Na blogu programovacího jazyka Swift byl publikován příspěvek Psaní aplikací pro GNOME v programovacím jazyce Swift. Používá se Adwaita pro Swift.
egui je GUI knihovna pro programovací jazyk Rust běžící na webu i nativně. Vydána byla verze 0.27.0.
Byla vydána nová verze 6.1 živé linuxové distribuce Tails (The Amnesic Incognito Live System), jež klade důraz na ochranu soukromí uživatelů a anonymitu. Přehled změn v příslušném seznamu. Tor Browser byl povýšen na verzi 13.0.13. Thunderbird na verzi 115.9.0.
Linka STOPonline.cz v roce 2023 přijala 3700 hlášení závadného obsahu na internetu, 22 bylo předáno PČR, 23 bylo předáno ISP a 944 závadových domén zobrazujících dětskou nahotu či pornografii bylo nahráno do mezinárodního systému ICCAM, který je spravován asociací INHOPE.
Byla publikována podrobná analýza v upstreamu již opravené bezpečnostní chyby CVE-2024-1086 v Linuxu v nf_tables.
Byla vydána nová verze 4.1 svobodného 3D softwaru Blender. Přehled novinek i s náhledy a videi v obsáhlých poznámkách k vydání.
Úkolníček Taskwarrior (Wikipedie) pro správu úkolů z příkazového řádku byl vydán ve verzi 3.0.0.
Společnost Canva stojící za stejnojmenným webovým grafickým editorem koupila společnost Serif stojící za grafickým editorem Affinity.
Byla vydána betaverze Fedora Linuxu 40, tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 16. dubna. Z novinek (ChangeSet) lze vypíchnout podporu frameworku pro strojové učení PyTorch. Fedora KDE Plasma Desktop přichází s Plasmou 6 a běží nad Waylandem. Fedora Workstation přichází s GNOME 46.
Před měsícem společnost OpenAI představila AI model Sora pro generování realistických videí z textového popisu. Včera zveřejnila 7 videí od umělců, kterým umožnila přístup k tomuto modelu.
Bezpečnost GitHub a projektů postavených nad Ruby on Rails byla narušena. Egor Homakov upozornil na vážné bezpečnostní problémy Ruby on Rails. Chyby prezentoval na projektu GitHub. Dělal si co se mu zachtělo. Zahlásil chybu z roku 3012 (I'm Bender from Future), dokázal smazat libovolný příspěvek, provádět změny v hlavní větvi, smazat celou historii projektu nebo přiřadit svůj veřejný klíč k libovolnému projektu. Více například na Posterous (také má problém). Vyjádření GitHub v oficiálním blogu.
Tiskni Sdílej:
Ano, kdyby chtěl, mohlHmmm, a wo to tady asi go, že...
K čemu bude dobré, když whitelist/blacklist bude výchozí chování?Třeba to pochopíte tady.
uživatelská_role
na blacklist (resp. nedám na whitelist), tak ani administrátor nebude moci měnit role uživatelů, což právě potřebujeme. A když tenhle atribut na blacklist nedáme (resp. dáme na whitelist), bude moci administrátor moci měnit role, ale uživatel taky (za předpokladu, že může měnit tu entitu jako takovou – což předpokládám že může, protože si např. může změnit jméno, příjmení, e-mail atd.).
OK, tak to je fajn Nicméně stejně je to málo
DELETE FROM tabulka;
a pak se divil, že databázový systém skutečně smazal všechny záznamy v dané tabulce.Takže abych to shrnul. Ve Springu bezpečnostní chyba není (alespoň co je mi známo). Chyba ale může vzniknout při jeho neopatrném používání. Doufám že se zítra nedočtu, že je závažná chyba v Oraclu. Doslechl jsem se, že umožňuje zavolat DROP SCHEMA a to může mít závažné následky na integritu dat.Souhlas
projektů postavených nad Ruby on Rails byla narušena.Chybí mi tam některých projektů. Kdejaký tutorial k Rails popisuje, že v definici modelu má být nastaveno attr_accessible, jinak hrozí přesně to, na co upozornil Homakov. Tzn. pokud ty "projekty" píše někdo, kdo si přečetl a pochopil aspoň nějaký tutorial (zjevně není případ programátorů GitHubu), tak se ho tahle záležitost vůbec netýká.
Pokud něco nenastavím, tak předpokládámNo a to je ten problém. Dokud předpokládáš, nemůžeš se divit, když něco uděláš blbě. Pokud chceš pracovat s nějakým frameworkem, měl bys vědět
Ve výchozím stavu se přijímají všechna spojení a to i když máš v systému iptables – až když si nastavíš příslušná pravidlaNe, to je fakt marné. Víte, v normální distribuci jsou nastavená rozumná defaultní pravidla pro ten firewall, ať už se k tomu používá ufw, shorewall, firestarter nebo cokoliv dalšího. Ano, samotné iptables nedělají nic, to by opravdu blbej neřek.
Ale hlavně: když programátor řekne: „naplň všechny atributy objektu“ tak co to proboha má udělat jiného než naplnit všechny atributy objektu??Ale hlavně vidím, že jste ani po celodenní debatě nepochopil podstatu problému, on programátor nic takového neříká, on si to dokonce ani většinou nepřeje. Akorát to holt bylo defaultně debilně nastaveno a nic ho nenutilo to nastavovat jinak.
nějakýObjekt.update_attributes(…)tak co od toho čeká? Že to nastaví všechny atributy objektu nebo jen některé?
Když programátor v RoR napíšeA když scaffold generátor v RoR napíše?
Nevím, jak předchozí odstavec pasuje na ruby, možná by to chtělo výchozí hodnoty nastavit tak, aby (pokud je to opravdu takový problém a ani tutorial nestačí) do toho musel pokaždé (tj při každém použití té fce explicitně definovat co předat) programátor sáhnout.Pokud chce nastavit jen něco, tak může napsat kód ve smyslu:
nějakýObjekt.setA(požadavek.getParameter("A")); nějakýObjekt.setB(požadavek.getParameter("B")); nějakýObjekt.setC(požadavek.getParameter("C"));Nebo použít nějaký filtr na původní sadu parametrů a filtrovaný výsledek nastavit hromadnou funkcí. Nebo použít whitelist/blacklist na úrovni objektu. Ale když nic z toho neudělá, tak mi přijde celkem přirozené, že se nastaví vše, kde se podaří spárovat jména atributů a parametrů. Už na začátku jsem se ptal, jestli programátor definuje ve frameworku formulář a framework všechno ostatní vygeneruje, nebo jestli si to píše ručně (tudíž tu není nějaká pevná vazba mezi formulářem a kódem, který ho přijímá a framework tudíž nemůže vědět, jaké parametry tam programátor chtěl a jaké ne) a nějaký rubista mi na to napsal, že je to ta druhá varianta. Kdyby to byla ta první, tak ano, to bych bral jako chybu frameworku, protože ten mohl vědět, která políčka jsou ve formuláři a ostatní POST parametry (podstrčené útočníkem) zahodit.
může napsat kód ve smyslu
Tak to je jasné a o tom tamhle debata asi není. Jak tak čtu ostatní komentáře, tak mi to tak trochu připadá jako kdyby programátor chtěl použít jednořádkovou (protože je líný to vyjmenovávat, stejně jako klasická SQL "chyba" SELECT *) fci: "naplň všechno co můžeš, ale udělej to v dané situaci rozumně a bezpečně". Což je už požadavek na umělou inteligenci.
protoze tu chybu v realnem svete drice ci pozdeji nekdo udela.... a bude to jenom jeho chyba
Nesmysl. Defaultni nastaveni musi maximalne restriktivni. Pokud toto zasadni pravidlo bezpecnosti systemu v Rails nerespektuji, je treba se jich vyvarovatBohužel, asi bude lépe se jim skutečně vyhnout. Toto je totiž jejich představě o opravě toho průseru. Whitelist all attribute assignment by default. Juch!
Collections.copy(cíl, zdroj);A ti sprosťáci dokonce do dokumentace napsali:
Copies all of the elements from one list into another.Přitom by jeden čekal, že ta metoda zkopíruje jen některé položky, nebo spadne, že?
:without_protection
), tohle se tam IIRC obojí dostalo současně ve verzi 3.1, přijde mi to tak nějak jako "uff, furt nás někdo prudí z bezpečností, tak tam dáme config.active_record.whitelist_attributes
, no ale radši to defaultně zakomentujeme a kdyby to snad někdy někdo nedejbože odkomentoval, tak tam přihodíme :without_protection
, aby to ten BFU nemusel moc studovat a moh to rychle vypnout. Hmmmm.
zabránilo by to lamerům programovat,Kazdy dela chyby, clovek se zkusenostma mene (nebot jich uz ma za sebou plno). Tady jde o to, ze tvurci Rails nerespektuji princip restrive-by-default a to je z hlediska bezpecnosti cesta do pekla.
Model.new(params[:model], :without_protection => true)> Jeeee, supeeer, už to fičí, dík! Proč tam někdo takovéhle pakárny implementuje, jde fakt mimo mě. Opravdu by byl takový problém, kdyby programátor musel "zvednout zadek" a udělat tohle?
class Model < ActiveRecord::Base attr_accessible :foo, :bar, :baz, :as => :admin attr_accessible :foo, :as => :bfu end ... Model.new(params[:model], :as => :bfu)
$ perl -le'/(??{s!!!})/' Neoprávněný přístup do paměti (SIGSEGV)
perl -le'/(??{s!!!})/' Segmentation fault (core dumped)Tak, tak, to je zname!
Ano, je to známé:
Because perl's regex engine is not currently re-entrant, delayed code may not invoke the regex engine either directly with "m//" or "s///"), or indirectly with functions such as "split".
nastesti to neni vystavene ven.Potřebuju nějakej monitor se stěračem, dnes už utírám potřetí!
at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() at GregorSamsa.http$colon$$slash$$slash$www$dot$w3$dot$org$slash$1999$slash$xhtml$colon$template$dot$11() at GregorSamsa.applyTemplates() at GregorSamsa.applyTemplates() |#]