forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязвимость в Apache Struts стала причиной утечки персональны..."
Отправлено pripolz, 12-Сен-17 06:31

случай данного взлома настолько банален, там просто можно захреначить жаба-код в хттп-запрос, и либа после непойманного эксепшена его выполнит.
Да, ок, это - реальная ошибка программиста, и результат полного долбо-ящеро-ибизма, как и отсутствия адекватного тестирования в системе, которая требует подробного тестирования.
Тем не менее, я констатировал факт. В более классическом случае, когда выполняется бинарный код, и не в результате того, что программа сама его взяла из сетевого пакета, ни жабист, ни сишарпщик, к примеру, не имеют АБСОЛЮТНО НИКАКОЙ возможности это предупредить, и думать об этом. Они ПОЛНОСТЬЮ БЕСПОМОЩНЫ перед бинарными эксплойтами, ввиду того, что не могут знать, как внутри устроена каждая деталь интерпретатора.
Это не значит, что нативный код лучше или хуже, это только лишь производная от того факта, что не все абстракции доступны для анализа. И чем больше абстракций - тем больше дыр.
Вы же, увидели в этом страшнейшую религиозную угрозу, будто КТО-ТО ПРЕДЛОЖИЛ НЕ ДУМАТЬ, и начали старательно бороться за свои мирки "нерукожопия", повторяя молитвы о том, что код нужно "писать нормально".

Исходное сообщение
"Уязвимость в Apache Struts стала причиной утечки персональны..." Отправлено pripolz, 12-Сен-17 06:31
случай данного взлома настолько банален, там просто можно захреначить жаба-код в хттп-запрос, и либа после непойманного эксепшена его выполнит. Да, ок, это - реальная ошибка программиста, и результат полного долбо-ящеро-ибизма, как и отсутствия адекватного тестирования в системе, которая требует подробного тестирования. Тем не менее, я констатировал факт. В более классическом случае, когда выполняется бинарный код, и не в результате того, что программа сама его взяла из сетевого пакета, ни жабист, ни сишарпщик, к примеру, не имеют АБСОЛЮТНО НИКАКОЙ возможности это предупредить, и думать об этом. Они ПОЛНОСТЬЮ БЕСПОМОЩНЫ перед бинарными эксплойтами, ввиду того, что не могут знать, как внутри устроена каждая деталь интерпретатора. Это не значит, что нативный код лучше или хуже, это только лишь производная от того факта, что не все абстракции доступны для анализа. И чем больше абстракций - тем больше дыр. Вы же, увидели в этом страшнейшую религиозную угрозу, будто КТО-ТО ПРЕДЛОЖИЛ НЕ ДУМАТЬ, и начали старательно бороться за свои мирки "нерукожопия", повторяя молитвы о том, что код нужно "писать нормально".

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> случай данного взлома настолько банален, там просто можно захреначить жаба-код в хттп-запрос, 
> и либа после непойманного эксепшена его выполнит.
> Да, ок, это - реальная ошибка программиста, и результат полного долбо-ящеро-ибизма, как 
> и отсутствия адекватного тестирования в системе, которая требует подробного тестирования.

> Тем не менее, я констатировал факт. В более классическом случае, когда выполняется 
> бинарный код, и не в результате того, что программа сама его 
> взяла из сетевого пакета, ни жабист, ни сишарпщик, к примеру, не 
> имеют АБСОЛЮТНО НИКАКОЙ возможности это предупредить, и думать об этом. Они 
> ПОЛНОСТЬЮ БЕСПОМОЩНЫ перед бинарными эксплойтами, ввиду того, что не могут знать, 
> как внутри устроена каждая деталь интерпретатора.

> Это не значит, что нативный код лучше или хуже, это только лишь 
> производная от того факта, что не все абстракции доступны для анализа. 
> И чем больше абстракций - тем больше дыр.

> Вы же, увидели в этом страшнейшую религиозную угрозу, будто КТО-ТО ПРЕДЛОЖИЛ НЕ 
> ДУМАТЬ, и начали старательно бороться за свои мирки "нерукожопия", повторяя молитвы 
> о том, что код нужно "писать нормально".

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру