Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu (diskuse)

Tohle považuju za určité memento pro takové ty názory, že v C (případně C++) pro dosažení paměťové bezpečnosti stačí "nebejt blbej", "umět to" a "pořádně testovat".

IMO realisticky pokud paměťovou bezpečnost nepodporuje v nějaké formě samotný jazyk, tak ji výsledný software v praxi mít pravděpodobně nebude...

(Schválně tady nezmiňuju žádný konkrétní jiný jazyk, abych nebyl nařčen z shillování a nezpůsobil záchvat zdejším unixovým konzervativcům, koneckonců AFAIK i pro C existují nějaký rozšíření umožňující verifikaci, ne?)

What Big Oil knew about climate change

13.8.2019 20:05 thrust
Rozbalit Rozbalit vše Re: Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu

a jeje, predpokladam dalsi rust evangelista co veri ze kompilator vyresi vsechny problemy sveta

13.8.2019 20:11 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu

Rust jsem tady evangelizoval, když to ještě nebylo (tolik) cool. Teď to už moc nedělám, páč je to otravný a už o něm lidi věděj. Právě proto mj. se ptám na ty extensions do C, ty by mohl někdo trochu evangelizovat, jestli teda existujou. (Mimochodem, Rust paměťově nebezpečný kód neeliminuje, pouze minimalizuje, už má taky svoje CVE).

Kompilátor určitě všechny problémy světa neřeší, ale přijde mi minimálně pochybný do kompilátoru schválně nedávat zřejmě užitečný kontroly, který tam být mohou. To mi přijde jako nepoužívat v autě pás s vysvětlením, že pás stejně neřeší všechny problémy automobilové bezpečnosti...

What Big Oil knew about climate change

13.8.2019 20:34 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu

Eh, to nebyl moc dobrý komentář, zkusim to jinak: V kontextu diskuse je mi celkem jedno, co si kdo myslí konkrétně o Rustu. Jde obecně o to, že C (a C++, i když třeba do menší míry, snad) mají problém. Co mám dělat, když chci napsat něco v C, aby to nemělo úplně děravý memory management? Běžná doporučení jako "napiš si shitload testů na všechno", "používej fuzzer", "používej ASAN" apod. totiž zjevně nestačí.

What Big Oil knew about climate change

13.8.2019 21:30 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu

Odpověď je IMHO v tom, jak pracují lidé, kteří ty zranitelnosti našli.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

13.8.2019 22:09 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu

To jsou často velmi zkušení/nadaní odborníci na bezpečnost, kteří to mají jako náplň práce. Určitě víš, jaký částky za tohle velké firmy platí. To by mi nějaká ta statická analýza / vylepšení type systému asi přišlo praktičtější...

What Big Oil knew about climate change

14.8.2019 00:35 d.c.
Rozbalit Rozbalit vše Re: Bezpečnostní problémy databázového systému SQLite a digitálních zrcadlovek od Canonu

No a nekdy taky pomaha, kdyz se pri programovani mysli. Ne moc, jen tak na jednoduchy veci. ;-)