The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"46% Python-пакетов в репозитории PyPI содержат потенциально небезопасный код"  +/
Сообщение от opennews (??), 30-Июл-21, 14:39 
Группа исследователей из Университета Турку (Финляндия) опубликовала результаты анализа пакетов в репозитории PyPI на предмет использования потенциально опасных конструкций, способных привести к появлению уязвимостей. В ходе анализа 197 тысяч пакетов выявлено 749 тысяч потенциальных проблем с безопасностью. В 46% пакетов присутствует как минимум одна подобная проблема. Среди наиболее часто встречающихся проблем выделяются недоработки, связанные с обработкой исключений и использованием возможностей, допускающей подстановку кода...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55565

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +18 +/
Сообщение от Noname (??), 30-Июл-21, 14:39 
Никогда такого не было, и вот опять
Ответить | Правка | Наверх | Cообщить модератору

132. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от ХрюХрю (?), 31-Июл-21, 15:24 
ну тут просто на расте питон надо переписать и все проблемы сами собой решатся...
Ответить | Правка | Наверх | Cообщить модератору

142. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (142), 01-Авг-21, 00:19 
https://github.com/RustPython/RustPython
Ответить | Правка | Наверх | Cообщить модератору

180. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 02-Авг-21, 08:27 
> https://github.com/RustPython/RustPython

Они все сделали через... ! Должен же быть пыхтонраст.

Ответить | Правка | Наверх | Cообщить модератору

2. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +20 +/
Сообщение от Аноним (2), 30-Июл-21, 14:42 
Очередное британское исследование.
Ответить | Правка | Наверх | Cообщить модератору

3. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +5 +/
Сообщение от Аноним (2), 30-Июл-21, 14:43 
Пускай и финское.
Ответить | Правка | Наверх | Cообщить модератору

39. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (39), 30-Июл-21, 17:19 
Британским ученым ровно ничего не мешает проводить исследования в Финляндии.
Ответить | Правка | Наверх | Cообщить модератору

66. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Хан (?), 30-Июл-21, 20:35 
Brexit все дела
Ответить | Правка | Наверх | Cообщить модератору

76. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (76), 30-Июл-21, 22:02 
Британский ученый - это призвание.
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

165. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 22:33 
Скорее диагноз...

PS: не, ну некоторые из ботоводов достаточно откровенны и сразу называют "suffer".

Ответить | Правка | Наверх | Cообщить модератору

4. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +10 +/
Сообщение от Аноним (4), 30-Июл-21, 14:43 
> Использование хэш-функций MD2, MD4, MD5 и SHA1.

Какой бред. Сам факт использования этих функций не является чем-то плохим. А вот если их использовать непосредственно для хеширования паролей/итд, да, тогда уязвимость.

Ответить | Правка | Наверх | Cообщить модератору

42. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –4 +/
Сообщение от Аноним (42), 30-Июл-21, 17:33 
Там больше половины пунктов такой же бред. Их послушать - вообще дышать не надо - для безопасности.
Ответить | Правка | Наверх | Cообщить модератору

49. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Амоним (?), 30-Июл-21, 18:09 
Дык пишут же что потенциально. Потенциально и бабушка это дедушка. Потенциально - наоборот.
Ответить | Правка | Наверх | Cообщить модератору

89. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (89), 31-Июл-21, 04:59 
Любое хеширование предполагает, что вероятность появления двух одинаковых хешей от разных данных крайне маловероятно. Эти алгоритмы не годятся ни для каких задач, требующих уникальности хеша, а не только для паролей. Насколько я помню даже git спотыкался об эту проблему.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

93. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 31-Июл-21, 05:20 
Ммм crc32 вроде весьма вероятно, популярный алгоритм.
Ответить | Правка | Наверх | Cообщить модератору

96. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (89), 31-Июл-21, 05:27 
Этот только для проверки целостности годится для случаев случайного повреждения данных. Независимо от его надёжность 4 миллиарда вариантов это слишком мало.
Ответить | Правка | Наверх | Cообщить модератору

127. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (76), 31-Июл-21, 13:36 
Т.е. CRC32 на что-то все-таки годится. А MD5, для этих же целей - почему-то нет.
Ответить | Правка | Наверх | Cообщить модератору

129. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (89), 31-Июл-21, 13:51 
Для тех целей, для которых пригоден crc32 остальные избыточны. Слишком высокая длина хеша, слишком высокие расходы на хеширование и проверку. Если нужна большая защищённость от ошибок, то используется помехоустойчивое кодирование. Криптографические хеши нужны именно для невозможности подделать данные подписанные каким то ключом и хеш-суммой, а перечисленные алгоритмы с этим справляются плохо.
Ответить | Правка | Наверх | Cообщить модератору

134. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 31-Июл-21, 15:34 
Rsync md4 выбрал, например. Недавно обновили до md5 и теперь xxhash с xxh3 (sha-256, для которого в процессорах отдельные инструкции, впрочем, почему-то, так и нет)
Ответить | Правка | Наверх | Cообщить модератору

145. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 01-Авг-21, 05:23 
В случае MD4/5 они с одной стороны пытались ;) быть криптостойкими, что неизбежно угробило их скорость, иначе они завалили бы даже самые базовые тесты. С другой - это у них все-равно не получилось, MD4 вообще подделывается влет, да и MD5 не сильно сложнее уже. За это MD4/5 и выпали из фавора: совершенно безблагодатное сочетание свойств: тормоза во имя хрен знает чего. Если криптостойкость не надо, есть куда более быстрые вещи типа XXH, а если нужно, ее все-равно там нет. Совершенно дурное сочетание. И 95% что код с этим - abandonware, с характерным секурити. Остальные 5% это где сие для совместимости на гвозди было прибито.
Ответить | Правка | Наверх | Cообщить модератору

99. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 31-Июл-21, 05:36 
Эти функции протухли и не имеют вменяемого применения. Если криптостойкость не нужна, есть куда более производительные варианты. А если нужна - это стопроцентный, дистиллированый вулн. Первые три выносятся вообще пионером Васькой на видеокарте, четвертый посложнее но коллизию посчитать стоит несколько десятков тысяч долларов уже, так что что-то сильно ценное могут долбануть. А через несколько лет это станет совсем халявой, соответственно.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

163. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от GG (ok), 01-Авг-21, 21:07 
Твои данные про сха1 протухли на шесть лет.
Сейчас оно хакается фпга асиком за пару тысяч долларов по цене $10 за хэш по европейским тарифам на электричкество.
Ответить | Правка | Наверх | Cообщить модератору

182. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Анон123амм (?), 02-Авг-21, 11:06 
на AWS инстансе с FPGA оно хакается дешевле $10 за хеш.
Ответить | Правка | Наверх | Cообщить модератору

183. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от GG (ok), 02-Авг-21, 11:49 
Oh no, прогресс движется быстрее чем мои знания о нём
Ответить | Правка | Наверх | Cообщить модератору

5. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –12 +/
Сообщение от Гога (?), 30-Июл-21, 14:45 
Python всегда был и останется рассадником мелких и крупных мерзостей...
Ответить | Правка | Наверх | Cообщить модератору

10. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +9 +/
Сообщение от Аноним (4), 30-Июл-21, 14:57 
Это да, говнокодеров на питоне хоть отбавляй.
Ответить | Правка | Наверх | Cообщить модератору

35. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +6 +/
Сообщение от Аноним (35), 30-Июл-21, 16:58 
Самое интересное, позже выяснится, что среди каргокультуристов их будет не меньше.
Ответить | Правка | Наверх | Cообщить модератору

67. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от нах.. (?), 30-Июл-21, 21:17 
Их уже больше.
Ответить | Правка | Наверх | Cообщить модератору

164. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от GG (ok), 01-Авг-21, 21:09 
Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

197. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (-), 06-Авг-21, 06:44 
> Культистов-самолётников среди питонистов тоже, к сожалению, очень-очень много

Чуть менее чем все? :)

Ответить | Правка | Наверх | Cообщить модератору

45. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –5 +/
Сообщение от Аноним (45), 30-Июл-21, 17:40 
И ни одного который бы мог писать вменяемый код..
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

143. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (142), 01-Авг-21, 00:23 
Самое страшное, что понимают это единицы приешдшие из других языков.
Я в свое время загляную в стандартную библиотеку urllib2 или чего-то
там сетевого и просто офигел от уровня кода, который был по всем
канонам pythonic.

Короче вся надежда на то что все это действительно рано или поздно
переделают, но для этого нужно идти на встречу сообществу, а пока
я виду, чтолько синтаксический анонизм.

Пока asyncio не будет реализовано на ситсемном уровне это все будет
пердением и сопением в пустоту ИМХО

Ответить | Правка | Наверх | Cообщить модератору

166. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 22:34 
Неправда.
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

33. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 30-Июл-21, 16:50 
> Python всегда был и останется рассадником мелких и крупных мерзостей...

Это да. И то ли дело код на труЪ-ЯП!
https://www.opennet.ru/opennews/art.shtml?num=55095
> Также были проанализированы 435 коммитов, включающих исправления, отправленные разработчиками из Университета Миннесоты и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.
> 349 коммитов признаны корректными и оставлены без изменений. В 39 коммитах обнаружены проблемы, требующие исправления - данные коммиты отменены и до выпуска ядра 5.13 будут заменены на более корректные исправления. Ошибки в 25 коммитах оказались исправлены в последующих изменениях. 12 коммитов потеряли актуальность,

(39+25)/435*100
14(%)

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

34. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (34), 30-Июл-21, 16:55 
Так то был саботаж явный с целью оставить бэкдор.
Ответить | Правка | Наверх | Cообщить модератору

41. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от Аноним (-), 30-Июл-21, 17:25 
> Так то был саботаж явный с целью оставить бэкдор.

Угу, "можно отметить, обнаружение в каталоге PyPI 8 вредоносных пакетов" загрузили по ошибке.
Ну и помимо Минесоты больше наверняка же никто не задавался целью вставить бэкдор? (риторический вопрос).

Тут ведь основной "прикол" в том, что PyPI - не модерируемая репа, в отличие от.

Ответить | Правка | Наверх | Cообщить модератору

105. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 31-Июл-21, 08:00 
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

125. Скрыто модератором  +2 +/
Сообщение от Аноним (-), 31-Июл-21, 12:56 
Ответить | Правка | Наверх | Cообщить модератору

189. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Урри (ok), 02-Авг-21, 19:13 
Там же в новости ссылка на сам инцидент: https://www.opennet.ru/opennews/art.shtml?num=55000 -

Причиной блокировки стала деятельность исследовательской группы, изучающей возможность продвижения скрытых уязвимостей в код открытых проектов. Указанная группа отправляла патчи, включающие различного рода ошибки, наблюдала за реакцией сообщества и изучала пути обмана процесса рецензирования изменений.

--
Интеллект анонимов опеннета не распространяется даже на один клик мышки. Дожили.

Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

192. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 03-Авг-21, 12:33 
> Там же в новости ссылка на сам инцидент: https://www.opennet.ru/opennews/art.shtml?num=55000
> -
> Причиной блокировки стала деятельность исследовательской группы, изучающей возможность

А теперь попробуй  читать глазами, а не жопой.
> из 5 патчей, подготовленных в ходе исследования

...
>  435 коммитов ... и не связанные с проведением эксперимента по продвижению скрытых уязвимостей.

и заодно думать головой, а не тем самым местом, которым читал:
какие на*рен блокировки, когда куча патчей с "подвохом" _уже_ прошла мимо "бдительных" мейнтенеров и с чего ты решил, что такой "эксперимент" проводили только Миннесотовцы?
Они продемонстрировали реальное пложение дел, когда в ядре оказалась куча проблемного кода и он оставался там пока частью не протух сам по себе (ну и не клюнул жареный петух в виде публикации исследования) - но Свидетелям Единственноверного Ядра, похоже, все "Божья роса!"

> --
> Интеллект анонимов опеннета не распространяется даже на один клик мышки. Дожили.

Очередной дартаньянус опеннетус вульгарис с Ценнейшим Мнением ...

Ответить | Правка | Наверх | Cообщить модератору

43. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (43), 30-Июл-21, 17:38 
По сравнению с js и php? Сомневаюсь.
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

6. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Annoynymous (ok), 30-Июл-21, 14:48 
А давайте запретим eval!
Ответить | Правка | Наверх | Cообщить модератору

9. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от Онаним (?), 30-Июл-21, 14:55 
Вообще eval давно пора вынести из пыха, пинота, и где он там ещё есть. Можно не вынести, а сделать отключенным по умолчанию, и без плясок с бубном не включаемым - чтобы включал только тот, кто знает, что делает.
Ответить | Правка | Наверх | Cообщить модератору

12. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от заминированный тапок (ok), 30-Июл-21, 15:01 
>Вообще eval давно пора вынести из пыха, пинота, и где он там ещё есть.

ещё eval есть в bash, меня устраивает, не надо его никуда выносить

Ответить | Правка | Наверх | Cообщить модератору

15. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от fernandos (ok), 30-Июл-21, 15:21 
В пыхе оно не так часто встречается.

Но да, она губительна.

> If eval() is the answer, you're almost certainly asking the
>
>Rasmus Lerdorf

Отключить её через конфиг не выйдет, ведь это не функция, а языковая конструкция.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

62. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Онаним (?), 30-Июл-21, 20:22 
Не, я имею в виду что-то типа --disable-eval по умолчанию :)
Ответить | Правка | Наверх | Cообщить модератору

160. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от fernandos (ok), 01-Авг-21, 18:52 
> Не, я имею в виду что-то типа --disable-eval по умолчанию :)

Радикально, но да, так даже лучше.

Ответить | Правка | Наверх | Cообщить модератору

161. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от fernandos (ok), 01-Авг-21, 18:52 
> Не, я имею в виду что-то типа --disable-eval по умолчанию :)

Радикально, но да, так даже лучше.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

119. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от InuYasha (??), 31-Июл-21, 10:29 
asking the ...?
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

133. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (133), 31-Июл-21, 15:25 
the wrong question было в оригинале.
Ответить | Правка | Наверх | Cообщить модератору

29. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Annoynymous (ok), 30-Июл-21, 16:32 
> Вообще eval давно пора вынести из пыха, пинота, и где он там
> ещё есть.

В js. Самое большое зло - в js.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

11. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (4), 30-Июл-21, 14:58 
+1.
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

106. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 31-Июл-21, 08:01 
> А давайте запретим eval!

Вообще-то это было бы очень удачной идеей, ибо эти господа быкуют на сишников и проч, а сами грубо кладут на W^X подобным образом. Именно так поимели pybitmessage, например. И у кулхацкеров с ним круто подгорело.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

118. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (118), 31-Июл-21, 10:28 
Да не поимели. Там явный бэкдор был.
Ответить | Правка | Наверх | Cообщить модератору

147. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 01-Авг-21, 05:31 
> Да не поимели. Там явный бэкдор был.

Да черт его разберет. Вон тут рядом некто exec втулить в свой код предлагает, мне назло. Это бэкдор или человек дypак? Так сходу и не поймешь даже. Самый большой облом для него - в том что я как раз вот именно его код как раз и не буду использовать, ибо на ... вертел питон, благодаря таким прогерам :)

Ответить | Правка | Наверх | Cообщить модератору

144. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (144), 01-Авг-21, 03:01 
А представь, что запретили.
Я напишу свой eval через дочерний интерпретатор, тебе легче от этого станет? Или дальше запретить запускать дочерние процессы?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

148. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 01-Авг-21, 05:38 
> Я напишу свой eval через дочерний интерпретатор, тебе легче от этого станет?

1. Это больше приседаний, случайно, для своего удобства это уже все же никто делать не будет, прорубятся только самые одаренные и неленивые самострельщики.
2. По счастью, до меня это никогда не долетит, ибо я разборчивая скотина и не пользуюсь порождениями таких программистов. Облом, да? :)
3. Это не вы pybitmessage случайно кодили, кстати?

> Или дальше запретить запускать дочерние процессы?

Вообще-то я именно это и делаю в сетевых сервисах например... и если какому-нибудь сетевому серваку захочется в выполнение процесса, это немедленно гарантирует его пристрел и дальнейший аудит или замену. А с системдой это все еще и довольно легко организуется, ибо seccomp может вот именно что вырубить вам к чогту exec* да и W^X может быть и в файловой системе, то-есть, что врайтабельно то не экзекутабельно, а то что экзекутабельно - либо совсем не доступно, либо жестко влеплено только для чтения.

При очень сильном желании, конечно, гуру бэкдоринга сможет и это попытаться обойти. Но во первых высокий риск запалиться, во вторых высокий риск что что-то не сработает, в третьих это надо основательно по#$%ться уже и случайно так уж точно не сделаешь. Заодно и отмазаться при поимке не получится уже. Будет "споткнулся, упал на мой кулак своим лицом, и так 5 раз подряд".

Ответить | Правка | Наверх | Cообщить модератору

159. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (159), 01-Авг-21, 15:59 
>для своего удобства это уже все же никто делать не будет

Конечно же, чем написать копеечную обертку над процессами, побегу переписывать всю логику с eval.
А через какое-то время после запрета в pypi какой-нибудь pyeval появится.

>если какому-нибудь сетевому серваку захочется в выполнение процесса, это немедленно гарантирует его пристрел и дальнейший аудит или замену

И сразу идешь в баню, сесурити вахтёр доморощенный. Или пишешь мне биндинги на C ко всему, что запускается через процессы.

>врайтабельно то не экзекутабельно

python xxx.py, и все. Даже файл писать не обязательно, можно код аргументом передать.
А на самом деле даже процессы сторонние запускать не нужно.
Давай, запрети мне импортировать свежезаписанный py файл как модуль.

В любом случае, я буду писать как удобно мне, а всякие хуру идут лесом.

Ответить | Правка | Наверх | Cообщить модератору

162. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Онаним (?), 01-Авг-21, 19:12 
> Конечно же, чем написать копеечную обертку над процессами, побегу переписывать всю логику с eval.

Побежишь, куда денешься. Потому что иначе твоё поделие больше не запустится, и придётся тебе его в виде образа докера со включенным в интерпретаторе eval раздавать.

> И сразу идешь в баню, сесурити вахтёр доморощенный. Или пишешь мне биндинги
> на C ко всему, что запускается через процессы.

А кому ты нужен-то, биндинги тебе писать?

> python xxx.py, и все

И отказ в exec. Дальше см. первый тезис про докер.
Не, на локалхосте - пожалуйста. Но не далее.

Ответить | Правка | Наверх | Cообщить модератору

184. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (144), 02-Авг-21, 13:29 
>А кому ты нужен-то

А ты кому нужен? Девопсы деплоят то, что написали разработчики, а не разработчики выполняют хотелки девопсов. Я написал сервис, описал в каких условиях он работает - будь добр его запустить. Сломанную твоими ограничениями логику переписываешь сам в личное время. Потому что если я дергаю некий инструмент через popen, значит другого способа (кроме переписывания инструмента на питон или написания обертки на C) нет. И потом еще посчитаем, сколько уязвимостей к уже имеющимся в инструменте ты добавил своей оберткой.

>придётся тебе его в виде образа докера
>придётся

претендент на сесурити ыкспертнасть юзает докер только в исключительных случаях. Ясно, понятно. Только когда вся инфраструктура без докера, то это тебе придется моё поделие в образ оформлять. Потому что я свои задачи завершил, а с деплоем выкобениваешься ты.

>отказ в exec

с чего бы? python на разделе с exec. Или ты мне хочешь весь мультипроцессинг сломать запретив создавать дочерние процессы?

Ответить | Правка | Наверх | Cообщить модератору

190. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Онаним (?), 02-Авг-21, 22:03 
> А ты кому нужен? Девопсы деплоят то, что написали

Вот девопсам это и объясняй, а не мне :D
Я в т.ч. общую системную полиси генерю, и хрен ты мне что напишешь и задеплоишь вне этой полиси.

Ответить | Правка | Наверх | Cообщить модератору

191. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Онаним (?), 02-Авг-21, 22:05 
(не, ты можешь конечно, никому не сказав, но при разборе полётов в случае дыры в твоём эвале - с тебя же и вычтут)
Ответить | Правка | Наверх | Cообщить модератору

175. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 02-Авг-21, 04:52 
> Конечно же, чем написать копеечную обертку над процессами, побегу переписывать
> всю логику с eval.

Ну как бы я по подобным причинам и не собираюсь питонятиной пользоваться, больно там характерная секурити. Небось у вас такого красивого и на system() ума хватит, очень рекомендую, особенно круто в него непроверенные пользовательские данные отдавать.

> А через какое-то время после запрета в pypi какой-нибудь pyeval появится.

Да ну кто бы сомневался что питонисты придумают полунедосвоместимый способ прострела пяток еще раз?

> И сразу идешь в баню, сесурити вахтёр доморощенный. Или пишешь мне биндинги
> на C ко всему, что запускается через процессы.

Ну, мне для начала нафиг не упал твой софт, с таким качеством и секурити, поэтому пишу я тебе только дырку от бублика. А в баню отправляется такой софт с моих систем. Впрочем, он туда обычно и не попадает.

> python xxx.py, и все. Даже файл писать не обязательно, можно код аргументом передать.

Как тебе идея получить -1 на эту потугу, вебмакака? А прикинь, после сборки вон той песочницы там может не быть ни 1 бинаря. А что, прога уже запущена, ей больше не надо ничо. Если она что-то внешнее дергает это уже повод провести аудит этого крапа и скорее всего стереть его, либо за бэкдор, либо за непотребный код. Легитимных поводов для exec из например сетевого сервиса очень немного.

> А на самом деле даже процессы сторонние запускать не нужно.

Вообще-то именно так, покуда вы не менеджер сервисов или нечто подобное. А для сетевых штук это удобный хук для детекта хаксоров.

> Давай, запрети мне импортировать свежезаписанный py файл как модуль.

Хорошая идея, reason: W^X. Ну то-есть на своем локалхосте ты можешь хоть вирье запускать, а на чем-то сверх того ну тебя такого в пень.

> В любом случае, я буду писать как удобно мне, а всякие хуру идут лесом.

Вот именно это я как раз и делаю - и спасибо за иллюстрацию почему. Мне код с таким качеством и безопасТностью даром не упал.

Ответить | Правка | К родителю #159 | Наверх | Cообщить модератору

185. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (144), 02-Авг-21, 13:46 
>непроверенные пользовательские данные

мои непроверенные пользовательские данные это медиафайлы. И там уязвимостей в нижележащих библиотеках столько, что RCE рано или поздно случится хоть eval отключай, хоть capabilities по самый корень режь.
>W^X

как это остановит importlib? Модуль это не динамическая библиотека, а тот же скрипт, который будет выполняться уже запущенным интерпретатором.

Ответить | Правка | Наверх | Cообщить модератору

198. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (-), 06-Авг-21, 07:02 
> мои непроверенные пользовательские данные это медиафайлы. И там уязвимостей в нижележащих
> библиотеках столько, что RCE рано или поздно случится

Отличный аргумент за то чтобы их в sandbox по максимуму. А то и пересобрать с asan/ubsan если просадка скорости не критична.

Грубо говоря, если RCE не может ничего, кроме счета - вред умеренный. А с должной расстановкой капканов будет легко пойман. Ну вон хук на exec - и при попытке развить успех разовьется... облом для хаксора.

> хоть eval отключай, хоть capabilities по самый корень режь.

Типа, если подхватил гусарский насморк, то нехай и спид заодно заходит? А медиафайлы могут пытаться атаковать и более высокоуровневый обработчик, впихав хитрозадый контент в всякие теги и проч. Правда, удобнее всего так башистов иметь, но пример pybitmessage показал что бывают варианты.

>>W^X
> как это остановит importlib? Модуль это не динамическая библиотека, а тот же
> скрипт, который будет выполняться уже запущенным интерпретатором.

Вообще идея такая чтобы нельзя было догружать извне исполняемые штуки. Eval - самый простой и быстрый способ прострела пяток на этом направлении. Но если вы хотели сказать что в питоне более 9000 способов прострела пяток - наверное, вы правы. Во всяком случае, в battle for wesnoth его пробовали юзать как игровой скриптинг и пришли к тому что догружаемые с сервера дополнений аддоны могут взламывать юзеру систему и это нельзя заткнуть, питон слишком дыряв для этого. И поюзали Lua. А вот этот вполне можно сделать чисто считалкой-скриптилкой без IO наружу и вот так оно урон системе пользователя нанести не может.

Ответить | Правка | Наверх | Cообщить модератору

7. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (7), 30-Июл-21, 14:50 
Но ведь 46% не большинство. Всё нормально.
Ответить | Правка | Наверх | Cообщить модератору

100. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (-), 31-Июл-21, 05:37 
Это они просто процент считать не умели. Питонисты, что с них взять. Если посчитать именно процент, он таки более 50. См. выше.
Ответить | Правка | Наверх | Cообщить модератору

14. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 30-Июл-21, 15:18 
А что-нибудь реальное нашли вообще?
Ответить | Правка | Наверх | Cообщить модератору

24. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +7 +/
Сообщение от Нанобот (ok), 30-Июл-21, 16:02 
> А что-нибудь реальное нашли вообще?

студенты получили зачёт - реальный практический результат

Ответить | Правка | Наверх | Cообщить модератору

20. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (20), 30-Июл-21, 15:43 
По порядку:
1. try-except-pass - это нормальное использование обработки исключений, именно поэтому они исключения, что позволяют в случае любой ошибки сделать что-то одно, без необходимости перечислять каждую возможность, без необходимости создавать перечисления всех возможных ошибок и типы-суммы для вызываемых внутри функции других функций с ошибками. Можно просто любой код обернуть в try-except и поймать таким образом любые исключения, даже не зная о том, могут ли они случиться.
2. eval в питоне называют нехорошим из-за возможной подстановки кода. А выполнение интерпретатором кода не считается? Я ведь могу любую программу на питоне взять и подменить в ней исходники, и они выполнятся. В общем eval\exec и прочее - это выполнение произвольного кода. Любой запуск программы - это выполнение произвольного кода, поэтому глупо запрещать выполнение произвольного кода в выполняемом произвольном коде.
3. Использование ключей в коде - это самый простой способ работать с штуками, которые требуют ключи. Главное - не допустить попадание ключа в публичный доступ (менять при публикации кода).
4. Использование небезопасных шифров и протоколов... Ну тут что сказать? Оно устаревает и признается небезопасным быстрее, чем код писать успеваешь. Переключишься с md5 на sha2 - а через день и sha2 обнебезопасится. Глупо называть из-за таких вещей код небезопасным.
Ответить | Правка | Наверх | Cообщить модератору

71. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от нах.. (?), 30-Июл-21, 21:41 
С тобой прям совмем все понятно.
Ответить | Правка | Наверх | Cообщить модератору

107. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (-), 31-Июл-21, 08:11 
> По порядку:
> таким образом любые исключения, даже не зная о том, могут ли они случиться.

Интересно, как выглядит вменяемая реакция на все это? А, стоп, это же питоняша...

> 2. eval в питоне называют нехорошим из-за возможной подстановки кода. А выполнение
> интерпретатором кода не считается?

Проблема с ним в том что такие как ты умудряются его делать на чем-то контролируемом внешними субъектами. В результате получается RCE на ровном месте, когда хитрозадый хацкер прислал немного не то что ты там себе вообразил в своей гамняке.

Да, твои коллеги из Cloud Spyware справились и без eval, просто перезаписью файлов, но это все же постараться еще надо, eval халявнее.

> - это выполнение произвольного кода, поэтому глупо запрещать выполнение произвольного
> кода в выполняемом произвольном коде.

Поздравляю с снятием с ручника. Как ты думаешь, почему сейчас сетевым сервисам часто режут системные вызовы, включая exec? Может, потому что какому-нибудь вебсерверу в нормальном курсе событий нахрен не надо внешние программы выполнять? А если он это пытается - что-то идет вообще совсем не так и им видимо уже рулит злобный хакер.

> 3. Использование ключей в коде - это самый простой способ работать с
> штуками, которые требуют ключи.

А использование мозгов - это не самый простой способ, да... проблема в том что ключи таких имбецилов видите ли утекают на всю планету, ну вся планета и логинится как васян потом если захочет :)

> 4. Использование небезопасных шифров и протоколов... Ну тут что сказать? Оно устаревает
> и признается небезопасным быстрее, чем код писать успеваешь.

Не питонисты ли хвастались что у них там офигеть как быстро кодить? А, вы не можете быть продуктивными более 2 часов в день, и вообще, еще с 2 на 3 версию не переписали, а там уже в 3.х совместимость испортили...

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

121. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от myhand (ok), 31-Июл-21, 10:48 
> Я ведь могу любую программу на питоне взять и подменить в ней исходники, и они выполнятся.

На своем локалхосту ты можешь даже иметь права root-а.  А вот там, где злой дядя тебе (из-за малолетства и/или твоей глупости) прав таких не дал - хрен ты что заменишь в файле, куда тебе запрещено писать.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

167. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 22:38 
Судя по былинному оптимизму насчёт ключей, он этого всего ещё просто не понимает...

Бывает полезно и на localhost поработать денёк _без_ рута _вообще_.

Ответить | Правка | Наверх | Cообщить модератору

128. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Онаним (?), 31-Июл-21, 13:44 
> 3. Использование ключей в коде - это самый простой способ работать с штуками, которые требуют ключи

Это надо было выделить в пункт 0, потому что всё остальное на фоне сего громкого заявления можно уже и не читать.

Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

23. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –4 +/
Сообщение от Нанобот (ok), 30-Июл-21, 16:01 
уверен, это число 46% может меняться в очень широких пределах (скажем, где-то от 5% до 80%) в зависимости от используемого онализатора безопасносте (в т.ч. от его версии) и не имеет практической пользы
Ответить | Правка | Наверх | Cообщить модератору

25. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от пох. (?), 30-Июл-21, 16:02 
для кого-то просто летная погода, а студенту финскому - зачёт. (за летнюю практику или что там у них бывает)

Ответить | Правка | Наверх | Cообщить модератору

84. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Annoynymous (ok), 31-Июл-21, 03:50 
> для кого-то просто летная погода, а студенту финскому - зачёт. (за летнюю
> практику или что там у них бывает)

У Торвальдса надо спросить, он знает.

Ответить | Правка | Наверх | Cообщить модератору

26. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от Аноним (26), 30-Июл-21, 16:09 
Это проблема всех центральных репозиториев. Там будет все, что угодно.
Начиная от троянов и вирусов до красивых багов и шлюзов от всевозможных разведок мира.

Особый привет Rust Package Registry: crates.io.

Ответить | Правка | Наверх | Cообщить модератору

27. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (26), 30-Июл-21, 16:12 
Backstabber’s Knife Collection: A Review of
Open Source Software Supply Chain Attacks
https://arxiv.org/pdf/2005.09535.pdf
Ответить | Правка | Наверх | Cообщить модератору

28. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (28), 30-Июл-21, 16:22 
Кто бы сомневался
Ответить | Правка | Наверх | Cообщить модератору

32. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +4 +/
Сообщение от Аноним (35), 30-Июл-21, 16:45 
>Из выявленных 749 тысяч проблем 442 тысячи (41%) помечены как незначительные

Считала ЦИК? ;)

442/749*100 == 59%

Ответить | Правка | Наверх | Cообщить модератору

37. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от commiethebeastie (ok), 30-Июл-21, 17:09 
Машин-лёрнеры, они долю со среднеквадратичной функцией перепутали.

100*(749-442)/749

40.987983978638184

Это феерично, смузихлёбы осуждают смузихлёбов.

Ответить | Правка | Наверх | Cообщить модератору

40. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от Аноним (39), 30-Июл-21, 17:19 
Просто в смузи были неправильные грибы.
Ответить | Правка | Наверх | Cообщить модератору

95. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 31-Июл-21, 05:23 
> Считала ЦИК? ;)

Всего лишь питонисты :)

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

168. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 22:43 
> Считала ЦИК? ;)

Нет, про ЦИК попытался сшутнуть тот, кто если был бы умным -- выяснил бы уже для себя, что помимо подсчётов ЦИК в цепочке до развешенных ушей может оказаться видеоинженер, который затем чисто по совпадению удачно эмигрирует, например.

Ну, хозяйке на заметку про пресловутые 146%.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

176. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 02-Авг-21, 04:57 
Сколько лживую гопоту не выгораживай, легитимнее не станет. А этот мем всего лишь общее отношение народа к подобной активности и методам причастных.
Ответить | Правка | Наверх | Cообщить модератору

36. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от Аноним (36), 30-Июл-21, 17:03 
Потому что смузихлёбы.

Значительная часть разрабов, особенно в машобе и академии, очень любит pickle. И PR/issue о них либо закрывает, ибо либо коду доверяешь, либо не юзаешь, лицензию ведь читали, либо просто динамит.

Потому что смузихлёбы.

Есть ещё придурки, использующие system/subprocess для обработки данных через find и grep, хотя вся функциональность доступна через API.

Всем в индустрии пофиг на безопасность. Она не главное. Главное - опередить конкурентов в написании статьи или выкатывании продукта. Ну а то что поломают - да пофиг, на грант новый комп купим взамен взломанного.

Ответить | Правка | Наверх | Cообщить модератору

38. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (93), 30-Июл-21, 17:17 
Я не понимаю, какое отношение сериализация или шелл имеют к безопасности. Сериализация это не зашифрованные данные (лично я шифрую юзерские данные, код шифровать практического смысла нет). Find и grep позволяют быстро получить искомые данные с нужными условиями без необходимости поддерживать свой корявый обход дерева, а, кроме того, внешний find отрабатывает на порядки быстрее питонового scandir (текущего, раньше ещё тормознее было), так что кто тут ещё придурок надо разобраться.
Ответить | Правка | Наверх | Cообщить модератору

51. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (36), 30-Июл-21, 18:22 
>Сериализация это не зашифрованные данные

Pickle - это не сериализация, это сериализация + исполнение произвольного кода. То есть бэкдор. Качаешь модель для pytorch, а с ней приходит код, который хранилище паролей пересылает злоумышленнику, например. И большинство моделей, даже не для питорча, а для sklearn, идут именно замаринованные.

>Find и grep позволяют быстро получить искомые данные с нужными условиями без необходимости поддерживать свой корявый обход дерева

Это у тебя корявый. А питон - язык высокого уровня. А кому нужна простота find, для того есть glob.

>внешний find отрабатывает на порядки быстрее питонового scandir

переписывайте на С++ и цепляйте нативным модулем.

Ответить | Правка | Наверх | Cообщить модератору

52. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (36), 30-Июл-21, 18:24 
>И большинство моделей, даже не для питорча, а для sklearn, идут именно замаринованные.

Потому что авторы sklearn - тоже смузихлёбы, и другую сериализацию моделей им было лень реализовавать. То же самое с nltk.

Ответить | Правка | Наверх | Cообщить модератору

53. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (36), 30-Июл-21, 18:25 
P.S. Сам смузихлёб. В хорошем смысле. Прямо сейчас хлебаю смузи из малины.
Ответить | Правка | Наверх | Cообщить модератору

108. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 31-Июл-21, 08:14 
> P.S. Сам смузихлёб. В хорошем смысле. Прямо сейчас хлебаю смузи из малины.

Локап твоему гироскутеру!

Ответить | Правка | Наверх | Cообщить модератору

55. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (55), 30-Июл-21, 18:36 
А ещё можно скачать пакет с пупи и с ней тоже приходит код. А еще можно скачать любой другой скрипт с интернета, прямо как модель. И внезапно окажется что он лезет в интернет. Невероятно! Требую запретить питон.
Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

57. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (36), 30-Июл-21, 18:43 
>А ещё можно скачать пакет с пупи и с ней тоже приходит код.

Пакет - код по определению.

Модель (в смысле машоба) - по определению - данные - структура графа и коэффициенты.

> ещё можно скачать пакет с пупи и с ней тоже приходит код. А еще можно скачать любой другой скрипт с интернета... И внезапно окажется что он лезет в интернет. Невероятно!

Не надо качать и исполнять всякое дерьмо. Скрипты с pickle - сорт дерьма.

>Требую запретить питон.

Запрещаю тебе запрещать.

Ответить | Правка | Наверх | Cообщить модератору

113. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Онаним (?), 31-Июл-21, 09:00 
По первой части них... не понял, но к требованию присоединяюсь.
Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

74. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от нах.. (?), 30-Июл-21, 21:46 
>переписывайте на С++ и цепляйте нативным модулем.

Воообще тогда не вижу смысла в вашем пистоне.

Ответить | Правка | К родителю #51 | Наверх | Cообщить модератору

54. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (55), 30-Июл-21, 18:32 
Главное не логические связи и какие-то там аргументы, главное назвать группу Х (в которой я не состою) смузихлебами. Придираться к отношениям это моветон. Как и требовать от меня читать подобные "исследования" чтобы понять их абсурдность. Давайте без этого. Смузихлебы значит смузихлебы - я на этом языке не пишу и с ним не работаю, мне виднее.
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

63. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от Хан (?), 30-Июл-21, 20:32 
Shell имеет прямое отношение к безопасности из за кривых разрабов не проверяющих входящие данные случается внезапный rm -rf
Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

68. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 30-Июл-21, 21:18 
> Shell имеет прямое отношение к безопасности из за кривых разрабов не проверяющих
> входящие данные случается внезапный rm -rf

Пользовательский ввод нужно проверять всегда. И его нужно экранировать. Мои любимые баги это "кончилось место на диске" и "имя файла с CLRF".

Ответить | Правка | Наверх | Cообщить модератору

109. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 31-Июл-21, 08:17 
Клауд спайварь налетела на соседнем баге - ничтоже сомневаясь распаковывая всякие ../../../file/trololo залитые извне кем попало. Не crlf, но какая разница? :)
Ответить | Правка | Наверх | Cообщить модератору

70. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (70), 30-Июл-21, 21:25 
Почему вы решили что там подразумевался пользовательский ввод во входящих данных?
Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

72. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (93), 30-Июл-21, 21:42 
> Почему вы решили что там подразумевался пользовательский ввод во входящих данных?

Любые другие данные у софта доверенные. Если там написано rm -rf, значит, так и задумано. Ещё есть популярный баг с дефисом в имени файла. В основном GNU софт поддерживает двойное тире для индикации, что ключи закончились. Не стоит этой возможностью пренебрегать.

Ответить | Правка | Наверх | Cообщить модератору

169. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 22:50 
На ту же тему (в основном около -print0):

---
Использование find при работе с каталогами, содержащими объекты с нестандартными именами (пробелами и др.), без использования -print0 приводит к неправильному результату, поэтому при использовании утилиты find для изменения файлов и каталогов необходимо использовать параметр -print0; соответствующие ему параметры других утилит:

xargs
    -r0
grep
    -Z
sort
    -z
[...примеры...]
--- http://altlinux.org/Secure_Packaging_Policy

Ответить | Правка | Наверх | Cообщить модератору

48. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (48), 30-Июл-21, 18:06 
Смузи тут не при чём. Питон ещё используют как продвинутую замену для bash, из-за более удобных типов данных. Как связана безопасность и разовый скрипт/библиотека — не ясно.

Так же не ясно зачем авторы потом такие proof of concept публикуют в pypi. Возможно это нужно для рецензирования.

Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

110. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 31-Июл-21, 08:18 
Unix way: program does one thing and does it well.
Python way: does everything, works like crap.
Ответить | Правка | Наверх | Cообщить модератору

46. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (46), 30-Июл-21, 17:50 
Да нормально. Только добавьте анализатору поддержку других языков. Я свой диванный велосипед им проверю.
Ответить | Правка | Наверх | Cообщить модератору

47. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Volodya (??), 30-Июл-21, 17:59 
> Использование жёстко указанных в коде паролей и ключей

А они при своем великом исследовании игнорировали код из попочек tests? Похоже что нет.

Ответить | Правка | Наверх | Cообщить модератору

111. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 31-Июл-21, 08:19 
Открою тебе страшную тайну: у питоняш половина логинов-паролей-ключей из "попочек" еще и работает потом, получая извлекать неиллюзорных лулзов всем желающих.
Ответить | Правка | Наверх | Cообщить модератору

50. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +4 +/
Сообщение от Аноним (48), 30-Июл-21, 18:10 
> Группа исследователей

А это точно группа исследователей, а не курсач студентов?

Ответить | Правка | Наверх | Cообщить модератору

56. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 30-Июл-21, 18:38 
о, да, людлю небезопасный код!
Ответить | Правка | Наверх | Cообщить модератору

58. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от YetAnotherOnanym (ok), 30-Июл-21, 19:37 
Хмык...
Жаль, что "исследователей из университета" не интересуют не-университетские языки. Мне реально интересно знать, например, насколько безопасен код в каком-нибудь hex.pm.
Да, я знаю, что там нет рецензирования. Именно поэтому мне это и интересно.
Ответить | Правка | Наверх | Cообщить модератору

61. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Dzen Python (ok), 30-Июл-21, 20:08 
Может быть и мне начать проводить подобные исследования простым шелл-скриптом по открытым репо?

"ШОК! Сенсация! Исследователи из Купчинской Шараги Киников, Валио и Трулио, совместно с парой слепоглухонемых тел из Купчинской путяги моды, при поддержке {тело из элтеха, тело из бонча, тело из итмо, тело из фонда кино, иерархия тел из ростелекома} доказали, что все пакеты на С#, включая попенсорцные, есть полное гумно в плане бишапашности. 94% от 21% есть прямо таки полная лажа, ЗУП даю. Поэтому тру гопник-программист просто обязан писать на 1С и YoptaScript!".

Много хайпа соберу ведь

Ответить | Правка | Наверх | Cообщить модератору

64. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Хан (?), 30-Июл-21, 20:34 
Ключевые пакеты C# доступные через nuget очень ладно скроены самой Microsoft
Ответить | Правка | Наверх | Cообщить модератору

78. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (76), 30-Июл-21, 22:05 
Прогиб засчитан, но если заменть C# на любой другой язык - суть не изменится. Ваш капитан Очевидность.
Ответить | Правка | Наверх | Cообщить модератору

65. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Gogi (??), 30-Июл-21, 20:35 
Вот плата за то, что в язык привлекаются толпы остолопов.
Ответить | Правка | Наверх | Cообщить модератору

73. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (73), 30-Июл-21, 21:44 
Это ты про утечки в С/С++?
Ответить | Правка | Наверх | Cообщить модератору

75. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (28), 30-Июл-21, 22:02 
А ты про вот это вот в Rust?

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=rust

Ответить | Правка | Наверх | Cообщить модератору

97. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 31-Июл-21, 05:32 
А прикольно, они уже таки научились стрелять в пятки довольно метко.
> swap_index has an out-of-bounds write if an iterator returns a len() that is too small.

Или вот еще достойный ответ плюсерам.
> An issue was discovered in the algorithmica crate through 2021-03-07 for Rust.
> There is a double free in merge_sort::merge().

Ответить | Правка | Наверх | Cообщить модератору

77. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от Аноним (28), 30-Июл-21, 22:02 
Более того, учи матчасть маленький. В C/C++ утечек нет внезапно. В отличии от твоего раста.
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

80. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от СССР (?), 30-Июл-21, 23:11 
если голова из жопы ростот то да. Не используй указатели, или пользуйся исключительно готовые контейнера если в голове картошка..
Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

98. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 31-Июл-21, 05:33 
Да и динамическое выделение памяти можно не использовать. А вот в хрусте с всем этим сильно кривее пока вышло, кстати.
Ответить | Правка | Наверх | Cообщить модератору

112. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от СССР (?), 31-Июл-21, 08:27 
но с другой стороны, как без динамики )) это тоже что сказать себе нет, бегать я не буду. опасно, споткнусь и лоб разшибу )) и вот человек только пешим ходом, а то и вовсе ползком )
Ответить | Правка | Наверх | Cообщить модератору

149. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 01-Авг-21, 05:47 
Да нормально вполне. Особенно в всяких фирмварях микроконтроллеров. Да и даже в обычных программах это нужно только если хочется БОЛЬШОЙ кус данных вкатить (более мега, наверное). Что как бы нужно не всем и не всегда.

Некоторые еще указалети раздолбайски юзают. Потом так и ходят, "стрела->колено". ЧСХ такой код потом будучи запущеным под fuzzer'ом и asan/ubsan часто оправдывает ожидания. А вы думали что если гамнякать то облажается только питонист? Да щас.

Ответить | Правка | Наверх | Cообщить модератору

194. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от СССР (?), 04-Авг-21, 00:18 
если у обоих опыта по пол года, курсы закончили которые ) то оба косячить будут, но если опыт у обоих по 5 лет, то у сишника код будет гораздо продуманнее, программа будет не только ради бизнес логиги но и ради оптимизации. т.е. да  сайт визитка или хеллоу ворлд покажут одинаковые результаты и после 10 лет опыта. но если брать IoT к примеру, где бизнес логика это не сайт с формочками заполнения, а целая оргомная экосистема, то там какждый мигросервис уже про оптимизацию и архитектуру. и вот тогда мозгов питониста явно не хватит что бы мыслить как разработчик. Питон как и джава и др скриптовые языки они для описания и учат описывать, как например тот же js в qml, да отлично подходит для описания интерфейса, и использовать с++ для такой задачи ну права не удобно. но скриптовые языки они не учат разрабатывать, создавать инструменты, оптимизировать структуры данных, логику паттернов.
Т.е. тут уже я не про язык какой лучше или хуже, каждый занимает свою нишу. А я про то как ЯП способствует развитию человека. Помните в 12 стульев, блестательных обладательниц словарного запаса из нескольких слов? )  Так т овроде тот же человек, и права у него такие же ). но это уже философия )
Ответить | Правка | Наверх | Cообщить модератору

94. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 31-Июл-21, 05:21 
> Это ты про утечки в С/С++?

Эти для совсем уж остолопов неудобные. Первый при бытье остолопом задолбает. А второй к тому же на нормальном уровне освоить будучи остолопом не особенно просто, это ж не low entry barrier...

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

69. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от Skullnetemail (ok), 30-Июл-21, 21:23 
Не удивлен, библиотеки для питона написаны любителями.
Ответить | Правка | Наверх | Cообщить модератору

81. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –4 +/
Сообщение от economist (?), 30-Июл-21, 23:25 
numpy, pandas, srapy, flask и еще 319+ тыс. либ написаны любителями?  

Хороши любители.

Ответить | Правка | Наверх | Cообщить модератору

92. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Аноним (-), 31-Июл-21, 05:19 
Тогда им двойной позор за такое качество кода, значит гамнякали вполне сознательно.
Ответить | Правка | Наверх | Cообщить модератору

103. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от нах.. (?), 31-Июл-21, 06:41 
Тогда тройной, они еще и на пипу гордо выставили это, на всеобщее.
Ответить | Правка | Наверх | Cообщить модератору

117. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (26), 31-Июл-21, 09:37 
Не надо путать обертки для питона с языком, на котором написана библиотека.
numpy и pandas как и все другие известные библиотеки в 99% написаны на C.
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

130. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от economist (?), 31-Июл-21, 14:46 
На гитхаб ссылки дать, или сами найдете (процентовка кода по ЯП указана справа, в тизере)
Ответить | Правка | Наверх | Cообщить модератору

138. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (26), 31-Июл-21, 18:48 
А причем тут процентовка? И как это отменяет тот факт, что, например, питоновская часть numpy это wrapper для библиотек написанных на Си? Дать ссылку на numpy manual, где об этом прямо говорится или сами найдете?
Ответить | Правка | Наверх | Cообщить модератору

139. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –3 +/
Сообщение от economist (?), 31-Июл-21, 19:37 
https://github.com/numpy/numpy

там написано черным по белому на светлой теме:
Python 63.6% C 35.5%%

Причем на С там дергаются либы языка Fortran

Ответить | Правка | Наверх | Cообщить модератору

170. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 22:54 
Про научный код -- что на питоне, что на плюсах, сях или фортране -- вот выйдет из отпуска коллега, можете с ним потолковать, только запаситесь кастрюлей супротив канделябра на всякий...

Ну и сам посыл про количество как противовес посылу про любителей немного нелогичен, Вам не кажется?

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

79. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –3 +/
Сообщение от СССР (?), 30-Июл-21, 23:09 
потому что питон изначально полюбился математикам для быстрого наброса формулы, и это было нормально. Далее этот язык полюбился быдлокодерам - и это тоже нормально.
Ответить | Правка | Наверх | Cообщить модератору

82. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от нитрол (ok), 31-Июл-21, 02:32 
...начало конца. Грядет кончина IT сферы, какой мы ее знаем. Еще лет 30 в среднем  (а может даже раньше) и начнется постепенная регуляция (сами деньги, т.е. бизнес, будут вынуждены для своего выживания/развития и выхода на след. уровень). Следующим поколениям будет не весело в том, что мы знаем и воспринимаем как данность сегодня. Но там будут новые "плоскости" с новым "фаном", но то уже будет совсем другая история, которую будут комментировать условные опеннетовцы будущего с другими коммуникационными подходами и трюками для поддержания статуса кво.

ps: python здесь ни при чем.
pps: https://www.youtube.com/watch?v=j9V78UbdzWI
ppps: let's кайфовать/ностальгировать, пока еще есть время ;)

Ответить | Правка | Наверх | Cообщить модератору

83. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от Аноним (93), 31-Июл-21, 03:10 
Как обычно, самое время осваивать си и асм. Это был популярный тренд 20 лет назад, 30 лет назад, 40 лет назад, и сегодня ничего не изменилось. Вполне вероятно что через 50 лет тоже ничего не изменится. Сложность ПО растёт, некоторые принципы эволюционируют, но покуда архитектура не совершит качественный шаг в сторону (доступные квантовые вычисления или там что-нибудь в стиле z/os) ничего не поменяется. Пока всё железо будет управляться примитивными машинными инструкциями.

По теме питона, как пользователь pypi я осведомлён о тамошнем качестве кода и его ограниченности относительно нативных либ, но ничего неожиданного. Точно такой же шлак есть, скажем, у жс, и, подозреваю, у жавы. Однако сейчас ситуация куда лучше чем даже 10 лет назад.

Ответить | Правка | Наверх | Cообщить модератору

86. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +4 +/
Сообщение от СССР (?), 31-Июл-21, 04:34 
было: фотопленка - взгляд фотографа - фотография
стало: телефон - сэлфи палка - инстаграм

было: музыкальный инструмент - музыкант - произведение
стало: програмка с симплами - вася, петя - дичь

было: язык программирование - инженер - код, структуры данных, приложение
стало: ЯП для Васи и Пети - Вася и Петя и Тетя Света - дичь

и так можно привести пример во всем, в кино, в продуктах питания, во всем. Мы кудато торопимся, кудато спешим, потокаем бизнесу, уменьшаем издержки и вдруг оказывается что оснавная издержка это сам человек.

Ответить | Правка | Наверх | Cообщить модератору

87. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 31-Июл-21, 04:50 
Музыка стала лучше, техничнее, кинематограф взлетел как никогда, фотография перестала быть такой затратной, языки программирования теперь позволяют решать задачи и не думать о некоторых деталях когда в тех нет нужды. По-сути, ничего не изменилось, только инструменты стали совершеннее. Еда? Ну, тут двояко: с одной стороны отравы стало меньше, но гидрогинизированная техническая пальма очень уж выгодна капиталистам -- в принципе, в остальном мире в последние годы эту дрянь взяли на контроль по содержанию канцерогенов и прочего.
Ответить | Правка | Наверх | Cообщить модератору

91. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +7 +/
Сообщение от Аноним (-), 31-Июл-21, 05:18 
Музыка лучше не стала, почти все легенды - это лет 30+ назад. Зато вылупилась толпа копирасов, лучше всего умеющих доить лошье по максимуму. Насчет взлета кинематографа можно поспорить. Спецэффекты, конечно, улучшились, но все остальное - как минимуму сюжеты большинства фильмов на редкость бездарны, шаблонны и предсказуемы.

А программисты... ну, не зря их вебмакаками стали называть. Взлетело в основном торможение и жрач ресурсов. И теперь для гребаного чатика надо в 1000 раз больше ресурсов чем для полета на Луну. Парад маразма и дегенерации. Превратили искусство в джамшутинг уровня бытовки на стройке, с такими же "кодерами".

Ответить | Правка | Наверх | Cообщить модератору

114. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –3 +/
Сообщение от Аноним (118), 31-Июл-21, 09:23 
Это и есть взлёт. Взлёт индустрии, а не качества кода. Экспансия в ширь, из-за которой прогресс качественный не так заметен. Но он есть. Появтлись инструменты, которых раньше не было и если вообще раньше заикнуться об идее которых, то программисты бы пальцем у виска покрутили. Не было у Маргарет Гамильтон интернета и браузера для просмотра котиков, и компилятор для rust был ей не нужен, обходилась ручным побитным навязыванием сердечников на сетку.
Ответить | Правка | Наверх | Cообщить модератору

150. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (-), 01-Авг-21, 05:59 
> Это и есть взлёт. Взлёт индустрии, а не качества кода.

Больше всего этот "взлет" напоминает, вот реально, современных российских строителей.

> Экспансия в ширь, из-за которой прогресс качественный не так заметен. Но он есть.

Я бы сказал что вы сделали несколько опечаток в слове "регресс". Потому что глюкавые тормозилки сделаные джамшутом на коленке - оно прогресс кого и в чем? Это как сказать что селфи таблища васяна - прогресс в кинематографе. Бывают интересные ролики, но именно "прогресс в кинематографе" для 99.9(9)% громко сказано. Как максимум кто-нибудь напялил экшн камеру, а единственная заслуга - что он камере не мешал, так что методом 8 000 000 000 обезьян случайно написалась "война и мир".

> Появтлись инструменты, которых раньше не было и если вообще раньше заикнуться
> об идее которых, то программисты бы пальцем у виска покрутили.

ЧСХ те программисты как-то уважение вызывали. А эти - столько же уважения сколько косорукий разнорабочий со стройки, которого нанимают либо полные раки, либо те кто делает не для себя а чтобы впарить хату лохам.

> Не было у Маргарет Гамильтон интернета и браузера для просмотра котиков, и
> компилятор для rust был ей не нужен, обходилась ручным побитным навязыванием
> сердечников на сетку.

ЧСХ они понимали что делают. И что еще характернее, без них и их достижений - работать нихрена не будет один черт. Ну как, операционки, либы, рантаймы и проч что вы дергаете своими кривыми гамняками - кто-то должен же писать, они на деревьях не растут. Вы просто в своей глупой самоуверенности сами их выдвинули в нечто типа высшей касты, чтоли. Ну так логично к вам относиться как к второму сорту тогда. Каковым вы и являетесь. Мигранты со стройки, без гражданства.

Ответить | Правка | Наверх | Cообщить модератору

120. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Аноним (76), 31-Июл-21, 10:30 
> Музыка лучше не стала, почти все легенды - это лет 30+ назад.

Кмк, перепутаны причина и следствие. Треш 30-летней давности уже никто не помнит, а то, что запомнили - то и легенда. И 30 лет тут можно заменить и на 300 и на 3000.

> Насчет взлета кинематографа можно поспорить. Спецэффекты, конечно, улучшились, но все остальное - как минимуму сюжеты большинства фильмов на редкость бездарны, шаблонны и предсказуемы.

Технологии создания спецэффектов взлетели, технологии написания сценариев осталась на том же уровне, тут пока революции не случилось.

> А программисты... ну, не зря их вебмакаками стали называть. Взлетело в основном торможение и жрач ресурсов. И теперь для гребаного чатика надо в 1000 раз больше ресурсов чем для полета на Луну. Парад маразма и дегенерации. Превратили искусство в джамшутинг уровня бытовки на стройке, с такими же "кодерами".

Опять же - веб-технологии взлетели, а технологии и масштабы обучения программистов - остались как были. В итоге людей которые понимают, что делают, взять просто негде, нет их.

Ответить | Правка | К родителю #91 | Наверх | Cообщить модератору

122. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Онаним (?), 31-Июл-21, 10:55 
> Кмк, перепутаны

Кмк да, согласен.
Впрочем в музыке я с удовольствием кушаю свеженькое, поэтому "легенды" тоже уже как-то забылись.

> Технологии создания спецэффектов взлетели, технологии написания сценариев осталась на том же уровне

Вот здесь хер там. Взлетел спрос долбящихся в глаза на спецэффекты, широкие экраны попкорнтеатров и FPS'ы, а сюжет до них как раньше не доходил, так и сейчас не доходит. А раз за сюжетом много не идут - то и нет смысла, лучше ещё вот в эти глаза подолбиться за денежку. Короче, обычный рациональный бизнес-подход, плох он или хорош, но он рационален и отвечает потребностям быдлома... простите, целевой аудитории.

> людей которые понимают, что делают, взять просто негде

Да. А те, которых есть где - для многих желающих "срубить по бырику и на сейл" стоят запредельно, что и правильно.

Ответить | Правка | Наверх | Cообщить модератору

126. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (76), 31-Июл-21, 13:30 
> А раз за сюжетом много не идут - то и нет смысла, лучше ещё вот в эти глаза подолбиться за денежку. Короче, обычный рациональный бизнес-подход

Ну да - закономерный процесс, а не "начало конца". И, кстати новые, более новые и детальные "бум-бдыщ-эффекты" и появляются все реже, начинают потихоньку приедаться, т.к. дальше уже не прогрессируют и на них одних ленту в 2020-х уже не вытащить.

Ответить | Правка | Наверх | Cообщить модератору

179. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 02-Авг-21, 08:24 
Появилась некая теория какие звуки нравятся людям. И довольно много этого добра стало вообще generated. Для рубки денег копирасами оно, конечно, просто клад, но тут как бы логичнее говорить о прогрессе в ... CS и человековедении, чтоли. К музыке оно как-то зело косвенно. А заодно и к успешному лохоразводу, кто б стал это делать если б не перспектива больше бабок срубить.
Ответить | Правка | Наверх | Cообщить модератору

151. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 01-Авг-21, 06:17 
> Кмк, перепутаны причина и следствие. Треш 30-летней давности уже никто не помнит,
> а то, что запомнили - то и легенда. И 30 лет тут можно заменить и на 300 и на 3000.

Очень интересно! Хотя-бы десяток музыкальных произведений и их создателей 3000-летней давности вы вот так с наскока назовете? Про фильмы я уж молчу. Вообще-то когда фильмы снимать было трудно и затратно, а каждый кадр был достижением - делать сие хреново было пипец как несподручно. И оно почти слошняком ушло шедеврами классики, внезапно. Где Чарли Чаплин, а где Васька с селфи-палкой? Талант Васьки такой что через 5 лет никто и не вспомнит что он вообще существовал. Куда ему и дорога.

> Технологии создания спецэффектов взлетели, технологии написания сценариев осталась на
> том же уровне, тут пока революции не случилось.

Ну так в результате получается унылая хня. И тогда лучше компьютерную игру взять, чтоли: там сюжет может быть нелинейный а то и зависеть от игроков, что дает новую степень свободы. А спецеффекты там не особо хуже. Только теперь вы можете сами заделаться вон тем космическим капитаном и полететь надрать ж@пу космическим пиратам. Однако пираты иного мнения, для них это халявные ресурсы, чесалочка для ЧСВ, а то и VIP/вражеский ас/что там еще с наградой за голову. А вот эффекты как раз будут - и вот что-что а с движками и эффектами не джамшутят, иначе кому этот треш будет нужен?

> Опять же - веб-технологии взлетели,

Превратив их носителей в маляров-штукатуров по сути. Вон на одеске по 5 баксов в час толпы. Не, ну для парня из индии который бы иначе фекальную яму бы чистил вообще это даже как бы апгрейд его уровня жизни. Но программит он так же как вон те маляры-штукатуры без гражданства.

> а технологии и масштабы обучения программистов - остались как были.

А бизнесу оно надо - вкладывать бабки в каких-то лопухов? Это вот реально как с стройками получилось - можно вон тех, без гражданства, еще дешевле нагнать.

> В итоге людей которые понимают, что делают, взять просто негде, нет их.

Да, поэтому вы можете спокойно нанять электрика с которым вам вообще повезет если вас не убьет, или сантехника, с которым вы потом 20 раз об экономии пожалеете, залив все и вся. Они ж не настоящие электрики-сантехники, просто научились кой-как соединять трубы-провода и айда бабки зарабатывать. Благодаря таким мордам потом начинают вводить допуски и сертификацию, потому что хреново когда все и вся затапливает и $@#%шит током.

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

158. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (158), 01-Авг-21, 12:40 
"Все херово, а раньше было лучше". Спасибо.
Ответить | Правка | Наверх | Cообщить модератору

174. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 23:16 
Это было к слову о тысячелетиях и молодёжи, которая хлещет неразбавленное вино? :)))
Ответить | Правка | Наверх | Cообщить модератору

177. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (-), 02-Авг-21, 05:03 
> "Все херово, а раньше было лучше". Спасибо.

К тому есть некие предпосылки. Пока нечто сложно и challenge, хреново это делать смысла нет. А когда это как в магаз за пиварем сгонять, challenge нет и зачем стараться? Ну и получается дрейф по пути наименьшего сопротивления. С характерным результатом.

Ответить | Правка | К родителю #158 | Наверх | Cообщить модератору

173. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 23:14 
> Технологии создания спецэффектов взлетели, технологии написания
> сценариев осталась на том же уровне, тут пока революции не случилось.

Вы всё проморгали.  Ливарюция в синематографе таки случилась -- по крайней мере за лужей.

Вот только, как обычно, дрянная: на Оскар без золушки-негритянки не подавайся, гругря.

А про разницу ремесленников и мастеров лучше сразу почитать того же Ершова: http://lib.ru/MEMUARY/ERSHOW_W/zapiski_ezdowogo_psa.txt (заодно передам привет User294 насчёт летающих контуперов, очень тут в контекст).

Ответить | Правка | К родителю #120 | Наверх | Cообщить модератору

178. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (178), 02-Авг-21, 08:12 
Я это уже читал. Прикольная штука. И, КМК, вы среди его букв не увидели то что он хотел сказать. А я вроде вижу. Хоть и не со всем согласен.

Например, что ни говори, есть поколения. Людей, технологий. Я принадлежу к эре computer assisted. Для меня это симбиоз, увеличивающий эффективность и возможности, дополняющий друг друга. Это предпочитаемый интерфейс к сложным системам. Если допустить что есть 2 самолета на выбор, мне с fly by wire. С ним я вскоре стану 1 целым, это наилучший вариант. А тумблеры и стрелочки, выносом рутины на мясо - себе оставьте, это не мое.

И это, люди тоже лажают. И если статистика FAIL-ов известна, то сколько людей спасено на провальных маневрах компьютерами - я не знаю. Но примеров провальных маневров, чуть не рефлекторно-животного свойства есть даже у пса. Какой-нибудь Эйрбас так просто не даст сделать в нормальном режиме.

...и все же, если допустить что именно я должен сесть именно в то кресло, я не оторвусь от земли пока не буду уметь возвращаться на минимальных приборах, без двигателей, на аварийной ветровой турбинке. Случаи бывают разные. Но даже так, цифровой тренажер позволит понять физику и логику этого без перспективы помереть в этом процессе. И когда оно летающая сеть компьютеров, то и нелетающую версию под тренажер как-то сильно проще делать.

А чисто инженерно несколько универсальных дублированых шин вместо месива проводочков, тяг и тросиков совершенно аццкий win. Это делает механику сильно проще и сильно меньше точек отказа.

Ответить | Правка | Наверх | Cообщить модератору

171. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 23:04 
> Музыка стала лучше, техничнее

Лучше или техничнее?

Лет двадцать назад хорошему приятелю, собравшему своими руками колонки hi-end класса (тогда их оценивали примерно в $20k, но делал себе) -- сказал на совместном прослушивании, кажется, единственного добытого им SACD в ответ на восхищённую характеристику АЧХ всего тракта: "Володь, понимаешь, тут и верхи, и низы, и серединка -- да, всё отписано и воспроизведено технически хорошо; вот только _содержания_-то и нет" (это был какой-то пустой бум-бум-бумц).

А теперь берём обычную балалайку и две руки да одну душу Алексея Архиповского -- и понимаем, что МУЗЫКА-то и в наши дни есть.  Просто не там, где громче бумцает и линейней АЧХ тракта за неимением сути.

> кинематограф взлетел как никогда

То-то послевоенные голодные советские мультики смотрятся шедевром на фоне практически всего, что сейчас клепают на скору ногу (опять же по причине наличия смысла в тех сказках, на которых их основывали).  За фильмы тоже что-то могу сказать как выросший в киноподъезде, но Вам опять же не понравится.

> фотография перестала быть такой затратной

...и когда не размышляешь над каждым кадром -- с одной стороны, можешь лишний раз успеть снять шедевр, пока он к тебе мордой с колокольчиком повёрнут, а с другой -- отклацанное кто из вас сразу же оперативно разгребает и сортирует, выкидывая неудачные дубли и отбирая то, что вообще стоит сохранения?..

> и не думать

Вот и не думают (см. тему новости).

> очень уж выгодна капиталистам

Не в той плоскости разницу ищете, коммунизьм с капитализьмом в одном кибуце родились.  И алчности да людоедства в них как минимум сопоставимо оказалось -- по печальному опыту нашей страны и других стран тоже.

Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

188. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 02-Авг-21, 15:58 
Да, какой-нибудь Anal Cunt, пожалуй, только вживую и заходит. Но, есть же там Heilung (бдыщ-бдыщ), я не знаю. Кмк, чем сложнее, тем больше деталей искажается, и уже лезут всякие ощутимые дефекты. Плохая акустика тоже ощущается (в наушниках нормальное звучание проще и дешевле получить).

Я тут больше про то, что если вместо atari st и c64, или какой доисторической электропианины, взять какой-нибудь уже альбетон, результаты будут ощутимо лучше в среднем. Его проще и удобнее использовать. В любое время. Это не стоит космических денег. Нет риска быть убитым электрическим током, опять же. Теперь качественный студийный звук доступен каждому. Любые идеи воплотимы. У артистов существует понимание, как получить результаты. Как должна звучать музыка, что от неё требуется. Возможности для анализа результатов.

В прошлые сотни лет тоже все воровали одни и те же идеи друг у друга -- ничего страшного в этом нет, как по мне. От чего-то отошли, ну так электронная музыка живую и не заменит до конца. Семплы конечно хорошо, но живое исполнение -- это отдельная тема, там совершенной идеальности не требуется, интересней шоу и видеть труд. А вот фанера это не очень красиво. Учитывая, что исполнители всё больше выпускают альбомы на 1-2 приличных трека… Ну, чем больше исполнителей, тем лучше.

Ответить | Правка | Наверх | Cообщить модератору

193. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от СССР (?), 04-Авг-21, 00:05 
музыка стала квадратная, кино содержит максимум насилия, фотография стала не искуством а возможностью показать что ты ешь или что ты пьешь. С++ сегодня дает возможность абстрагироваться от аппаратной части и сконцентрироваться на бизнеслогике. Изучать новый язык это не рационально.Еда - отравы стало больше, в магазине из достойной еды только каши и мюсли, все остальное для свиней. Фрукты не пахнут, это как? вы в какойто иллюзии жывете. Вы примите мою точк зрения только в том случае если, если эта точка зрения будет активно пропагандироваться по телевизору, и так будет считать большенство. к самостоятельному мышлению вы не способны.
Ответить | Правка | К родителю #87 | Наверх | Cообщить модератору

195. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (93), 04-Авг-21, 00:41 
Ну как бы твоё мировосприятие тоже построено только на самых поверхностных вещах. Оно как бы так и есть, и даже отчасти верно, но это далеко не всё, и я точно знаю, что есть и другое. Поэтому и говорю так. Глубже надо смотреть. Понимать причины, наконец.
Ответить | Правка | Наверх | Cообщить модератору

196. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от СССР (?), 05-Авг-21, 08:14 
совершенству нет предела и естественно и мне и тем кто мудрее меня в разы и им так же есть куда развиваться, но главное выбрать направление развивать свое самосознание, научится использовать свой разум, применять его а не перекладывать все и вся на машину (тем более эта машина мало ли кому еще подконтрольна божет быть - но это уже другая история)
Ответить | Правка | Наверх | Cообщить модератору

85. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от _kp (ok), 31-Июл-21, 04:33 
Несмотря что у Питона и ниша применения далеко не всегда требует вообще задумываться о безопасности, да много любителтского кода, результаты анализа бездумны и бесполезны.
Более того, если сама постановка задачи даже не подразумеват анализа кода, о какой пользе от результата может быть речь. От програмки школьника или расберриста больше пользы, они хоть обычно кривыми способами, но дают полезный результат. А тут заумно перечислили, что вспомнили, но с нулевым выхлопом.

Ps: Python организм не перевариват, но поскольку он повсюду, по работе приходится регулярно.

Ответить | Правка | Наверх | Cообщить модератору

88. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от бедный буратино (ok), 31-Июл-21, 04:58 
инструмент недалеко ушёл от такого:

for n in `ls *.py`
do
echo $n уязвим!
done

Ответить | Правка | Наверх | Cообщить модератору

90. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +3 +/
Сообщение от Аноним (-), 31-Июл-21, 05:13 
Какой сюрприз, оказывается на питоне в основном г@внокодят.
Ответить | Правка | Наверх | Cообщить модератору

172. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Michael Shigorinemail (ok), 01-Авг-21, 23:07 
Вы упускаете существенную разницу между созданием и публикацией, думаю.
Ответить | Правка | Наверх | Cообщить модератору

104. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (104), 31-Июл-21, 07:56 
интересный тест, эта страница так же содержит небезопасный код,так как присутствуют слова "небезопасный код"
Ответить | Правка | Наверх | Cообщить модератору

115. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (115), 31-Июл-21, 09:28 
в результате любой крупный проект использующтй стронние либы на любом ЯП будетвсе гда уязвим?
Ответить | Правка | Наверх | Cообщить модератору

123. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Онаним (?), 31-Июл-21, 10:58 
Да. Любой крупный проект всегда будет уязвим, идеальных писателей нет.
Ответить | Правка | Наверх | Cообщить модератору

124. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Онаним (?), 31-Июл-21, 10:58 
Другое дело, что "крупный проект" на пистонах - это обычно 99% стороннего кода, поэтому это всё будет куда уязвимее.
Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

116. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от Аноним (116), 31-Июл-21, 09:37 
ну почти весь код потенциально опасен :)
Ответить | Правка | Наверх | Cообщить модератору

136. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –3 +/
Сообщение от InuYasha (??), 31-Июл-21, 17:29 
значит, любой программист потенциально опасен! )
*кровожадный рёв роскомнадзиллы*
- запр-р-р-р-ретить!!
Ответить | Правка | Наверх | Cообщить модератору

155. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Брат Анон (ok), 01-Авг-21, 08:55 
Не ну, и не почти. А всегда и везде.

В отличии от презумции невиновности человека, в отношении кода в серьёзных системах действует презумция виновности -- безопасность кода должна быть доказана. Пока не доказано -- код априори глючный.

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

131. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –2 +/
Сообщение от economist (?), 31-Июл-21, 15:14 
Уязвимости ОС, протоколов WiFi, железа - гораздо опаснее чем какие-то try/except/else паттерны в открытом коде, вам не кажется, народ?  

Либы питона открыты, боишься - не используй. Пиши сам (а... слабо)

Чем меньше агрессивно настроенных поклонников других ЯП будут лезть в питон мир и пытаться его "пробовать" - тем легче будет простым питонистам жить и работать. Мы, в отличие от "боящихся и стремящихся истребить всех змей" - очень любим и другие языки, потому что все они полезны. Истребите змей - придут мыши и принесут чуму.  

То что 90% хакерских инструментов написаны на или для Python - ну чистое совпадение, ведь так?

Ответить | Правка | Наверх | Cообщить модератору

135. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –3 +/
Сообщение от Аноним (-), 31-Июл-21, 17:25 
Экономист прав. Питон не чмырите. Язык хороший в свой нише.
Ответить | Правка | Наверх | Cообщить модератору

137. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от InuYasha (??), 31-Июл-21, 17:30 
*в своей днише.
Ответить | Правка | Наверх | Cообщить модератору

152. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Аноним (-), 01-Авг-21, 06:30 
> Уязвимости ОС, протоколов WiFi, железа - гораздо опаснее чем какие-то try/except/else паттерны
> в открытом коде, вам не кажется, народ?

Расскажите это кулхацкерам которых поимели через bitmessage, да еще распиарив сие как офигеть какой тул. Мне кажется что им после этого было опаснее не придумаешь просто. И нет, случайная фирмвара вафли так не подставит. Хотя-бы потому что там еще поди отличи бесполезного хомячка с которого взять нечего кроме селфи, которых и так весь интернет, так что совершенно не обязательно с фирмварой вафельниц развлекаться.

> То что 90% хакерских инструментов написаны на или для Python - ну чистое совпадение, ведь так?

В этой среде есть очень меткое понятие - кулхацкеры. Вы как раз про это.

Ответить | Правка | К родителю #131 | Наверх | Cообщить модератору

140. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (140), 31-Июл-21, 23:10 
Какое это имеет значение, если программы все равно выполняются на небезопасном процессоре?
Ответить | Правка | Наверх | Cообщить модератору

156. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Брат Анон (ok), 01-Авг-21, 08:57 
Да, процессор опасный (а не небезопасный -- безопасность пока никто не доказал, обратный примеров -- уже черезчур). Но что лучше: 10 дыр в заборе, или три дыры в заборе?
Ответить | Правка | Наверх | Cообщить модератору

153. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +1 +/
Сообщение от Mikhail (??), 01-Авг-21, 07:54 
Библиотека bandit которой проводился анализ выдает очень посредственные результаты для того чтобы ей пользоваться повсеместно. Мы попытались ею воспользоваться в одном из проектов и она выявила что-то около полутора тысяч срабатываний. Мы долго разгребали результаты, но ничего существенного так и не нашли. В основном это уведомления уровня линтера или потенциальной проблеме которой нет. Есть модули на которые просто ругается по умолчанию. Например сервис gravatar просит вычислить md5 от email'а чтобы получить адрес картинки пользователя, эта либа пометит такое использование как критическое, хотя если переименовать название функции генерации хеша, то пропустит.

Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок на сайте для специалистов. Более подходящее название было бы "исследователи нашли множество ложно положительных срабатываний в библиотеках pypi". К безопасности эта новость отношения не имеет.

Ответить | Правка | Наверх | Cообщить модератору

157. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  –1 +/
Сообщение от Брат Анон (ok), 01-Авг-21, 09:02 
> Реальных проблем с безопасностью мы от библиотеки bandit не получили, весь максимум
> полезности нам дал pylint. Поэтому мне удивительно видеть такой желтушный заголовок
> на сайте для специалистов.

Начну с конца.
1) Это не сайт специалистов.
2) bandit (если память не отшибло) включает в себя в том числе и pylint (лично я пользуюсь именно им)
3) Сколько бы ошибок тулза не выдала -- надо устранить их все. Потому что, если хоть одна из них имеет в начале буковку "Е" -- в 1500 строк всё это будет потеряно.
4) Если граватар использует MD5 для генерации картинок -- это означает, что имея терпение и желание по картинкам можно вычислить почту пользователей. А ЭТО -- ПРОБЛЕМА.

Так что, не всё так однозначно, MD5 -- зло, а автор граватара -- потенциально подложил свинью всем пользователям либы.


Ответить | Правка | Наверх | Cообщить модератору

187. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +2 +/
Сообщение от Анон1212 (?), 02-Авг-21, 15:02 
А почему не 146%?
Ответить | Правка | Наверх | Cообщить модератору

199. "46% Python-пакетов в репозитории PyPI содержат потенциально ..."  +/
Сообщение от Аноним (199), 09-Авг-21, 20:44 
Надо было на расте писать.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру