forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 , opennews (ok), 06-Янв-24, (0) [смотреть все]

Скрыто модератором, Аноним (6), 10:46 , 06-Янв-24, (6) +5 //

Скрыто модератором, ПомидорИзДолины (?), 10:53 , 06-Янв-24, (8) –5 //

Скрыто модератором, 12yoexpert (ok), 10:56 , 06-Янв-24, (9)
Скрыто модератором, Аноним (6), 10:57 , 06-Янв-24, (10) +7
Скрыто модератором, Аноним (6), 11:02 , 06-Янв-24, (11) +1
Скрыто модератором, Аноним (-), 11:14 , 06-Янв-24, (14) +6 //

Скрыто модератором, ПомидорИзДолины (?), 14:17 , 15-Янв-24, (127)

- const unsigned sum unsigned name size value size size_t sum if q, Аноним (19), 12:20 , 06-Янв-24, (19) +2 //

Безопасность в коде определяется не отсутствием дыр, а возможностью программист, Агл (?), 13:13 , 06-Янв-24, (22) –1 //

Если попало в новости, значит, вовремя не прикрыли , Аноним (23), 13:34 , 06-Янв-24, (23) //

Как раз вовремя, потому что не пришлось втихую патчить , Аноним (26), 14:34 , 06-Янв-24, (26) +1

Обезвреживать, глеб егорыч, Аноним (50), 04:53 , 07-Янв-24, (50)

По версии местных ыкспертов, программисты, которые допускают такие ошибки, должн, Аноним (32), 15:20 , 06-Янв-24, (32) //

Именно так, потому как надо точно понимать то что ты пишешь и хотя бы владеть ин, Аноним (37), 18:19 , 06-Янв-24, (37) +1 //

гугловцы утверждают, что мало помогает, прям совсем Но да, поверю тебе, что они, Аноним (44), 23:39 , 06-Янв-24, (44)

Наоборот, гугловцы предлагают одни из лучших инструментов для тестирования и они, Аноним (55), 09:22 , 07-Янв-24, (55)

Судя по тому что практически в любом мало мальски крупном проекте был юи такие о, Аноним (86), 21:27 , 07-Янв-24, (86)

зачем вообще писать на С генерируя такие конструкции, Аноним (6), 15:45 , 06-Янв-24, (35) +2 //

А что и на что вы предлагаете заменить , Аноним (38), 19:11 , 06-Янв-24, (38) +1 //

Тут гогнодизайн в самом API вместо того, чтобы size ф-ии как, и везде в мире,, Аноним (67), 16:38 , 07-Янв-24, (67)
Ну и qAddOverflow зачем-то берёт последний аргумент по указателю, хотя в да, Аноним (67), 16:44 , 07-Янв-24, (68)

А ты вообще в курсе _ЧТО_ такое Qt не думаю - , _ (??), 20:32 , 06-Янв-24, (40) +1 //

Qt Что-то из области маркетинга, видимо , Аноним (101), 13:14 , 08-Янв-24, (101)

Кути пришли из 90х Ты помнишь плюсы тех лет , Аноним (43), 22:14 , 06-Янв-24, (43) –1 //

а из каких годов пришел HTTP 2 , Советский инженер (ok), 10:32 , 07-Янв-24, (61)

А если всё проверять то будет не производительно и код дольше писать Окажется, Аноньимъ (ok), 04:19 , 07-Янв-24, (49) //

В данном случае это особенность формата HPACK, он хитрый и нужно много проверять, Аноним (67), 16:48 , 07-Янв-24, (69) //

Автоматически увеличивает строк кода в сишечной программы в 3-5 раз Соответстве, Аноньимъ (ok), 17:12 , 07-Янв-24, (76)

Чушь пишеь, это c и здесь всё можно посахарить до уровня питона, Аноним (67), 17:35 , 07-Янв-24, (79)

Сишка и сипипишка конечно отличаются Сишка просто несколько хромосом лишних име, Аноньимъ (ok), 18:29 , 07-Янв-24, (81)

Какая ты всё-таки бестолочь C тормоз и не гибкий ЯП, Аноним (67), 19:25 , 07-Янв-24, (82) –1

Если С - не гибкий, пишите на F , Аноньимъ (ok), 12:39 , 08-Янв-24, (100) +2

Ага, каждая программа гвоздями прибита к конкретной Net Core, дофига зависимост, Аноним (90), 21:48 , 07-Янв-24, (90) –2

Net поддерживает компиляцию в нативный код как и Java к слову, но с ограничени, анон (?), 23:24 , 07-Янв-24, (91)
У С дела с этим гораздо ХУЖЕ И вообще, дотнетовские программы то обычно жаст в, Аноньимъ (ok), 12:18 , 08-Янв-24, (99)

жаст котегов себе заведи жаст пяток Ну чтобы выяснить, что кроме жаст ещё нуж, Котофалк (?), 09:27 , 09-Янв-24, (117)

Просто кому-то захотелось выпендриться и написать феерическое const unsigned ч, cheburnator9000 (ok), 13:11 , 07-Янв-24, (63)
Размер то они проверили, но не осилили сложить два unsigned без переполнения, Аноним (67), 17:15 , 07-Янв-24, (77)

При каких условиях можно достичь 2 ГиБ данных на один HTTP-заголовок 0_o, Аноним (20), 12:35 , 06-Янв-24, (20) +3 //

Куки OAuth2, например Если они оказались всего 4 Кб, то вам просто повезло, выд, Аноним (23), 13:37 , 06-Янв-24, (25) +1
Многие уязвимости как раз происходят, котому что кому в голову придет посылать , Аноним (54), 08:03 , 07-Янв-24, (54) +2 //

Не, это не так работает Присылается 1 байт, а в заголовке указывается что на са, Аноним (67), 16:53 , 07-Янв-24, (72)

Это защита от намеренных атак на протокол, клиент сервер могут прислать что угод, Аноним (67), 16:52 , 07-Янв-24, (71)

БезопасТный в этом случае не помог бы , Аноним (26), 14:36 , 06-Янв-24, (27) +3 //

Помог бы Если программа не существует, в ней 0 ошибок , Аноним (55), 10:00 , 07-Янв-24, (58) –1

А откуда такие высокие номера версий, сразу 4 и 5 В 6 2 x например последняя 6, nora puchreiner (?), 14:36 , 06-Янв-24, (28) –2 //

Так коммерческие версии же Их открывают только через год , Аноним (29), 14:43 , 06-Янв-24, (29) +1 //

Они вроде собирались переходить на открытие исходников коммерческой версии через, Аноним (30), 15:09 , 06-Янв-24, (30)

Пора на slint переходить , Аноним (34), 15:42 , 06-Янв-24, (34) –1 //

Переходи, разрешаю , Аноним (55), 09:26 , 07-Янв-24, (56) +1 //

Перешел Прикольно , Аноним (103), 14:58 , 08-Янв-24, (103)

В расте в релизе по дефолту отключены проверки на переполнение чисел Там были б, Аноним (95), 10:22 , 08-Янв-24, (95)

Замечу, что это в том числе следствие подхода 171 Qt 8212 это экосистема 1, Аноним (36), 16:21 , 06-Янв-24, (36) +2 //

Так всё порезано на модули Используйте себе на здоровье только QtGui, если надо, Аноним (26), 02:15 , 07-Янв-24, (46) +3 //

Что в самом Qt GUI багов и недоделанных фич мало, что ресурсы разбазаривают на , Аноним (65), 13:36 , 07-Янв-24, (65) //

Ну как бы всё это можно использовать и в приложении гуишном, например, впн-клиен, Аноним (20), 15:03 , 07-Янв-24, (66)
Опять же, если нужно кроссплатформ, то практически безальтернативно А так пороб, Аноним (26), 21:06 , 07-Янв-24, (83)

libcurl кроссплатформенна , Аноним (90), 21:40 , 07-Янв-24, (88)

Вколько раз говорили тулкиты зло Закопать свою реализцию и заменить на libcurl, Аноним (39), 20:10 , 06-Янв-24, (39) +1 //

до тех пок пока в libcurl не найдут прекрасное PS опенет заполонили какие, _ (??), 20:36 , 06-Янв-24, (42) +1 //

Автор libcurl занимается написанием http-библиотеки профессионально Авторы Qt -, Аноним (45), 01:17 , 07-Янв-24, (45) +1 //

Да он дырявый по самые помидоры , Ананимус (?), 02:19 , 07-Янв-24, (47)

Да вроде нетhttps github com curl curl issues, Аноним (55), 10:04 , 07-Янв-24, (59)

Да точно, посмотри список их CVE , Ананимус (?), 11:06 , 08-Янв-24, (96)

Но не умеет писать нормальную документацию В частности, нет обзорной справки о , Аноним (67), 17:08 , 07-Янв-24, (74)

У меня документация никаких проблем не вызвала , Аноним (90), 21:38 , 07-Янв-24, (87)
Очень спорное утверждение libcurl используется в git, cmake, rsyslog, libreoffi, Ананимус (?), 11:11 , 08-Янв-24, (97)

Она же на С, а не на С , anonymous (??), 03:58 , 08-Янв-24, (94) +1

Зачем работодатель платит тебе зарплату если проще заменить тебя на более толков, cheburnator9000 (ok), 13:07 , 07-Янв-24, (62) +1 //

Более толковый человек уже наверняка где-то работает, Аноним (67), 17:38 , 07-Янв-24, (80) +1

Скрыто модератором, ОШИБКА Отсутствуют данные в поле Name (?), 20:33 , 06-Янв-24, (41)
Учитывая огромный объем проекта Qt всего одна уязвимость такого рода это не прос, Аноним (55), 09:59 , 07-Янв-24, (57) +3 //

Просто на Qt мало чего сделано, где могут искать уязвимости Только неадекват бу, Аноним (67), 17:11 , 07-Янв-24, (75) //

Интересно, проект KDE согласен с твоим мнением , Аноним (26), 21:09 , 07-Янв-24, (84) //

KDE - это абсолютно неважный код Судя по тому, что плазма по-прежнему падает , Аноним (90), 21:43 , 07-Янв-24, (89)

И самое странное, что она падает только у тех, кто ей не пользуется , Аноним (92), 23:30 , 07-Янв-24, (92) +3

Проект KDE может иметь какое угодно мнение, но оно никого не волнует с их менее , Аноним (67), 18:17 , 08-Янв-24, (111)

32 из 7 23 Linux-десктопы всех десктопов , Аноним (123), 15:29 , 09-Янв-24, (123)

хм у QT есть свой http2 удивлен, Аноним (124), 00:34 , 10-Янв-24, (124)

Сообщения [Сортировка по времени | RSS]

54. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +2 +/–

Сообщение от Аноним (54), 07-Янв-24, 08:03

Многие уязвимости как раз происходят, котому что "кому в голову придет посылать 2Гб хидер?"

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

72. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 " +/–

Сообщение от Аноним (67), 07-Янв-24, 16:53

Не, это не так работает. Присылается 1 байт, а в заголовке указывается что на самом деле много больше. Гогнокодеры, которые не валидируют данные, в итоге получают выход за границы буфера

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	54. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+2 +/–
	Сообщение от Аноним (54), 07-Янв-24, 08:03
	Многие уязвимости как раз происходят, котому что "кому в голову придет посылать 2Гб хидер?"
	Ответить \| Правка \| К родителю #20 \| Наверх \| Cообщить модератору


	72. "Уязвимость в предлагаемой в Qt реализации протокола HTTP/2 "	+/–
	Сообщение от Аноним (67), 07-Янв-24, 16:53
	Не, это не так работает. Присылается 1 байт, а в заголовке указывается что на самом деле много больше. Гогнокодеры, которые не валидируют данные, в итоге получают выход за границы буфера
	Ответить \| Правка \| Наверх \| Cообщить модератору