц собирал за какие-то считаныне минуты, он не особо жирный. А в нормальных дистро типа демьяна вообще приедет фикс libvpx - и весь софт запатчен. Отдельные приветы флатпакам и прочим appimage и snap всяким.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	93. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от вымя (?), 29-Сен-23, 08:26
	Вы, видимо, сами давно браузеры не собирали. Они тащат за собой кучу своих форков библиотек (вплоть до того, что jemalloc просят называть mozjemalloc, настолько он разошёлся с оригиналом), и вам ещё повезло, если они соберутся и будут работать с --with-system-sqlite --with-system-libvpx --with-system-ffmpeg --with-system-что-нибудь-ещё
	Ответить | Правка | Наверх | Cообщить модератору

	104. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 30-Сен-23, 02:56
	> Вы, видимо, сами давно браузеры не собирали. Они тащат за собой кучу > своих форков библиотек (вплоть до того, что jemalloc просят называть mozjemalloc, Хызы, у меня файрфокс был с системным libwebp и пофиксился апдейтом 1 либы. К jemalloc это не относится вообще никак. > настолько он разошёлся с оригиналом), и вам ещё повезло, если они > соберутся и будут работать с --with-system-sqlite --with-system-libvpx --with-system-ffmpeg > --with-system-что-нибудь-ещё Даже если вдруг у вас встроенная либа - можно поверх нее патч наложить и пнуть билд только вот этого. Будет сильно менее ресурсоемко. Нет никакого смысла отстраивать всю тушку ради мелкого патча в 1 либе, не меняюшего ее внешние API и ABI. Но если вам хочется ритуал ради ритуала, тогда конечно вперед.
	Ответить | Правка | Наверх | Cообщить модератору

9. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Аноним (20), 28-Сен-23, 11:36
судя по размеру патча - быстрее пропачтить рeшeтo чем с libwebp :)
Ответить | Правка | Наверх | Cообщить модератору

11. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Аноним (11), 28-Сен-23, 11:44
Только прекратили поддержку Windows 7 и 8.1, как одна за одной появляются новости о новых уязвимостях. Совпадение?
Ответить | Правка | Наверх | Cообщить модератору

	14. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (20), 28-Сен-23, 11:54
	яндекс браузер обещал тянуть - виндузятники могут себе установить...
	Ответить | Правка | Наверх | Cообщить модератору

	16. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Аноним (11), 28-Сен-23, 12:01
	Не вижу большой разницы между пользованием яндекс-браузером и десяткой. Лучше свободные форки
	Ответить | Правка | Наверх | Cообщить модератору

	21. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (20), 28-Сен-23, 12:10
	а они под 7ку есть?
	Ответить | Правка | Наверх | Cообщить модератору

	33. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (11), 28-Сен-23, 12:40
	Не интересовался, но наверняка есть или будут, как появлялись после прекращения поддержки XP.  Кроме того, Firefox обещал ещё год поддерживать Windows 7. Вопрос, конечно, в реальном качестве и приватности этих вариантов...
	Ответить | Правка | Наверх | Cообщить модератору

	43. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (20), 28-Сен-23, 14:36
	на 7ке/8ке 117 фокс уже не работает... 115-esr будет до лета 2024 но меня интересовали альтернативные проекты на хромодвижке с поддержкой 7/8 (360-браузер не предлагать) а на мозилловском движке под 7ку есть и будут лет так 5 симанки и паленая-луна, но они хороши как запасной/второй браузер или для сайтов web-1.0/1.5 ... к сожалению на модных-смузехлебных сайтах они работают только на троечку...
	Ответить | Правка | Наверх | Cообщить модератору

	58. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (11), 28-Сен-23, 16:10
	Нашлось в поиске про установку Chrome и Firefox на Windows 7 https://habr.com/ru/articles/752692 https://habr.com/ru/articles/752752
	Ответить | Правка | Наверх | Cообщить модератору

	89. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (89), 29-Сен-23, 02:35
	> как появлялись после прекращения поддержки XP. А как они появлялись? А! Никак.
	Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

	34. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от iPony129412 (?), 28-Сен-23, 13:07
	Всегда так было и будет.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–7 +/–
Сообщение от Шарп (ok), 28-Сен-23, 11:48
Опять сишка. Опять переполнение. Считаю, что нужно увольнять с волчьим билетом людей, которые пытаются начинать новые проекты на си. Это вредители.
Ответить | Правка | Наверх | Cообщить модератору

	15. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (15), 28-Сен-23, 12:00
	Вот из-за такого додиезного мудачья примитивные флэшки уже выжирают десятки гигабайт памяти (привет Frostpunk, в системных требованиях враньё). Даже какая-нибудь внка привет из 90х тоже 10+ гигов выжирает, много примеров где вообще ничего нет и всё те же 20 гигов (т.е. куча данных вытесняется из памяти на диск, если меньше). Такими только печи топить, другой пользы принести они не могут.
	Ответить | Правка | Наверх | Cообщить модератору

	19. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–1 +/–
	Сообщение от фнон (?), 28-Сен-23, 12:08
	то что у тебя тормозит игрушка - это твои проблемы "просто купи комп мощнее (и купи скайрим)" (с) а когда из-за уязвимостей дыряшки вкладка в браузере с запущенным видео ломает твой комп? или дарит рут? конечно нам "нужна больше скорости" и пофиг, что криптолибы это просто сито
	Ответить | Правка | Наверх | Cообщить модератору

	24. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (15), 28-Сен-23, 12:20
	Если вкладка с запущенным видео ломает твой комп, тебе стоит проверить исправность оборудования. Насчёт рута маловероятно, шансы выше, если ты скачал видеофайл из непроверенного источника, тут нет особой разницы с исполняемыми файлами. Только вот замены тому же ффмпег (который неплохо бы заменить) что-то не существует, при всей его кривости и багованности.
	Ответить | Правка | Наверх | Cообщить модератору

	27. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от фнон (?), 28-Сен-23, 12:30
	ты сравниваешь видео (libvpx) или картинку (libwebp https://www.opennet.ru/opennews/art.shtml?num=59746) с исполняемым файлом? ты что совсем бо-бо? не надо оправдывать бракоделов, которые годами выпускают подобное
	Ответить | Правка | Наверх | Cообщить модератору

	32. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–2 +/–
	Сообщение от Аноним (15), 28-Сен-23, 12:37
	Именно, если файл декодируется, в нём может быть обнаружена уязвимость уровня ACE в любое время, что автоматически делает его исполняемым файлом. Как они туда попадают это другой вопрос, далеко не всегда это случайный процесс. Кроме того, у такого файла скорее всего будет доступ к оборудованию (в частности, к видеокарте) и никаких песочниц вокруг. Ну вот как у венды bmp файл давал встроенному коду права системного процесса (это который над админом). Поэтому относится к файлам нужно соответствующе.
	Ответить | Правка | Наверх | Cообщить модератору

	37. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+4 +/–
	Сообщение от User (??), 28-Сен-23, 13:52
	Да-да, браузер открыл = сам виноват, фиксить не будем, ибо ачотакова?
	Ответить | Правка | Наверх | Cообщить модератору

	39. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–1 +/–
	Сообщение от Аноним (15), 28-Сен-23, 14:16
	Не открывай сайты, которым не доверяешь, не смотри рекламу, прекрати посещать помойки через которые распространяют малварь. В остальном, сам виноват, из-за таких даже добавили предупреждение об "опасных" файлах.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (72), 28-Сен-23, 18:57
	Я открыл Опеннет
	Ответить | Правка | Наверх | Cообщить модератору

	77. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от User (??), 28-Сен-23, 21:02
	> Не открывай сайты, которым не доверяешь, не смотри рекламу, прекрати посещать помойки > через которые распространяют малварь. В остальном, сам виноват, из-за таких даже > добавили предупреждение об "опасных" файлах. Да-да, и ходить в хиджабе - пардон, эт разврат - в никабе, в сопровождении специально обученных родственников мужского пола, я понял. Ну, тоже подход, да. А неуловимый Джо будет рассказывать, что все, кроме жертвы - неуиноуатые. Нефиг было в интернет ходить, файлы там открывать, программы, написанные на Cи недоверенными программистами запускать на непроверенном оборудовании - вот был бы c2d с ОС на rust'е и файл, написанный тобой же со своей дискеты - от тогда бы да, тогда бы ничего не произошло. А так - самадуравиновата.
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

	25. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–4 +/–
	Сообщение от Шарп (ok), 28-Сен-23, 12:25
	Лучше оперативки докинуть, чем иметь тыщщу дыр в системе, через которые тебя поимеют и поставят троян.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	26. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Аноним (15), 28-Сен-23, 12:29
	Было бы куда. Да и потом, не все же такие додики у которых 99% оперативки простаивает чисто про запас, а если она используется, то проблема ровно та же возникает постоянно.
	Ответить | Правка | Наверх | Cообщить модератору

	40. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Научный сотрудник (?), 28-Сен-23, 14:22
	Жду когда индустрия упреться в техонлогические и физические пределы, тогда ты не то что на СИ будешь писать, ты первый в очереди пойдешь писать на Ассемблере.
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	91. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (91), 29-Сен-23, 04:06
	Что она упрется то? Комп будет размером с холодильник просто 64 физических проца Оперативки 128 плашек Дорого? Твои проблемы
	Ответить | Правка | Наверх | Cообщить модератору

	51. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (51), 28-Сен-23, 15:26
	> чем иметь тыщщу дыр в системе, через которые тебя поимеют и поставят троян. И сколько троянов тебе лично наставили?
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

	100. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (72), 29-Сен-23, 18:17
	Столько, что и колено Вениаминово тоже плачет, что мы их не вырезали я не знаю
	Ответить | Правка | Наверх | Cообщить модератору

	101. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (72), 29-Сен-23, 18:45
	Вырезать кого собрались?- битКоинов с Леви_а_фанами?
	Ответить | Правка | Наверх | Cообщить модератору

	50. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Анонимусс (?), 28-Сен-23, 15:24
	Хаха, вы бы лучше быдлокодить без ошибок на дыряшке научились! 40 лет уже прошло, а воз и ныне там. Это ж из-за вас пришлось придумываться всякие шарпы и прочее. А про флешки даже не заикайся. В флешплеере больше тысячи уязвимостей нашли, из которых ~900 - это 9+ score. Редкий продукт может похвастаться таким "достижением". Хорошо что оно сдохло, жаль, что так долго дрыгалось.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	67. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (15), 28-Сен-23, 17:20
	Ни у кого не было проблем с флэшками (ну немного жестковатые ограничения на самом деле), проблемы были с рекламой через которую распространяли малварь. Вместо флэша это ровно та же могла быть жава или activex или просто исполняемый код, потом конечно догадались что запускать недоверенный код можно только после подтверждения пользователя. Сегодня вот у всех из бэкдоров стоит только openh264, а тогда был выбор. И у пользователя больше никто не спрашивает кстати.
	Ответить | Правка | Наверх | Cообщить модератору

	107. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 30-Сен-23, 03:17
	> Хаха, вы бы лучше быдлокодить без ошибок на дыряшке научились! 40 лет > уже прошло, а воз и ныне там. > Это ж из-за вас пришлось придумываться всякие шарпы и прочее. И орпоративные шерпы завалили мир кодеками.... или нет?! А, погодите, этот крап тормозит так что 480p с ютуба сжевать не может? Ну вот и пишут на сишке и дальше, гули :)
	Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

	94. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 29-Сен-23, 11:01
	> примитивные флэшки уже выжирают десятки гигабайт памяти Что это такое вообще? Я ваш птичий язык не понимаю. > тоже 10+ гигов выжирает, много примеров где вообще ничего нет и всё те же 20 гигов (т.е. куча данных вытесняется из памяти на диск, если меньше). Такими только печи топить В целом, объём занятой ОЗУ на энергопотребление влияет очень слабо примерно никак. Доступ к памяти влияет значительно, но в контексте потребления всей остальной системой, если у вас не 2ТБ памяти в 16слотах, то можно не переживать, а если таки да, то у вас другие задачи. Так что к чему ваши "печи топить" непонятно от слова совсем.
	Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

	99. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–1 +/–
	Сообщение от Аноним (15), 29-Сен-23, 13:13
	Das ist ein du problem.
	Ответить | Правка | Наверх | Cообщить модератору

	18. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от commiethebeastie (ok), 28-Сен-23, 12:06
	Тут бекдор, подписанный приветябекдор.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	29. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Аноним (31), 28-Сен-23, 12:32
	Увольнять откуда, с Гитхаба? Как увольнять разработчика личного проекта?
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	47. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от Аноним (45), 28-Сен-23, 14:54
	Опять зависть что сишники могут написать продукт, а растовики нет.
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

	66. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+2 +/–
	Сообщение от Аноним (89), 28-Сен-23, 17:09
	Написать сишники могут, нормально написать — нет.
	Ответить | Правка | Наверх | Cообщить модератору

	86. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 28-Сен-23, 23:43
	> Написать сишники могут, нормально написать — нет. Ну так остальные и так не смогли. Ну вон есть librav1e - и чего-то он даром никому не упал по его эксплуатационным свойствам. Это правда энкодер а не декодер вообще, но как энкодер он ни о чем и возможности формата не раскрывает. А без этого AV1 не очень то и хотелось...
	Ответить | Правка | Наверх | Cообщить модератору

	85. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 28-Сен-23, 23:41
	> Опять сишка. Опять переполнение. Считаю, что нужно увольнять с волчьим > билетом людей, которые пытаются начинать новые проекты на си. Это вредители. Не пользуйся сишным софтом и либами, какие проблемы? :))
	Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

13. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от InuYasha (??), 28-Сен-23, 11:51
Это ещё что! Скоро подвезут дыры из libhelloworld...
Ответить | Правка | Наверх | Cообщить модератору

	28. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Анонимусс (?), 28-Сен-23, 12:31
	Не, ну helloworld уж точно можно без дыр написать! Хотя... там же printf...
	Ответить | Правка | Наверх | Cообщить модератору

17. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
Сообщение от commiethebeastie (ok), 28-Сен-23, 12:04
Правильно, не надо TODO в продакшене закрывать.
Ответить | Правка | Наверх | Cообщить модератору

49. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Аноним (49), 28-Сен-23, 15:18
Надо было писать на безопасном языке, например, на хаскелле.
Ответить | Правка | Наверх | Cообщить модератору

	63. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+2 +/–
	Сообщение от Анонимм (??), 28-Сен-23, 16:40
	Ты чё! На хаскеле же всякие монады, функторы и прочая комбинаторика Это же для академиков, а их тут не любят! (как и BSD)) иж чего яйцеголовые навыдумывали: pattern matching, guardы, алгебраические типы и еще куча всего другого... то ли дело в родном си: напрограмячил кода, кастанул к void*, вышел out-of-bounds массива (и попортил соседям память), а потом его два раза free'шнул получается слегка копролитно, CVEшки лезут одна за одной, но зато как быстро! + можно считать себя ылитой программирования и смотреть на всяких смузихлебов свысока
	Ответить | Правка | Наверх | Cообщить модератору

	69. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от ИмяХ (?), 28-Сен-23, 18:11
	Тогда надо самокаты запретить - пешком хоть и медленнее, зато безопаснее. А если ноги устают, то прокачай их помощнее.
	Ответить | Правка | Наверх | Cообщить модератору

	71. Скрыто модератором	+1 +/–
	Сообщение от C00l_ni66a (ok), 28-Сен-23, 18:49
	Автомобили тоже. Вы вообще видели, сколько ежемесячно происходит автоаварий??
	Ответить | Правка | Наверх | Cообщить модератору

	73. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от фнон (?), 28-Сен-23, 18:59
	хаха, вот например в Париже их нафиг запретили! потому что бухие, правил не знают (те на авто/мото даже не сдавали), гоняют по тротуарам на скорости 30+км А в других городах вводят ограничения по макс мощности и/или скорости, наличие шлема, а еще требуют наличие прав! Вот прикинь у сишников требовать справку о профпригодности (или вменяемости хехе)! Или заставлять учить наизусть весь список UB для С99 https://gist.github.com/Earnestly/7c903f481ff9d29a3dd1 Это же придется 99% пограммеров отправить мести улицы (или писать на джаваскрипте)
	Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

	81. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–4 +/–
	Сообщение от dasd (?), 28-Сен-23, 21:49
	>Или заставлять учить наизусть весь список UB для С99 https://gist.github.com/Earnestly/7c903f481ff9d29a3dd1 #$% как мне нравятся такие кукареки. Не читали, не поняли, но осуждают. UB обычно подсвечивается варнингами компилятора. В половине случаев этого списка, UB в стиле "программист [s]даун и[/s] поставил кавычку в конце ключевого слова. У нас нет предпочтения, как вы его назовёте." Или вот, великолепное, "A pointer is converted to other than an integer or pointer type". UB конечно, указатель 64 преобразовать в float, ага. Или в более [s]других[/s] безопасТных языках это возможно? Ой, нет, там же указатель это "страшно-страшно", его вообще не дают в руки. Вторая половина - про библиотеку. Тоже UB в основном про ограничения. Например, "The number of characters transmitted by a formatted output function is greater than INT_MAX (7.19.6.1, 7.19.6.3, 7.19.6.8, 7.19.6.10). " Эээ, выходная строка чего то вроде fprintf не может быть длиннее INT_MAX. o_O ну так проверяйте вход. Это в любом языке нужно делать. Нефиг в "%s %s %s" без проверки что угодно выводить. А UB-примечание к malloc вообще офигенное: The value of the object allocated by the malloc function is used (7.20.3.3). Содержание памяти, ссылку на которое вернул malloc, будет произвольным. Вывода не будет.
	Ответить | Правка | Наверх | Cообщить модератору

	82. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+2 +/–
	Сообщение от Анонин (?), 28-Сен-23, 23:26
	> ну так проверяйте вход Да ты просто гений!!! Нужно "всего-лишь" проверять входные данные! Вот только в соседней теме про Exim три из трех ошибок из-за "отсутствия проверки входных данных"! Нужно всего-лишь заставить дыряшников это делать! Вот только как написано выше - большая часть необучаемые дауны, которых только как битьем по рукам это делать не заставишь...
	Ответить | Правка | Наверх | Cообщить модератору

	114. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от dasd (?), 02-Окт-23, 10:28
	Эээ ооо ааа ууу Ну да, в безопасТных языках либо тоже делать проверку, либо вполне defined behavior - программа просто не работает, ибо abend.
	Ответить | Правка | Наверх | Cообщить модератору

	87. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	–1 +/–
	Сообщение от Аноним (-), 28-Сен-23, 23:47
	> На хаскеле же всякие монады, функторы и прочая комбинаторика > Это же для академиков, а их тут не любят! (как и BSD)) > иж чего яйцеголовые навыдумывали: > pattern matching, guardы, алгебраические типы и еще куча всего другого... ...так что взяв чужой проект ты полгодика будешь этот брейнфак осмыслять, что именно там тот кодер наворотил вообще, и как это на самом деле работает. Кодинг задуманного тем временем подождет. Или, можно вместо этого брейнфака и проектов на нем взять другой ЯП и - просто решить свою задачу. А проекты на хаскеле - живут ровно до тех пор пока единственному автору не надоест в них комитить. После чего они безнадежно дохнут, остальным просто не хочется лезть в крутые абстракции. Вот так можно зайти на противоположный полюс относительно питона - и это настолько дикая инверсия что конвергирует в той же точке что и питонопроекты. Т.е. нечто с периодом полураспада пару лет. Хотя механизм распада радикально другой :) > то ли дело в родном си: напрограмячил кода, кастанул к void*, вышел out-of-bounds > массива (и попортил соседям память), а потом его два раза free'шнул Зато задача решена за разумное время, в код худо-бедно могут другие въехать, вулны, вот, какой-нибудь автосканер выловил, и оно по крайней мере - работает.
	Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

	88. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+1 +/–
	Сообщение от фнон (?), 29-Сен-23, 00:00
	о боже, у нас тут очередной адепт тяп-ляп и продакшен? ладно если ты пишешь код для программы которая одевает ботинок, ну выстрелит она пару раз в ногу а если это криптолиба типа openssl? на которой держится пол интернета? примеры хартблида никого ничему не научили? или мейлсервер который стоит на 0.5 млн серверов wait, oh shi...
	Ответить | Правка | Наверх | Cообщить модератору

	105. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 30-Сен-23, 03:01
	> о боже, у нас тут очередной адепт тяп-ляп и продакшен? > ладно если ты пишешь код для программы которая одевает ботинок, ну выстрелит > она пару раз в ногу Ну ты в своем праве писать кодек на этом брейнфаке. Посмотрим много ли ты напишешь и сколько людей сможет и захочет майнтайнить твой код. Или сам собирай его под 9000 дистров с бэкпортом патчей на их полиси и чего там еще. > а если это криптолиба типа openssl? на которой держится пол интернета? > примеры хартблида никого ничему не научили? Научили: хорошее крипто должно быть простым и мелким, а сколько TLS не окультуривай, безопасным ЭТО не станет в принципе. При том - на самом концептуальном уровне. Ты точно всей этой шайке CA - "доверяешь"? Половина интернета держится на snake oil crypto, внезапно. > или мейлсервер который стоит на 0.5 млн серверов > wait, oh shi... По моему проблемы Exim это не новость. Но вы можете дать мастеркласс оным. А, погодите, писать программы и тем более их майнтайнить годами - это не языком в форуме о крути очередного фетиша трындеть?! :)
	Ответить | Правка | Наверх | Cообщить модератору

	95. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 29-Сен-23, 11:09
	Лолчто? Какой нафиг Хаскель брейнфак? В нём стандартно всё в принципе. > ...так что взяв чужой проект ты полгодика будешь этот брейнфак осмыслять А чужой проекте на сишке с 5 тысячей строк ифдефов вы типо за пять минут осмыслите? Что делает: *void process_data(data *void) Сразу поймёте?
	Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

	106. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 30-Сен-23, 03:06
	> Лолчто? Какой нафиг Хаскель брейнфак? В нём стандартно всё в принципе. Ну вот такой. Стандартное состояние проектов на хаскеле - 1 кодер, изначальный автор. Зачем это опенсорс выкладывать вообще хз, все равно желающих это изучать и патчить обычно 0 оказывается. > А чужой проекте на сишке с 5 тысячей строк ифдефов вы типо > за пять минут осмыслите? Да нормально осмысливаю и патчу вот. Тем более что ряд фиксов не требует понимания общей глобальной логики. И это все в том числе и благодаря отсутствию крутых абстракций, ага. Можно просто посмотреть, увидеть баг и - пропатчить. А ваш высокопарный полет мысли раскуривать - нафиг нужно. Для этого половину вашего мозга надо вгрузить и начать думать как вы. Это слишком канительно. На эти грабли плюсеры то через раз встают, до опытных допирает что так делать не надо и у них потом начинает получаться что-то одупляемое. А хаскелисты - каждый первый буквально танцует на этих граблях по максимум. Пока не свалится с синим лбом. После чего проект бесславно дохнет. > Что делает: *void process_data(data *void) > Сразу поймёте? Просит автору в тыкву дать за такой стиль кодинга :)
	Ответить | Правка | Наверх | Cообщить модератору

	109. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 30-Сен-23, 11:47
	Да, Хаскель программистов примерно в тысячу, если не больше, раз меньше сишников. Поэтому конечно и участников проектов меньше. А вовсе не потому, что в Хаскель коде как-то особенно тяжело разобраться. Да, есть тысячи заброшенных сишкопроеетов. > сложение абстракции я не понимаю ((( зато сишка простая ))11 Да без комментариев пожалуй. Если строгая типизация для вас неосилимая абстракция, то понятно в общем от чего в сишкокоде выход за границу буфера юсе афтер фри погоняет.
	Ответить | Правка | Наверх | Cообщить модератору

	111. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 30-Сен-23, 13:45
	> Да, Хаскель программистов примерно в тысячу, если не больше, раз меньше сишников. И к тому есть предпосылки: очередной академязычок не от мира сего. > Поэтому конечно и участников проектов меньше. А вовсе не потому, что в > Хаскель коде как-то особенно тяжело разобраться. Чем круче абстракции, тем дольше в них въехжать и выше риск понять намерения предыдущего кодера неверно. Если суммировать идею MISRA вкратце: код должен быть написан так прозрачно и просто чтобы в нем могли разобраться даже амебы в пробирке. Тогда в нем и багов не будет. Потому что двуногий может не выспаться сегодня, его могут отвлечь, или еще какая фигня. И если он потеряет глубокий контекст, фигня получится. > Да, есть тысячи заброшенных сишкопроеетов. Лично я не знаю ни 1 полезного и интересного мне проекта на этом. Вот просто за всю жизнь ничего интересного не попадалось. Какая-то хрень где отшибленные кодеры страдают фигней. В этом плане какой-нибудь хруст - явно прагматичнее, нацелен на реальные проблемы реальных проектов. Хоть и являет собой за это свалку костылей. >> сложение абстракции я не понимаю ((( зато сишка простая ))11 > Да без комментариев пожалуй. Оно и видно. > Если строгая типизация для вас неосилимая абстракция, то понятно в общем от > чего в сишкокоде выход за границу буфера юсе афтер фри погоняет. Да вы знаете, иногда я оверрайдом типов еще и пользуюсь. Представляете, у DMA автомата и парсера пакетов могут быть немного разные идеи насчет одного и того же блока данных на предмет того чем он является. В DMA я могу хотеть его рассмотреть как допустим пачку u32 вон там, а чем оно там на самом деле было - такой отдельный вопрос. Си в этом плане весьма разумный баланс, когда с одной стороны type check можно, с другой - можно и заоверрайдить если вот именно системный фокус стало надо. А так вот именно системный и низкоуровневый - это Zig какой. Там вон и packed struct сразу штатно есть, и положить нечто в конкретную секцию - вот, пожалста. А этот ващ хаскель совершенно точно не замена си и не конкурент ему даже в проекте. И да, вы знаете - в кодеке иногда тоже надо низкоуровневый контроль над происходящим. Скажем у SIMD есть довольно эзотерические требования по выравниванию блоков данных. А без SIMD не интересно - там скорость вот тупо в разы ниже, кому такой кодек упрется и зачем?! Представляете, там вон шарпей какой-то вещает, а так то кодек даже и на гольном си то мало кому упал, представляете? Пока его asm или simd intrinsic не обвесят у него перфоманс такой что это мало кому вообще надо оказывается. На libvpx бочку катили за медленное кодирование. На libaom катят. Первого немного подразогнали.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 30-Сен-23, 14:54
	> Чем круче абстракции, тем дольше в них въехжать и выше риск понять намерения предыдущего кодера неверно. Крутые абстракции упрощают вещи, а не усложняют. Вы наверное гуишные приложения пишите тоже на голой сишке без крутых абстракций графических библиотек операционных систем и драйверов? > код должен быть написан так прозрачно и просто чтобы в нем могли разобраться даже амебы в пробирке. Это хреновый подход. Код должен быть понятен не амёбам, не неграм с улицы, не трансгендерным специалистам по равенству. Код должен быть понятен специалистам работающим с этим ЯП. > Тогда в нем и багов не будет. Это не так работает. > Лично я не знаю ни 1 полезного и интересного мне проекта на этом. А АБСТРАКЦИИ тут причём? Вы вообще себе отдаёте отчёт в том, что в питоне куда больше "крутых абстракций, нежели в Хаскеле? Но смотрите, держитесь, на питоне миллионы проектов от сложных корпоративных монстров вроде PyTorch до утилит в пару строк. И именно тот факт что абстракции позволяют писать в пару строк сложные вещи и делает питон таким популярным. Так может не в абстракциях дело? Может они полезны и нужны, а? А С++ что? Вы представляете себе, С++ В РАЗЫ СЛОЖНЕЕ Хаскеля. Весь Хаскель умещается в десятке страниц, в то время как абстракции С++, крутые и навороченные, описаны в талмуде в 2000 страниц и их никто не знает целиком. И что? Скажите на С++ никто не пишет ИЗ ЗА ТОГО ЧТО В НЁМ СЛОЖНЫЕ АБСТРАКЦИИ? Хотя они там абсолютно безумные и отвратительные. Но пишут, жрут кактус и пишут.
	Ответить | Правка | Наверх | Cообщить модератору

	113. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 02-Окт-23, 06:45
	> Крутые абстракции упрощают вещи, а не усложняют. Я видел что может получиться, спасибо. Потом никто въезжать в это не может или не хочет. Так даже плюсер зарвавшийся может удружить, а хаскелисты все такие, других не видел. Моя проблема? Закладываться на программы которые заведомые трупы - чревато. > Вы наверное гуишные приложения пишите тоже на голой сишке без крутых абстракций > графических библиотек операционных систем и драйверов? Графические приложения не кодеки и там соотношения иные. Но я и таких на хаскеле нужных кому-то тоже не знаю. Поэтому посчитаю что теория не доказана практикой. Абстракции ради абстракций никому не нужны кроме автора. >> код должен быть написан так прозрачно и просто чтобы в нем могли >> разобраться даже амебы в пробирке. ... > Код должен быть понятен специалистам работающим с этим ЯП. Чем больше посмотрят, тем больше шансов что въедут что я на самом деле хотел. Может кто не очень крутой спец в ЯП, зато крут как алгоритмист или архитект? Тогда дадут мастеркласс на другом уровне. Более важном как правило. А если им надо вгрузить половину моего мозга и декодировать крутые абстракции, они забьют, им есть чем заняться без этого. А спец по яп - пустышка сам по себе, "эксперт по применению молотка". > Тогда в нем и багов не будет. Сказ о серебряных пулях и отсутствии багов это круто но так не бывает. Некий олд из локхидмартина дал как-то мастеркласс нубью вопившему про contracts. Найдя баг прям в контракте. А годный алгоритмист или архитект понявший что я на самом деле хотел может придумать как это в 20 раз проще и лучше. Придет ему озарение и покажет мне что я все переусложнил и закостылил, а можно то вот так было вообще. Если алго в 10 раз проще, без костылей и лучше работает - там и багов сразу в разы меньше. Почему-то. > Это не так работает. И типа у вас огромный опыт как оно? И чем это подтверждено? Проекты на этом - где?! >> Лично я не знаю ни 1 полезного и интересного мне проекта на этом. > А АБСТРАКЦИИ тут причём? Крутые и нестандартные абстрации - 1 из известных мне способов эффетивного факапа проектов, ведушего к их загибанию ибо "1 кодер в проекте". > Вы вообще себе отдаёте отчёт в том, что в питоне куда больше "крутых абстракций, > нежели в Хаскеле? Я отдаю себе отчет что у 90% проектов на питоне период полураспада - 1-2 года. И мне от питоняш ничего не надо, уж спасибки. > Но смотрите, держитесь, на питоне миллионы проектов от сложных корпоративных > монстров вроде PyTorch до утилит в пару строк. И именно тот факт что абстракции > позволяют писать в пару строк сложные вещи и делает питон таким популярным. Мне похрен. Для меня то что софт написан на питоне это вообще отличный повод им не пользоваться. Потому что в результате он потом создаст много проблем. И вон то только все усугубит. Да, жирнокорп может бухать сотни ресурсов в поддержку легаси и даже оплатить фултайм кому-то. А я не жирнокорп, и рабом жирнокорпа делающим какую-то НЕХ быть тоже не хочу. > Так может не в абстракциях дело? Может они полезны и нужны, а? Все хорошо в меру. Хаскелисты эту меру совершенно точно профачили. Питоняшам то корпы при помощи о314ливания азы прожектменеджмента доносят и если там кто попробует с абстракциями чрезмерно разогнаться - его не то что не уволят, он собес на прием в корпу не пройдет. Его лид какой или архитект рубанут как участника команды, понимая что есть иные соображения типа майнтенанса. Эти господа, кстати, стоят как звездолет. И на вас такой благодати не хватит. Так даже и питон - яп. Но с большими оговорками и характерный корпоративный шитец все равно получается. Я такой софт просто не жалую, как категория. > А С++ что? Вы представляете себе, С++ В РАЗЫ СЛОЖНЕЕ Хаскеля. > Весь Хаскель умещается в десятке страниц, в то время как абстракции С++, > крутые и навороченные, описаны в талмуде в 2000 страниц C++ бывает очень разный. От отличного читаемого кода - до полностью неадекватного кода который никто не хочет трогать 3-метровой палкой и который мастеркласс любому питоняше по гамнокодингу даст. Хороший спец по плюсам виден сразу. В том числе и простым читабельным кодом. Где абстракций так то в меру и по делу. А у долбоклюев абстракйия на абстракции и абстракцией погоняет, ввинчены абсолютно все "клевые фичи" - из "последнего стандарта" под рассказы о легаси и чем там. И ни на что не годный код в котором только автор и понимает. Более менее крупные корпы кстати тоже в курсе - и шлют таких туда же куда и питоняш склонных к гону, по той же причине. Эти господа собесы тоже не проходят. Не нужны тимам проблемы. >> и их никто не знает целиком. > И что? Скажите на С++ никто не пишет ИЗ ЗА ТОГО ЧТО В НЁМ СЛОЖНЫЕ АБСТРАКЦИИ? > Хотя они там абсолютно безумные и отвратительные. Но пишут, жрут кактус и пишут. Вопрос не в абстракциях ЯП - а в том с чем я столкнусь в "этом проекте". Если это хаскел, 99% вероятности что там парад брейнфарта. Не, простите, мне реально не интересно вгружать ваш супер-кастомный стиль мышления чтобы изучать как вы можете левой пяткой, с заподвыподвердом, картину на стену повесить блин. И плюсы хороши в основном тем что есть мощные кодеры способные к teamwork и софт деланый ими. Да, далеко не все так могут. Но - они есть. В отличие от хаскелистов.
	Ответить | Правка | Наверх | Cообщить модератору

	115. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 02-Окт-23, 10:35
	В каком этом проекте? Вы же хаскеля не знаете, откуда вам знать брейнфарт там или не брейнфарт вообще? > Все хорошо в меру. Хаскелисты эту меру совершенно точно профачили. Ну например, где они перешли черту? Приведите пример той самой чрезмерно сложной и крутой абстракции хаскеля.
	Ответить | Правка | Наверх | Cообщить модератору

	116. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (-), 02-Окт-23, 12:05
	> В каком этом проекте? Да в какой ни ткни - будет зубодробильный контринтуитивный код. Для меня это жирный минус ЯП. И даже если он очевиден какому-то хаскелисту - ну, круто, я рад за них, мне то с этого чего? > Вы же хаскеля не знаете, откуда вам знать брейнфарт там или не > брейнфарт вообще? А я и не обязан учить бесплезный хлам на котором ни 1 убедительного проекта нет, с каким-то отшибленным синтаксисом и перекосом на парадигмах вместо решения задач. Мне вообще системное и относительно низкоуровневое программирование нравится. Хаскель совершенно точно не про это. >> Все хорошо в меру. Хаскелисты эту меру совершенно точно профачили. > Ну например, где они перешли черту? Приведите пример той самой чрезмерно сложной > и крутой абстракции хаскеля. Для меня критерий прост: если мне не очевидно что делает этот код - это хреновый код. Икслючение разве что крутые сложные алгоритмы, но там обычно у меня проблемы с пониманием именно самой математики, которая бывает весьма специализированная. А так как пример: однажды меня сильно приперло. И я продирался сквозь довольно крутые и многоуровневые абстракции плюсера. В конечном итоге я загасил баг, потому что отступать было некуда. Но времени на это я убил в 50 раз больше чем я бы в проекте на сишке то же самое сделал бы. Поэтому по итогам я констатирую что такой код майнтенансу не подлежит. А в какой бы код на хаскеле я не совался - интуитивным и простым в понимании это не выглядело, там вот как раз те самые антипаттерны в ходу. Я вам не питоняша, и не испытываю никакого желания разгадывать ребусы с лямбдами, монадами и прочим добром. И еще. Для меня самая забойная фича сишки это портабельность. Можно отладить алго на компе под тяжелой инструментацией типа профайлеров и ubsan/asan - а потом на мк с парой кило оперативы и несколько кил флеша 1 в 1 загнать. Это очень круто. Это позволяет масштабироваться. И взаимодействовать с своим кодом в разных ипостасях. И это точно не про хаскел. В эту нишу имеют шансы вписаться Rust, Zig, Hare может быть. Поэтому для Zig я даже смогу назвать несколько симпатичных мне фич, хоть я его и не практикую (пока?). А хаскель для вот лично меня - бесполезный артефакт не от мира сего. Если кто еще не понял, кодеки это довольно специализированный аспект с мощнум заходом в нижний уровень. Для оптимизации перфоманса, использования SIMD и проч. Это не ваша "очередная апликуха". И там другие соображения и соотношения ценятся. Если вы будете libaom кодировать в чисто сишном коде - ВЫ ОПУПЕЕТЕ. Вам никаких процов не хватит. И на первое место выходит мощная оптимизация, иначе возможности формата окажутся не раскрыты - и зачем тогда весь этот трах был в таком объеме с изобретением нового формата, его внедрением в железки и проч?! Надеюсь это отвечает на вопрос почему никто не будет писать кодеки на хаскеле. Если вы хотите высокие абстракции - вам вот этот топик явно не был важен. Иначе были бы иные идеи на этот счет.
	Ответить | Правка | Наверх | Cообщить модератору

	117. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 02-Окт-23, 13:12
	>А я и не обязан учить Нет конечно, но если вы не знаете Хаскеля, как вы можете делать выводы о крутости его абстракций и доступности кода для понимания? >Для меня критерий прост: если мне не очевидно что делает этот код - это хреновый код. Я уже понял это. Китайский вы не знаете - значит это хреновый надмозго язык со сложными абстракциями? А нотную грамоту вы знаете? Системы записи химических формул? Язык электронной схемотехники? Мне кажется, очень странным, определять хреновость чего-то его очевидностью для лично вас, особенно в свете того, что мир вообще-то невероятно сложная штука. Но вы сделали 2 глобальных утверждения ранее. 1. В Хескеле очень сложные и недоступные пониманию среднего программиста в вакууме абстракции. 2. На Хаскеле никто не пишет из за этих сложных и недоступных абстракци. По пункту 2. Я привёл вам при мер с С++ с сложными жуткими и безумными абстракциями, на котором пишут и очень много. То есть, ваше утверждение не подкрепляется практикой, которая мерило истины. Вы привели контр аргумент заключающий в том, что эти абстракции можно не использовать, и "правильные" программисты их не использую. Но это апелляция к истинности - https://ru.wikipedia.org/wiki/Ни_один_истинный_шотландец Я же утверждаю, что эти абстракции используются в стандартной библиотеке C++, и в общем случае использовать С++ без них невозможно, так как вся логика кода и шаблоны проектирования строятся вокруг этих абстракций. По пункту 1. Я прошу вас привести пример сложной абстракции языка Хаскель, чтобы понять о чём вы вообще говорите, и что вы называете абстракцией в данном контексте.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 02-Окт-23, 13:15
	> Для меня самая забойная фича сишки это портабельность. Нет у сишки никакой портабельности. Типы инта могут быть какие угодно между платформами например. И всё. И это самое малое как бы из не портируемого. > а потом на мк с парой кило оперативы и несколько кил флеша 1 в 1 загнать. И на этом МК есть только int8. Удачи.
	Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

	119. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноньимъ (ok), 02-Окт-23, 13:24
	>разгадывать ребусы с лямбдами, монадами Лямбды - концепт которому лет 50 минимум. ВСЕ программисты буквально и не только знают о нём, и успешно применяют. В некоторых спец областях это может быть лишним конечно, но тут нужно проводить исследования, это совсем не очевидно. Монада: https://en.cppreference.com/w/cpp/utility/optional https://habr.com/ru/articles/372103/ Просвещайтесь.
	Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

52. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Kuromi (ok), 28-Сен-23, 15:43
Добавьте в новость, что XnView тоже использует WebP
Ответить | Правка | Наверх | Cообщить модератору

	53. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Аноним (20), 28-Сен-23, 15:55
	> проприетарное ПО а сайт opennet.ru
	Ответить | Правка | Наверх | Cообщить модератору

	74. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от аннонникусь (?), 28-Сен-23, 19:05
	а по опросу у почти 20 процентов мак или винда)
	Ответить | Правка | Наверх | Cообщить модератору

	79. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от год линукса на десктопе (?), 28-Сен-23, 21:16
	а остальные 80 научились в конце-концов подделывать user-agent
	Ответить | Правка | Наверх | Cообщить модератору

	59. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от InuYasha (??), 28-Сен-23, 16:11
	> Добавьте в новость, что XnView тоже использует WebP WebP или libwebp?
	Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

	90. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
	Сообщение от Kuromi (ok), 29-Сен-23, 03:02
	>> Добавьте в новость, что XnView тоже использует WebP > WebP или libwebp? Там libwebp чтобы читать WebP. Автору правда уже стукнули чтобы он обновил, но пока тихо.
	Ответить | Правка | Наверх | Cообщить модератору

	108. Скрыто модератором	+/–
	Сообщение от Аноним (-), 30-Сен-23, 03:23
	> Там libwebp чтобы читать WebP. Автору правда уже стукнули чтобы он обновил, > но пока тихо. Достойная судьба для пожирателей проприетари.
	Ответить | Правка | Наверх | Cообщить модератору

92. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Аноним (92), 29-Сен-23, 06:22
Если в каком-то инструменте человека заставлять за чем-то следить, то он 100% в конце концов накосячит, так что раст в этом плане эту тупую нагрузку с человека снимает
Ответить | Правка | Наверх | Cообщить модератору

96. Скрыто модератором	–1 +/–
Сообщение от Аноним (96), 29-Сен-23, 12:19
Если что, то вот нормальная новость с подробностями и объяснениями: https://snyk.io/blog/critical-webp-0-day-cve-2023-4863/
Ответить | Правка | Наверх | Cообщить модератору

	97. Скрыто модератором	+/–
	Сообщение от Аноним (97), 29-Сен-23, 12:29
	И какие же там подробности кроме рекламы проприетарного сервиса Snyk? Плюс та статья написана спустя две недели после раскрытия уязвимости, когда все уже обновились.
	Ответить | Правка | Наверх | Cообщить модератору

	98. Скрыто модератором	+/–
	Сообщение от Аноним (97), 29-Сен-23, 12:31
	И там про древнюю уязвимость в libwebp, а не про обсуждаемую уязвимость в libvpx.
	Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

102. "0-day уязвимость в Chrome и libvpx, затрагивающая кодировщик..."	+/–
Сообщение от Аноним (102), 30-Сен-23, 01:59
Я что-то не понимаю или libwebp в телеге под андроид до сих пор не пофиксили? https://github.com/DrKLO/Telegram/tree/master/TMessagesProj/...
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема