The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в библиотеке с основной реализацией алгоритма SHA-3"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в библиотеке с основной реализацией алгоритма SHA-3"  +/
Сообщение от opennews (??), 21-Окт-22, 09:01 
В реализации криптографической хэш-функции SHA-3 (Keccak), предлагаемой в пакете XKCP (eXtended Keccak Code Package), выявлена уязвимость (CVE-2022-37454), которая может привести к переполнению буфера в процессе обработки определённо оформленных данных. Проблема вызвана ошибкой в коде конкретной реализации SHA-3, а не уязвимостью в самом алгоритме. Пакет XKCP преподносится как официальная реализация SHA-3, развивается при участии команды разработчиков Keccak и используется в качестве основы в функциях для работы с SHA-3 в различных языках программирования (например, код XKCP используется в Python-модуле hashlib, Ruby-пакете digest-sha3 и PHP-функциях hash_*)...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57953

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. Скрыто модератором  +7 +/
Сообщение от Аноним (1), 21-Окт-22, 09:01 
Ответить | Правка | Наверх | Cообщить модератору

3. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 21-Окт-22, 09:03 
Ответить | Правка | Наверх | Cообщить модератору

7. Скрыто модератором  +2 +/
Сообщение от Rev (?), 21-Окт-22, 09:08 
Ответить | Правка | Наверх | Cообщить модератору

10. Скрыто модератором  –3 +/
Сообщение от Аноним (10), 21-Окт-22, 09:17 
Ответить | Правка | Наверх | Cообщить модератору

26. Скрыто модератором  –2 +/
Сообщение от Аноним (26), 21-Окт-22, 09:45 
Ответить | Правка | Наверх | Cообщить модератору

29. Скрыто модератором  +1 +/
Сообщение от Аноним (10), 21-Окт-22, 09:50 
Ответить | Правка | Наверх | Cообщить модератору

30. Скрыто модератором  –2 +/
Сообщение от Аноним (30), 21-Окт-22, 09:55 
Ответить | Правка | Наверх | Cообщить модератору

33. Скрыто модератором  +/
Сообщение от Аноним (10), 21-Окт-22, 09:59 
Ответить | Правка | Наверх | Cообщить модератору

37. Скрыто модератором  –2 +/
Сообщение от Аноним (37), 21-Окт-22, 10:04 
Ответить | Правка | Наверх | Cообщить модератору

35. Скрыто модератором  –1 +/
Сообщение от Аноним (35), 21-Окт-22, 10:03 
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

27. Скрыто модератором  +/
Сообщение от Анонн (?), 21-Окт-22, 09:45 
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

32. Скрыто модератором  +/
Сообщение от Аноним (10), 21-Окт-22, 09:56 
Ответить | Правка | Наверх | Cообщить модератору

39. Скрыто модератором  +1 +/
Сообщение от Анонн (?), 21-Окт-22, 10:15 
Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –14 +/
Сообщение от Джон Макагонов (?), 21-Окт-22, 10:57 
Еще один жирнющий намек на раст, рано или поздно сишники перейдут на раст - у них просто на останется выбора,  это дело времени.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (43), 21-Окт-22, 11:16 
С Фортрана?
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +5 +/
Сообщение от Аноним (66), 21-Окт-22, 12:33 
Тут только намек на то что открытый код спасает от проблем. А повышать надо квалификацию и тестирование.  
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

68. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (68), 21-Окт-22, 12:54 
Могут перейти на Hare.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

79. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Брат Анон (ok), 21-Окт-22, 13:57 
golang и oberon это умеют точно так же.
Только с человеческим синтаксисом и без всякого пеара.
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

83. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (-), 21-Окт-22, 14:02 
У го жирный рантайм(((

А "человеческий синтаксис" это явно не про оберон

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +1 +/
Сообщение от Аноним (87), 21-Окт-22, 14:16 
У раст жирный рантайм(((
Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –2 +/
Сообщение от Аноним (122), 21-Окт-22, 22:11 
Растоманы надоели все время врать что у них нет рантайма. Все опеннет эксперты знают что borrow checker это тот же сборщик мусора, а llvm значит интерпретатор.
Раст такой же интерпретируемый язычек как и java
Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (89), 21-Окт-22, 15:01 
Раст еще жирнее. Сколько там хелло ворлд весит дебажный?
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

106. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +3 +/
Сообщение от Neon (??), 21-Окт-22, 17:19 
"человеческий синтаксис"  - уж точно не про Rust
Ответить | Правка | К родителю #83 | Наверх | Cообщить модератору

110. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –2 +/
Сообщение от freecoder (ok), 21-Окт-22, 18:19 
У Rust хороший синтаксис. Особо не лучше и не хуже, чем в других языках. Новичкам только непривычен.
Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (-), 21-Окт-22, 18:44 
> У Rust хороший синтаксис.

Он хороший, правда меняется от версии к версии, нет никаких стандартов но в общем он хороший

Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (122), 21-Окт-22, 22:07 
Растоманы надоели менять свой синтаксис в каждой версия, пока пишу хелло ворлд, он уже перестает работать
Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от freecoder (ok), 26-Окт-22, 10:48 
> Растоманы надоели менять свой синтаксис в каждой версия, пока пишу хелло ворлд,
> он уже перестает работать

Приведите пример синтаксиса, который перестал работать между изменениями версий Rust. (Спойлер: такого нет).

Ответить | Правка | Наверх | Cообщить модератору

113. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +3 +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Окт-22, 19:40 
> У Rust хороший синтаксис. Новичкам только непривычен.

Китайский просто язык. Новичкам только непривычен.

Ответить | Правка | К родителю #110 | Наверх | Cообщить модератору

123. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –2 +/
Сообщение от Аноним (122), 21-Окт-22, 22:20 
То что эксперты опеннет не могут освоить си подобный синтаксис раста, говорит не о том что экспертам нужно заняться чем-то далёким от программирования, а о том что Раст это сложно язык.
Любой опеннет эксперт это понимает и до физической работы, да и вообще любой работы не опустится.
Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (96), 21-Окт-22, 15:48 
> Еще один жирнющий намек на раст

Ну и каким образом раст поможет в решении этой проблемы? Его компилятор что, знает значения переменных во время выполнения?

Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

103. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –3 +/
Сообщение от Igraine (ok), 21-Окт-22, 17:01 
https://doc.rust-lang.org/book/ch03-02-data-types.html#integ...

Проверкой в debug режиме

Ответить | Правка | Наверх | Cообщить модератору

129. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от OpenEcho (?), 22-Окт-22, 06:18 
Есть такая хорошая пословица: "Осел останется Ослом, хоть ты осыпь его звездами."
Так и здесь, раст не панацея, это просто инструмент и если он в руках дебила, то разницы между молотком и микроскопом нет
Ответить | Правка | К родителю #40 | Наверх | Cообщить модератору

46. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (46), 21-Окт-22, 11:20 
у кого 2 в 32й равно 200 байт????
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (-), 21-Окт-22, 13:25 
у кого? где ты такое вычитал?
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (48), 21-Окт-22, 11:26 
Теперь люди будут шарахаться от предложений об обязательной проверке хеша после скачивания...

Мне кажется, что компилятор должен был громко кричать о подобных переполнениях и его либо не слушали, либо заткнули ему рот.

Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Без аргументов (?), 21-Окт-22, 11:29 
В Го даже int8 к int32 присвоить без внимания программиста нельзя
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Без аргументов (?), 21-Окт-22, 11:30 
В современных Сях тоже полно опций предупреждений и ошибок. Но скажу, почему выключают: сразу все импорты начнут высыпать, а не собственный код.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

72. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +1 +/
Сообщение от Аноним (96), 21-Окт-22, 13:27 
Но компилятор же не может знать значений переменных в рантайме.
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

73. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (48), 21-Окт-22, 13:29 
Не может, но всегда предполагает самое худшее.
Ответить | Правка | Наверх | Cообщить модератору

124. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (122), 21-Окт-22, 22:24 
Растоманы не могут понять даже таких очевидных вещей, что компилятор по настоящему безопасного языка должен предполагать самое худшее.
Любой опеннет эксперт это подтвердит, Раст на самом деле опасный язык
Ответить | Правка | Наверх | Cообщить модератору

58. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Аноним (58), 21-Окт-22, 12:07 
Всё-таки сработала тысяча глаз
Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Анонн (?), 21-Окт-22, 12:57 
Не, это явно не тот случай.
"Тысяча глаз" была бы если бы это нашел рандомный анон с опеннета.

А этот чувак -- исследователь-криптограф с профильным образованием, разработчкик Chaskey, с публикациями (https://mouha.be/publications/), работающий в Computer Security Division NIST.
Это его работа и он сделал ее хорошо)))
Уверен что он знал (ну, или как минимум предполагал) и где искать и что искать.

Ответить | Правка | Наверх | Cообщить модератору

77. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Michael Shigorinemail (ok), 21-Окт-22, 13:52 
Вы сами заметите ошибку в логике своего _опубликованного_ комментария или понадобится ещё сколько-то прочитавших и ещё один не поленившийся ответить? :)
Ответить | Правка | Наверх | Cообщить модератору

78. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +4 +/
Сообщение от Аноним (-), 21-Окт-22, 13:53 
> рандомный анон с опеннета.

... не умеет в программирование. ;)

Ответить | Правка | К родителю #69 | Наверх | Cообщить модератору

127. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от 1111 (??), 22-Окт-22, 02:50 
>> рандомный анон с опеннета.

даже если найдётся тот кто умеет - его сразу деанонимизируют и опять скажут что но не анонимый и не рандомный. Глядишь до местных мыслителей через тысячу итерация дойдёт что конкретное дело не может сделать кто то рандомный, а только кто то  конкретный с именем, даже ели он с опеннета...

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +3 +/
Сообщение от Аноним (59), 21-Окт-22, 12:09 
Объясните как безопасный раст защитит от таких переполнений?
Допустим библиотека написана на безопасном расте. В параметры передаются указатели на буфер с исходными данными и на буфер для сохранения результата и соответственно их размеры. Если в алгоритме ошибка то любой раст спокойно выйдет за пределы буфера и ни кто про это не узнает.
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Без аргументов (?), 21-Окт-22, 12:15 
Не знаю как в Расте, но даже в Го меня бесит, что стандартные всякие циклы, len и возвращаемые количество знаковых типов, т.е. если у себя использовать беззнак, то только приведет к такой же проблеме
Ответить | Правка | Наверх | Cообщить модератору

80. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +1 +/
Сообщение от Брат Анон (ok), 21-Окт-22, 13:59 
Не приведёт. Го требует явное приведение типов, иначе откажется такой код собирать.
И использовать счётчики циклов в Го -- это ни разу не го-вей.
Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Без аргументов (?), 21-Окт-22, 18:12 
это как в Го без счетчиков? даже в range он есть, но когда мне надо перелопатить 200к строк БД на стороне Го, наполняя слайс структур, я предпочитаю работать по ссылке, а не копии.
Ответить | Правка | Наверх | Cообщить модератору

109. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Без аргументов (?), 21-Окт-22, 18:14 
я имею в виду нет никакой пользы, если я напишу
a := uint64_t(123)
if a < uint64(len(slice))
или
if int(a) < len(slice)
Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

62. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Анонн (?), 21-Окт-22, 12:17 
В дебаге переполнение вызвало бы панику и намекнуло бы программисту что что-то пошло не так (причем жирно так намекнуло, со стектрейсом аж до проблемы).

Допустим этого не случилось и оно пошло в прод. В проде переполнение бы произошло, но при попытке "записи хвоста за пределы выделенного буфера" произошла бы другая паника. А дальше зависит от написаного кода. Если кастомной обработки паники нет - приложение бы упало, но не было бы RCE. Если кастомная обработка есть - то зависит от ее логики.

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

65. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +3 +/
Сообщение от Аноним (66), 21-Окт-22, 12:32 
Никак раст в этом месте будет применять unsafe.
Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

67. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Анонн (?), 21-Окт-22, 12:35 
Фигли? Вот в скрытой ветке выше есть две ссылки на сорцы и там никакого unsafe там нет.
Просто потому что он там не нужен.
Ответить | Правка | Наверх | Cообщить модератору

70. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (-), 21-Окт-22, 13:08 
Дааааа, без анскйфа никуда, а то ж тормозить будет)))
https://imgflip.com/i/6xqnov
Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

75. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (87), 21-Окт-22, 13:34 
Ну дополнительные проверки не могут существовать без дополнительных накладных расходов.
Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Брат Анон (ok), 21-Окт-22, 14:01 
> Ну дополнительные проверки не могут существовать без дополнительных накладных расходов.

Дополнительные проверки -- это результат кривого железа. И это не дополнительные проверки. Это нормальные проверки.

Ответить | Правка | Наверх | Cообщить модератору

88. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (87), 21-Окт-22, 14:17 
Что ты несёшь?
Ответить | Правка | Наверх | Cообщить модератору

97. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от fhsdfku (?), 21-Окт-22, 16:03 
это походу новая повесточка от хозяев растоманов: покупайте наше сааамое безопасное железо!
Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Аноним (99), 21-Окт-22, 16:09 
Да они походу пытаются толкать RISC-V как новое безопасное железо.
Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +1 +/
Сообщение от Анонн (?), 21-Окт-22, 16:49 
А с чего бы RISC-V стал безопасным?
У него другие плюсы - можно делать процы и не башлять ARM.
Ответить | Правка | Наверх | Cообщить модератору

93. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (58), 21-Окт-22, 15:35 
Любые проверки это дополнительные расходы, давайте без них. Ну кому нужен этот SHA?
Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

112. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Аноним (112), 21-Окт-22, 19:19 
Если они происходят не в компайл тайме, как борроучекер.
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Ilya Indigo (ok), 21-Окт-22, 12:32 
Я так понимаю SHA-3 != SHA3-256, и SHA3-256 это не затрагивает, тем боле без 4 ГБ блока?
Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Аноним (86), 21-Окт-22, 14:14 
Проверь и доложи.
Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (104), 21-Окт-22, 17:14 
SHA-3 - семейство функций, которое включает, в том числе, функцию SHA3-256.
Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

84. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (10), 21-Окт-22, 14:07 
> Насколько уязвимость затрагивает существующие приложения на практике пока не ясно

Т.е. в реальном мире "уязвимость" опять невозможно проэксплуатировать?

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Анонн (?), 21-Окт-22, 14:12 
Автор пишет что да https://mouha.be/sha-3-buffer-overflow/
"Moreover, I’ve also shown how a specially constructed file can result in arbitrary code execution, and the vulnerability can also impact signature verification algorithms such as Ed448 that require the use of SHA-3"
Только публиковать будет позже.

А еще из забавного, чего нет в новости, уязвимый код был релизнут "in January 2011".
Тыщщи глаз просто засмотрелись куда-то)))

Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +3 +/
Сообщение от fhsdfku (?), 21-Окт-22, 16:08 
> Тыщщи глаз просто засмотрелись куда-то)))

хоть через столько лет, но пример преимущества открытого кода: ошибку-таки нашли.

а сколько там во всяких вендах да ораклах с эпплами - можно только гадать..

учитывая, что пишут те же девелоперс с такими же ошибками, а вот иллюзия защищённости из-за огороженности есть.
плюс, всякие соглашения о неразглашении и прочие лицензии - и серьёзная ошибка может эксплуатироваться вечность.

Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (99), 21-Окт-22, 16:10 
Я тебе больше скажу можно туда специально добавлять «ошибки», а потом их за деньги продавать тому кто больше заплатит.
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Аноним (101), 21-Окт-22, 16:35 
Вот ты так раз - и считаешь что там хуже. Это ж так удобно.
А то, что оракл мог просто нанять этого (или любого другого) чела для поиска уязвимостей в своих продуктах... это же нереально, да)) И ему дадут доступ к закрытым сорцам, и он подпишет НДА. А мы ничего не узнаем. Плюс и ябло, и майки платят за уязвимости, хотя код закрыт.

Почему иллюзия? Что легче исследовать - бинарник или сорцы?
Посидеть-почитать код вечерком или пыхтеть в IDAPro? Первое может делать любой первокурсник, а для второго нужны хоть какие-то компетенции.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

116. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 21-Окт-22, 20:03 
> И ему дадут доступ к закрытым сорцам, и он подпишет НДА. А мы ничего не узнаем.

Это ж так удобно (с).

"Корпорации заботятся о тебе" - не забывай это повторять перед сном.

Ответить | Правка | Наверх | Cообщить модератору

118. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  –1 +/
Сообщение от Аноним (101), 21-Окт-22, 21:43 
Корпорации заботятся о себе и только о себе.
Именно поэтому гугел выплачивает по 40к за обход песочницы в хромом. Просто не хочет терять аудиторию.
Или эпл за джейлбрейк. Тоже чтобы не терять деньги.
И за это они готовы платить. А не ждать 10 лет пока кто-то решит покопаться в их коде.
Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 25-Окт-22, 23:52 
Код хромиума открыт, алё. Кто и как будет копаться в закрытом коде?

Кстати, все крупные компании используют наработки опенсурс проектов и платят за найденные уязвимости в них.

Ответить | Правка | Наверх | Cообщить модератору

105. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от Аноним (104), 21-Окт-22, 17:17 
А в OpenSSL реализации SHA-3 этой уязвимости нет! :)
Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +2 +/
Сообщение от Аноним (107), 21-Окт-22, 17:24 
Дашь сишнику массив, так он и за границу выйдет, и произвольный код выполнит. Надо полагать, эталонную реализацию SHA3 тоже ненастоящие сишники прогали. Настоящие-то существуют хоть где-то за пределами фантазий опеннетчиков?
Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +1 +/
Сообщение от Аноним (125), 21-Окт-22, 22:45 
> Надо полагать, эталонную реализацию SHA3 тоже ненастоящие сишники прогали.

А вы полагаете настоящие? Не в обиду математикам, но математики редко бывают хорошими программистами.

Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +1 +/
Сообщение от Аноним (10), 22-Окт-22, 07:43 
> математики редко бывают хорошими программистами

зато чаще других организуют "институты математики и информационных технологий".

Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость в библиотеке с основной реализацией алгоритма SHA..."  +/
Сообщение от CVE (?), 22-Окт-22, 10:37 
Молотком по пальцу себе стукнул. Плохой молоток, нужен безопасный молоток, который будет сидеть рядом со мной и рассказывать как правильно гвозди забивать, потом проверит правильно ли я его держу, а при слабом или неровном замахе будет стукать меня током, чтобы я не ударил мимо гвоздя или по пальцу. Вон шурин мой дом построил, руки все в шрамах, а я вот подготовлю свой молоток, принесу его сообществу строителей, покажу как можно все дома перестроить с нуля, используя безопасный молоток.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру