Опубликован метод обхода в интерпретаторе PHP ограничений, заданных при помощи директивы disable_functions и других настроек в php.ini. Напомним, что директива disable_functions даёт возможность запретить использование в скриптах определённых внутренних функций, например можно запретить "system, exec, passthru, popen, proc_open и shell_exec" для блокирования вызова внешних программ, "eval" для защиты от выполнения строк с PHP-кодом и fopen для запрета открытия файлов...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55935
>разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность.Ну вот шо это такое? И вот опять...
> Ну вот шо это такое?"Философия" PHP.
Философия ПХП: "Давайте пыхнем" )
А кому это надо-то? Мёртвый язык.
Пффф. Сотня другая компаний экономит на программистах нанимая школоту на пыхе
Я бы даже сказал что это определенного отметка качества компании
Если вижно что сайт на пыхе то сразу понятно многое
И что же тебе понятно?
Что в каждом первом сервисном центре работают далеко не сертифицированные гении.
Или что в каждой первой больничке доктора далеко не светила медицины
Или что не каждый электрик знаком с дифференциальным закомом омаЧе ты чушь несешь, давай перестреляем всех плохих специалистов, а оставшиеся будут обслуживать 5% населения, а остальные будут сидеть при лучине и со шкур псалмы читать, вот тогда то заживем..
знаю несколько контор которые дурные деньги влили в проекты на пхп, но код да получился говном все равно
Да, всего-то каких-то 75-80% вёба, если верить w3c. Без тенденции на понижение, чуть волатилен, но уже много лет всё те же 70-80%.Я бы сказал, он единственный живой, при таком раскладе.
> Да, всего-то каких-то 75-80% вёба, если верить w3c. Без тенденции на понижение,
> чуть волатилен, но уже много лет всё те же 70-80%.
> Я бы сказал, он единственный живой, при таком раскладе.Да давайте уж 100%, чего вы. 100% всего веба работает на мёртвом языке.
Ну я же говорю, ошибка в исходном посыле, поэтому ёрничай - не ёрничай, а фак есть фак.
График на W3C выглядит для всех кроме PHP вообще печально. Особенно для MS.
https://w3techs.com/technologies/history_overview/programmin...
Жива пожалуй только жаба, ну и народ как-то с ASP.NET стал переползать не только на PHP, но и на рельсы, поэтому у рельс внезапно неожиданный ренессанс из могилы, но надолго ли.
И вот опять: https://bugs.php.net/bug.php?id=73122 пофиксили 2021-08-18 спустя сообщения 2016-09-20 и присвоения CVE в 2017-11-13. То есть 1793 дня (4.91 года) не фиксили.
>> Ну вот шо это такое? И вот опять...Пили на Си. Вот дался тебе этот ПХП. Проходи мимо.
>>разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасность.
>Ну вот шо это такое? И вот опять...Ну так для php и не должно влиять на безопасность - тут вам не js и не nodejs, тащить к себе х пойми что и исполнять как-то не принято.
А ограничения на использование функций исключительно для себя же и накладывают.
Ах, да поделки вроде вордрпесс забыл
Там как раз левый код плагинов исполняют на ура
Но их за нормальных программистов вроде и не считают
еваль в пхп это не функция, запретить через эту конструкцию нельзя ( можно модулем ), однако, workaround есть какой нить? Весьма печальный баг
Это бессмысленно, есть миллион способов обойти такие запреты.
Надо запускать от изолированного пользователя в чруте (php-fpm умеет).
От взлома же макакокода типа вордпресс-плагинов не обезопасит ничто, вопрос в том чтобы ущерб был изолирован.
пару скиньте способов обойти запрещеные функции (из миллиона) не используя
уязвимостей. Я запишу и буду иметь их ввиду (условие - я могу загрузить свой код на шаред, допустим), open_basedir естественно задействован.Мне реально интересно тк есть шареды.
Открыть файл в tmpdir, sessiondir или вообще в php://memory, записать туда код, проинклюдить.
Для shared единственное решение с учетом необходимости поддержки htaccess - mpm itk.
Ещё можно просто записать в сессию и проинклюдить session file, полный путь к нему вычисляется легко.Ограничения типа openbasedir обходятся разными стримами, тем же imap+file:/
> Ещё можно просто записать в сессию и проинклюдить session file, полный путь
> к нему вычисляется легко.
> Ограничения типа openbasedir обходятся разными стримами, тем же imap+file:/долгоже вы гуглили.
сессии на шаредах никто не хранит в файлах, для этого есть специальные обработчики.
tmpdir на шаредах тоже у каждого свой.imap ? Речь полагаю о CVE-2018-19518 ?
вообщем нет никаого мильона - это все громкие необдуманный слова
и зачем было минусовать первый месседж, что это вам дало?
Я ничего не минусовал.
Какая разница, свой или чужой tmpdir? Главное чтобы было куда записать. На большинстве хостов вообще всегда можно найти куда, какой-нибудь upload dir с выставленными туда 777, потому что в наркоманской схеме с modphp под юзером капча иначе никак.
Шареды, где сессии не в файлах, можно пересчитать по пальцам.
CVE тот, а сколько ещё стрим врапперов в php? Вы лично все проверили?Подход с modphp под апачевым юзером и попытки заткнуть дыру фиговым листком в виде open basedir и disabled functions - это как пытаться перечислить места, где в общаге могут спрятать незаконные вещества. Да везде могут.
Либо itk, либо fpm с отдельными пулами, чрутом и каким-нибудь эмулятором htaccess. Все остальное - дыра по определению.
itk, да. Лучше пока не придумано.
fpm можно, но в рамках шареда это обречено :D
Гуглить мне нафиг не надо, это такие школохостеры гуглят идиотские списки для disabled functions, выпиливая безобидные функции типа parse_ini_file, но оставляя create_function или proc_open. А задизейблить reflection вообще никому в голову не придёт, потому что все di-контейнеры поотваливаются типа ларавела, но через ReflectionFunction прекрасно делается eval.Короче, дайте название вашего хостинга, чтобы обходить стороной. Не то, чтобы мне когда-либо в жизни понадобился шаред, но чтобы хоть люди знали.
Самое поганое - это выпиливание set_time_limit().
Пара новых клиентов таки нарвалась и ноет, но раз давно собирался - на днях буду все версии движка на шаредах патчить, чтобы функция не выпиливалась, но и лимит не меняла.
(preload с эмуляцией не предлагать - это отдельные грабли)
Слепил мелкопатч, добавляющий опцию strict_time_limit, в три строчки, не считая пустой.Для 8.0 тут: https://pastebin.com/t8DszAH2
Для остальных лепится по образу и подобию.Не забываем заодно патчить флаги переменных для ini_set, иначе можно будет объехать через ini_set('max_execution_time'), а отключать ini_set - ну так себе затея, его каждый второй для display_errors использует.
С другой стороны флаги можно не патчить, а просто забить как admin_value, но я предпочитаю на хостингах оба действия сразу, для надёжности.
Сессии на шаредах как раз и хранят в файлах в основном. Потому что это единственный вариант с предсказуемой совместимостью.Всё остальное налетает на проблему с блокировкой этих самых сессий, если её нет - сюрпризов будет море. Я как-то подкостыливал сессии в MySQL с блокировкой через сам MySQL, но мне не понравилось, надо лишний коннект держать всё исполнение, а MySQL не резиновый.
Как вариант ещё хранить в каком-нибудь KV (memcached например), а блокировать продолжать пустыми файлами, но пока лень возиться с доработкой, всё и так работает.
использую как раз memcached, где это возможно, с проблемами вроде не сталкивался (форумы, разного рода шареды, просто хостинги)
тут, конечно, мильон экспертов локалхоста, но у меня еще и винты шифрованы, потому
иметь большое кол-во мелких и вообщем то ненужных файлов не слишком эффективно для io (на мой, конечно, взгляд), зачем, когда можно иначе.
Большинство типового софта на PHP ожидает, что сессия будет блокирующая, и пишет состояние по ходу всего выполнения, получается транзакция. Где не надо - выдаётся session_write_close() эксплицитно. Если сессия неблокирующая - два параллельных сеанса запишут сериализованные данные сессии в неизвестном порядке, более поздняя сессия может отписать данные раньше более ранней, и данные от поздней сессии будут потеряны. Слишком явного проявления у данной фигни может не быть, но более свежие данные от последнего запроса могут теряться.
тут Вы правы, такое действительно может случится, особенно если в сессии счетчики всякие и тп, я как то не сталкивался с подобной проблемой, но информация очень полезна - спасибо,
вообще идеально конечно поюзать редис для этих дел (там есть своя блокировка)
С редисом то же самое, что с мускулем - придётся коннект удерживать всё время выполнения скрипта, до session_write_close() или завершения. Короче либо файл, либо пара сокетов к RDBMS/DDBMS/KVDBMS, хрен редьки не слаще. Всё зависит от того, где узкое место.
(пара сокетов - в смысле один на запрос на клиенте, один на запрос на сервере)
Ну и с DBMS обычно выходит неприятно, если они кластерные - нетранзакционные блокировки типа мускульного GET_LOCK() как правило действительны только в пределах ноды, а транзакционные блокировки в кластерных RDBMS как правило разрешаются через lock timeout на коммите, что в случае сессий уже слегка поздновато.
>в предложенном эксплоите используется уязвимость, о которой разработчикам PHP было сообщено более 10 лет назад, но они посчитали её несущественной проблемой, не влияющей на безопасностьНу вот. Пхп безопасен, говорили они. Это код макак говорили они цукер все вылизал, уповали они...
Кто говорил, что PHP безопасен? А в Facebook изначально культивировались move fast and break things и лишь несколько лет назад приоритеты поменялись. Кроме того в Facebook используют Hack, а не PHP.
Так в НАШЕЙ hhvm никаких уязвимостей и не найдено!
Мои макаки все вылизали, сперва еще и хвостами подметя.Но не для вас.
Хвостиком задели, оно и упало.
Ну ведь безопастно же ж!
а не проще будет открыть /proc/self/mem на запись и пропатчить интерпретатор на игнорирование disable_functions?
Такой себе баг конечно... Я не представляю кому в нынешние времена вообще может потребоваться disabled_functions. Я бы эту фичу лет 5 назад уже deprecated сделал бы.
И почему фанатики всегда говорят: такой себе баг конечно...
И ни в какую не хотят видеть, что строян есть и давно был?
Не знаю кто там чего говорит, я просто изначально считаю бредом возможность отключать какие-то функции и классы языка средствами самого же языка, я такого вообще нигде кроме пыха не видел. Во времена шаред-хостингов оно может и имело какой-то смысл, но сейчас когда всё в контейнерах по большей части крутиться у всех да в виртуалках нафига чё-то там ограничивать. Формально это баг, да, но на деле я таковым его не считаю, как видимо и разработчики php судя по давности дней )
Немедленно требуем прекратить публикацию подобных новостей!После них сервер НАШЕГО Научного Технического Центра становится частью ботнета!
Пишите на Rust - самый безопасный язык с вежливым сообществом.
Что значит "пишите"? У нас открытое и сообщество! Скорее становитесь активистом и присылайте пулл-реквест!
Нет ни одной темы чтобы кто-то не нагадил этой карозией.
Тот, кто пользуется disabled_functions и думает, что это "безопасно" - сам себе злобный буратино.Давно уже в php-fpm есть возможность запускать изолированные пулы.
Толку изолировать пулы, когда злоумышленники могут исполнить свой код?
Как только получается исполнить код, дальше уже все просто.
Используя пхп, надо исходить из того, что исполнится там любой код. Задача минимизировать ущерб.
Для себя (для "ручных" проектов) disabled_functions значения не имеет.
А на шаредах без оных никуда.
Когда они уже догадаются эти костыли disable_functions и disable_classes вообще выкинуть!
Ну какой смысл запрещать system и exec, кроме как доставить геморрой пользователю в результате неожиданного поведения, ввиде запретов этих ф-ий?
>Ну какой смысл запрещать system и execчтобы не исполнять ничего внешнего, кроме самого пхп кода. Мне интересно, почему они эти функции в отдельный подключаемый модуль не вывели до сих пор, а сделали костыль со списком отключаемых функций, который как показывает практика себя не оправдывает.
>>Ну какой смысл запрещать system и exec
> чтобы не исполнять ничего внешнего, кроме самого пхп кода.А если нужно в веб-интерфейсе админки:
- получить список crontab, а иногда изменить его?
- получить список и кол-во запущенных процессов pgrep -cf чтобы не плодить больше одного и подключаться к существующему, на котором крутится, например, паблишер на redis для SSE, а если его нет, то запустить?
- получить статус systemd-юнита на котором крутится или redis или websockets и при желании запустить или остановить их?
- изменить режим доступа загружаемых файлов и создаваемых миниатюр? (дать права на чтение/запись группе, chmod тоже системный вызов)Это только то, что мне нужно было и что без системных вызовов сделать невозможно!
На баше, жабаскрипте, луа, пёрле. пихоне, руби, жабе есть вообще такой функционал обрезания собственного хвоста, в результате чего любой код станет непредсказуемым, ведь запретить можно что угодно, даже например, ф-ии implode()/explode() и класс Exeption?
Предполагаю что нет, такое недоразумение я встретил только в PHP.
>А если нужно в веб-интерфейсе админки:админки чего? если у вас панель управления сервером на пхп - ок, значить туда по определению будет ограниченный доступ.
пс: а скрипт эксплоита чет не сработал у меня
>>А если нужно в веб-интерфейсе админки:
> админки чего? если у вас панель управления сервером на пхп - ок,Админки сайта.
Ну например, если используется SSE для сообщений или обновления страницы в реальном времени, да ещё и крон для каких-то задач, обычно связанных с очисткой, у меня это типичный веб-проект. и как минимум, контролировать их работу (ну статус что какой-то скрипт или сервис запущен и что в кроне присутствуют такие-то задачи) нужно через админку.
У меня язык не поворачивается это назвать управлением сервера, даже если нужно запускать и останавливать что-то или изменять крон-задачи.
> У меня язык не поворачивается это назвать управлением сервера, даже если нужно
> запускать и останавливать что-то или изменять крон-задачи.админ тогда для чего нужен?
>> У меня язык не поворачивается это назвать управлением сервера, даже если нужно
>> запускать и останавливать что-то или изменять крон-задачи.
> админ тогда для чего нужен?Админ сайта а не сервера. :-)
На shared-хостингах где режут функции, крона тоже обычно нет. Нет крона, нет и потребности с ним взаимодействовать. SSE на php у которого время выполнения запроса от Apache ограничено 30 секундами и запрещён запуск демонов? Забудьте. Сайт на зарезанном shared хостинге это только файлы и локальная база-данных, доступа к крону, файлам за пределами директории сайта, сети быть не может. Функции режут только на Ultra low cost хостингах.
Для всего вышеперечисленного есть VPS'очки, но там порожек вхождения немножко другой.
А тем, кто VPS'очкой баловаться не хочет - обычно не нужен никакой крон, они его и готовить-то не умеют.
>Предложенный метод атаки основан на изменении значений параметров в памяти процессаДействительно, несущественная атака. Если у вас есть возможность модифицировать саму виртуальную машину, контролирующую безопасность, то о какой безопасности можно вести речь?
Шо, опять?
Аноним: PHP, у вас дыра в безопасности!
PHP: Хоршо, что у нас хоть что-то в безопасности.
если злоумышленник может выполнить этот код, то какая разница, запрещены какие-то функции или нет?
>если злоумышленник может выполнить этот кодну код пхп и исполнения внешнего бинарника - разные понятия.
Внешний код можно и через FFI вызвать.
> Внешний код можно и через FFI вызвать.ну так в пхп это отключаемый модуль, который появился относительно недавно.
to big to fail ....
поправили, кстати https://github.com/php/php-src/commit/15197702888f0641c1e9f6...
а вообще, как выше упоминалось, полагаться на disable_functions само по себе глупость.
Здравствуйте. Меня зовут Вадик, мне 9 лет. Я очень хочу стать хакером, потому что мне поставили двойку и мне нужно ее удалить. Потому что мама будет ругать и не даст денег на поход в аквапарк с друзьями.
Дневник электронный написан на php. Подскажите что делать и как быть! Буду очень благодарен за помощь!
Дорогой Вадик !Несколько дней внимательно понаблюдай за папой и 100% ты увидишь места где он прячет заначку. Возьмёшь оттуда 10 тысяч рублей (больше не бери - папа заметит !) и относишь учительнице прося удалить двойку - уверен что она не откажет такому смышлённому мальчику.
Хороошего тебе отдыха в аквапарке !
Уважаемый suffix, спасибо Вам за предложение! И у Вас классная аватарка!
Но воровать у мамы деньги - это не хорошо! Это в двойне мне будет больно, когда вскроется пропажа. Да и у мамы на карточке все.Я хотел бы попробовать по-взрослому исправить ошибку и разобраться по-мужски. Мне мама говорит, что мужчина должен решать проблемы сам. Поэтому я пришел к вам и обратился за помощью.
Вадик! Вышла НАША новейшая ОС ROSA 12, она полностью готова для дома! Расскажи учительнице про важность суверенитета. Что бы его обеспечить, она должна установить её на компьютер с дневником и протестировать. Так у тебя останутся папины 10 тысяч и одноклассники тебе ещё добавят! В качестве благодарности добровольно пожертвуй их НАМ!
Уважаемое сообщество вежливых пользователей Rosa Linux, зачем дома? Сервер с электронным дневники в гороно находится. Мария Ивановна (учительница) не сможет там его установить. У нее полномочий таких нет. Хоть она и учитель по информатике, но говорит все время про windows,и что он лучше всех. Потому что windows честно зарабатывают, а все эти спо, которые ее заставляет кто-то изучать, они не честные.У меня нет ни 10тыс ни папы. Он ушел от нас, сказав, что ответственность - это слишком сложно и ему приятнее ходить с друзьями в баню. Собрал свои принадлежности для укладки бороды и ушел.
Я конечно Вам очень благодарен, но чтобы пожертвовать, надо это сперва получить.
Как мне исправить оценку в дневнике на php? Я готов отдать 5 тыс из маминого вознаграждения на аквапарк!
Вадик! Гороно - это ещё лучше. Расскажи им про важность суверенитета. Что бы его обеспечить, они должны установить новейшую ОС ROSA 12 на все компьютеры и протестировать. И про учительницу, которая не понимает важность суверенитета, расскажи. Тогда одноклассники не только добавят за дневник, но и оплатят твой поход в аквапарк. А мамины 5 тысяч пожертвуешь нам, главное - добровольно, тогда всё будет честно, без обмана.
Вежливое сообщество ROSA Linux, а в данном случае суверенитет кого от кого, я не очень понимаю?
Вот в этом слове Linux и даже Rosa не русские буквы. Мне интуиция подсказывает, что-то тут не так!
Я не хочу денег одноклассников. Мне нравится девочка Оля, она сидит со мной за одной партой. Я хочу отвести ее в аквапарк. Как это будет выглядеть, когда она будет знать, что весь класс на это скинулся.
Она говорит о том, что ей нравятся благородные и честные рыцари на белых пони.
Вадик! Решай, что для тебя важнее: понять, или девочка Оля. Решил? Вот и молодец! Просто повторяй про важность суверенитета! Расскажи в гороно, что ROSA означает Russian Operation System & Application. Рашн, значит Российская, и этим всё сказано! Если же будут дальше противиться, назови их либералами! Это удар ниже пояса, он сработает! Вот где настоящее хакерство - социальная инженерия, а не какой-то там php! Великий Кевин Митник написал про это книгу. Потом объяснишь Оле, что класс не скинулся, а ты честно заработал на Любителях Опенсорсной Халявы своим умом!
Вежливое сообщество ROSA Linux, я начинаю потихоньку понимать, к чему Вы клоните. К нам дядя приходит на внеклассные занятия и рассказывает, как плохо быть либералом.
Но мы с пацанами ниже пояса не бьем, когда в столовке за булочку спорим. Только в лицо ну или в солнышко.
С заработком понял. Дядю Кевина Митника почитаю!
Но как быть с наказанием от мамы?
Ведь Оля в бикини так близка, а тут угол и горох. :(
> Вежливое сообщество ROSA Linux, я начинаю потихоньку понимать, к чему Вы клоните.
> К нам дядя приходит на внеклассные занятия и рассказывает, как плохо
> быть либералом.
> Но мы с пацанами ниже пояса не бьем, когда в столовке за
> булочку спорим. Только в лицо ну или в солнышко.Так ты же не ногой ударил, значит за удар не считается! Просто сказал, взломал защиту этих упёртых луддитов.
> С заработком понял. Дядю Кевина Митника почитаю!
> Но как быть с наказанием от мамы?
> Ведь Оля в бикини так близка, а тут угол и горох. :(Забудь про наказание! Когда гороно установят НАШУ новейшую ОС ROSA 12 и протестируют, во всём городе двойки исчезнут! Подумай только! Можно смотреть не только на Олю, у любой девочки не будет двоек!
>Так ты же не ногой ударил, значит за удар не считается! Просто сказал, взломал защиту этих упёртых луддитов.А вот это уже хак, спасибо! Буду знать!
>во всём городе двойки исчезнут! Подумай только! Можно смотреть не только на Олю, у любой девочки не будет двоек!
Но если двойки исчезнут у всех, то какой смысл Оле смотреть на меня? Или другим девочкам?
А что за такая распрекрамная новейшая ОС ROSA 12? Чем она принципиально отличается скажем от Альт Линукс К рабочей станции 9? Если я ее себе поставлю, я смогу сделать чтобы двойки исчезали у кого я захочу?
Или наоборот что-то у меня будет исчезать?
>>Так ты же не ногой ударил, значит за удар не считается! Просто сказал, взломал защиту этих упёртых луддитов.
> А вот это уже хак, спасибо! Буду знать!Правильно, это как топором, если будут упираться. Если хочешь аккуратнее, скажи им, что надо помочь потестировать, у нас любят помогать.
>>во всём городе двойки исчезнут! Подумай только! Можно смотреть не только на Олю, у любой девочки не будет двоек!
> Но если двойки исчезнут у всех, то какой смысл Оле смотреть на
> меня? Или другим девочкам?Потому что ты великий хакер и спас всех от двоек. Только скажи Оле заранее.
> А что за такая распрекрамная новейшая ОС ROSA 12? Чем она принципиально
> отличается скажем от Альт Линукс К рабочей станции 9? Если я
> ее себе поставлю, я смогу сделать чтобы двойки исчезали у кого
> я захочу?
> Или наоборот что-то у меня будет исчезать?ОС ROSA 12 полностью готова для дома, на днях вышел RC1. НАШ инженер по качеству ROSA Linux Володий Потапов обещал где-то вначале следующей недели релиз. Потом два года надо её тестировать. И только после этого начнутся продажи. Значит что? В ней хватает ошибок. При тестировании в гороно исчезнут двойки и всё остальное, но никто не виноват. Ты молодец, агитировал за суверенитет. А если бы что-то делал с сервером, это нарушения уголовного кодекса.
Уважаемое Вежливое сообщество ROSA Linux, пообщавшись с Вами я сегодня многое понял.Я вижу вы умное сообщество, деловое! Знаете как суверенитетом торговать. И ведь действительно на этом можно заработать и спасибо, что оказали честь влиться в ваши стройные ряды!
Но! Сегодня я продам суверенитет. Отведу Олю в аквапарк.
Завтра Оля скажет, что хочет своего собственного пони, мне что делать? Маму продавать?
А потом Оля захочет в Артек на лето, мне кого или что продавать?
Нет, так дело не пойдет.Я понял, что двойка - это моя заслуга и получил я ее для того, чтобы ощутить на себе всю последовательность факторов, от небрежного отношения к своей работе, которая сейчас для меня учеба.
Я честно отстою свои два часа в углу на горохе, помогу Оле донести тяжелый портфель после уроков, а аквапарк подождет до лучих времен.Я изучу информатику, математику и другие предметы, чтобы стать хакером, когда стану взрослым. С тем чтобы ловить тех, кто продает наш суверенитет и подвергать их суровому но справедливому суду, который к тому времени я думаю таковым станет.
Потому что Оль, и прочего много, а мама и суверенитет одни.
Всем спасибо за советы и что уделили мне время!
> Я изучу информатику, математику и другие предметы, чтобы стать хакером, когда стану
> взрослым.Не обижайся, Вадик, но не судьба. "Хакер" способен сам найти информацию.
Изучай лучше химию. Катализ, ректификацию, вот это вот всё. Тогда тебе не придётся торговать суверенитетом и глупо палиться на баражничестве штатовского газолина по цене бенза, как одному здешнему пустозвону, за державу обиженному.
А еще подскажите, почему название все на английском языке?
Почему не Русская Операционная Система и Аппликации? Вот смотрю машины все uaz patriot, lada vesta, lada niva travel итд.
Мне вот не понятные эти взрослые игры в суверенитет. У мамы вот лада нива, там по-русски еще написано все. Вот русская машина. До сих пор бегает, хотя 90х годов выпуска. И по-русски называется. А вот что не нашими буквами, оно какое-то все не надежное. Это как-то связано с этим суверенитетом?
Вадик, будь мужиком, ты уже сделал правильный выбор! Не трать время на ерунду! Тебя ждут Оля и будущее без двоек!
дорогой Вадик.есть очень специальные дяди, которые за определенные виды услуг дадут тебе денег на аквапарк, на мороженное, на смузи и на многое еще. если дядя высокопоставленный, то с его помощью можно сделать хорошую карьеру: в зеленом банке, в юриспруденции, в ЗАО "РПЦ", в силовых структурах, в госуправлении, в искусстве и даже в науке (нет, в ИТ не получится).
а двойка - да плевать на нее. хакерство - тяжелый и неблагодарный труд, если слишком успешно хакерить чужие деньги, то можно попасть в тюрьму или к силовикам на кукан.
Уважаемый СеменСеменыч777>есть очень специальные дяди, которые за определенные виды услуг дадут тебе денег на аквапарк, на мороженное, на смузи и на многое еще. если дядя высокопоставленный
Я не понимаю что это за специальные дяди и что мне за это надо делать!
Раз Вы знаете, наверное сами это делали. Расскажите пожалуйста!>а двойка - да плевать на нее
Это Вам плевать, а меня мама будет в углу держать на горохе пару часов и выговаривать неприятные вещи.
А я с Олечкой в аквапарк хочу. Хочу посмотреть на нее в купальнике. Мне вот это интересно!>хакерство - тяжелый и неблагодарный труд, если слишком успешно хакерить чужие деньги, то можно попасть в тюрьму или к силовикам на кукан.
Я плохо учился на информатике и теперь нужно тяжело и неблагодарно потрудиться, чтобы исправить положение. Я не хочу чужие деньги! Я хочу мамины плюс не стоять в углу. И Олечку хочу порадовать.
Неужели за какуб-то двойку меня посадят в тюрьму? Тем более я в новости прояитал, что решить мою задачу вроде бы просто. Вон сколько лет эксплойт был. А наши пожилые администраторы в гороно они любят старые программы. Новые версии не ставят, говорят, что это не нужно. Поэтому я уверен, что этот эксплойт справится.
Подскажите, где его найти и как с его помощью 2 исправить на 5?!
дорогой Вадик.я подумал над твоими вопросами. и вот что предлагаю: идешь в церковь, ищещь там священника который самый красивый, ухоженный и чтобы от него хорошо пахло, подходишь к нему и говоришь: здравствуйте, я Вадик, мне 9 лет, хочу тоже стать священником. что мне для этого надо делать ? кроме того мне не хватает денег на православные книжки с картинками (про аквапарк и Олечку говорить не надо !), что я мог сделать для этого прямо сейчас ?
то же самое - к чиновникам-госуправленцам, только на что не хватает денег - придумай сам. чем выше должность тем лучше. к остальным с улицы лучше не лезть, могут не понять.
если ты правильно выбрал дядю-спонсора (называется "папик"), то он тебе сам все покажет, расскажет и научит.
а ко мне лучше не приставай, я не по этим делам.
> Неужели за какуб-то двойку меня посадят в тюрьму
нет. но на учет возьмут. потом могут заставить делать нехорошее.
Уважаемый СеменСеменыч777, у нас священники все с красивыми, светлыми, одухотворенными лицами и благоухают благовониями.
В 9 лет нельзя стать священником, можно податься в монастырь по благословению, чтобы посвятить свою жизнь служению Господу. Но тогда мне придется забыть о Оле.
Поэтому план мне видится неэффективным.
Если сказать, что мне на православные книжки не хватает, батюшка даст мне православную книжку и угостит вкусной бездрожжевой выпечкой.
Делу это тоже не поможет :(Чиновники госуправленцы ездят в больших черных машинах и на улице не встречаются.
А про "папика" я слышал от маминых подружек, когда они на кухне общались, что это когда она берет что-то в рот у своего друга, а тот ей деньги платит.
Это Вы так вот мне предлагали и говорили, что знаете мол как это работает? А я старшим верю, если говорят, значит пробовали.
СеменСеменыч777 я так не могу. Спасибо за совет, но я не готов на это пойти даже ради Олечки. Я лучше в углу на горохе постою. И Вам таким бы больше не советовал заниматься! Батюшка в храме нам говорил, что за это в геене огненной гореть. И Вы знаете, я ему верю. От него исходит такая доброта, что просто завораживает. А злые люди они отталкивают.
Не делайте так больше, мне будет очень грустно, если бесы Вас на сковородке жарить будут!>а ко мне лучше не приставай, я не по этим делам.
А к кому мне приставать? Я пришел на форум и задал вопрос. Вы ответили в числе других дядей. Там вот дяди мне разные советы давали, правда с php не связанные, но по крайней мере ничего противоестественного человеческому естеству мужскому.
А Вы сперва дали совет, а мне мама говорила слушай взрослых, они знают что говорят, потому что все что я спрашиваю, они попробовали на себе. А потом говорите не приставай.Я Вас не понимаю.
>нет. но на учет возьмут. потом могут заставить делать нехорошее.
А им самим двойки не ставили и они лезвием аккуратно из дневника бумажного не вырезали? Это же тоже хакерство получается?
Но их не в тюрьму же забрали, а вон как в серьезных учреждениях бдят покой граждан теперь, от всякой империалистической заразы нас охраняют! О суверенитете рассказывают!
псссст, пацан!не хочешь попробовать немношко FreeBSD?
Доброго времени суток, Михрютка.
У Вас очень забавный никнейм.
А чем мне поможет FreeBSD? Да и я уже решил, что буду исправлять двойку честным трудом. А хакером буду когда подросту и постигну азы точных и других наук. Мне помогло вежливое сообщество ROSA Linux это понять. Продавать суверенитет мне не по совести.
> Доброго времени сутоквот ты и спалился, проклятый фидошник
Уважаемый Михрютка, просто у меня вечер. А в каком Вы часовом поясе я не знаю. А мама учила меня проявлять уважение к старшим. Поэтому чтобы не ставить Вас в неловкое положение своим добрый вечер, я употребил более нейтральное приветствие.Какой Вы агрессивный. Михрютка - это как челмедведосвин?
Посмотрел в яндексе что такое фидошник.
Не понял кто и за что проклял эту старую сеть?
У меня вот vk есть, telegram и whatsapp. Мы даже с учителями там общаемся и получаем задания, потому что школьный наш портал знаний на php давно лег, когда на удаленку перешли.
А что плохого в фидо?
Дорогой вадик,Попробуй разобраться в коде PHP, мб и найдёшь новую уязвимость. Интерпретатор написан на C, так что придётся его выучить (это не сложно).
Уважаемый BratishkaErik, Мария Ивановна учит нас на уроках python. Рассказывает о том, что так по стандарту министерскому положено, но при этом говорит, что самые классные вещи пишут на ассемблерах и с/с++. Очень уважительно отзывается об этих людях. Говорит о их уме и всесторонней развитости. Закатывает глаза когда о них говорит.А что php? Вот у нас учебный портал на moodle и он не работает. Мы с пацанами считаем, что еслибы его на plone/zope написали, такого бы не было.
> если ты правильно выбрал дядю-спонсора (называется "папик"), то он тебе сам все
> покажет, расскажет и научит.Сёма, таки с одной стороны это статья, а с другой - зашквар. Посему пшло вон отсюда.
Пересобрал PHP 5.3-8.0.
Похоже, что на PHP 5.3 проблема не воспроизводится.
Хреновый баг, да...
Надо будет тоже заткнуть во всех сборках (у нас 5.2-8.1rc :D), даже если не воспроизводится.
С другой стороны, я давно подумываю, не открыть ли юзерам всё вплоть до shell_exec, всё равно они изолированы, поэтому не так критично.
У вас тут клуб некрофилов чтоли ?
> У вас тут клуб некрофилов чтоли ?Легаси - это полный ппц.
Куча клиентских сайтов на 5.2, работающих (!), и обновлять их пока никто не собирается, естественно. Некоторые из них даже на 5.3 не заведутся.
Без PHP не было бы сейчас половины сайтов. Сидели бы все в консолях терминалов
Половина сайтов не нужна. Та самая причем половина, на пыхапы.
За что ж вы так Wikipedia?
Нам в школе Мария Ивановна запрещает использовать википедию в качестве источника при проведении внеклассной работы.
Говорит, что там все кому не лень пишут. И много чего еще говорит.
Было исследование на нравнение количества допускаемых ошибок и неточностей в wikipedia и обычных энциклопедиях. Марие Ивановне надо бы ознакомиться :)
s/нравление/сравнение/
Кто исследовал и за кокой прайс?
Посмотри даже по софтинам, насколько все разнится даже от англ варианта. Да.
И не только сайтов.
Из примеров - про FreePBX, думаю, все слыхали.
На пыхе не только сайты пыхают, уже давно.
(код этого FreePBX, правда, лютый отстой, наколенное самоделкино, ещё хуже вротпресса... НО... работает, и работает хорошо)
Ну это таки не баг а фича! Можно реализовывать phpшные штучки, даже если хостер ограничил их в php.ini!