Large language model на самом деле не умеют программировать — они просто очень убедительно копируют манеру разговора настоящих программистов.
Иными словами, они работают, как я.
🔥6😁3
Блог*
Large language model на самом деле не умеют программировать — они просто очень убедительно копируют манеру разговора настоящих программистов. Иными словами, они работают, как я.
Вот, кстати, хорошая тому иллюстрация на примере "бага", найденном ИИ в curl: https://hackerone.com/reports/2298307.
Именно, ИИ говорит, что использование strcpy небезопасно, поскольку эта функция может выйти за границы буфера — что, в общем-то правда. Вот только соответствующий кусок кода в curl выглядит вот так:
Именно, ИИ говорит, что использование strcpy небезопасно, поскольку эта функция может выйти за границы буфера — что, в общем-то правда. Вот только соответствующий кусок кода в curl выглядит вот так:
if(randlen >= sizeof(keyval))То есть проверка границы производится непосредственно перед применением strcpy. Но ИИ не осиливает понять столь высокоуровневую концепцию.
return CURLE_FAILED_INIT;
strcpy(keyval, randstr);
HackerOne
curl disclosed on HackerOne: Buffer Overflow Vulnerability in...
## Summary:
Hello security team,
Hope you are doing well :)
I would like to report a potential security vulnerability in the WebSocket handling code of the curl library. The issue is related to...
Hello security team,
Hope you are doing well :)
I would like to report a potential security vulnerability in the WebSocket handling code of the curl library. The issue is related to...
😁9🔥1🥴1
У
У — удобно.
(если кого интересует — я в итоге загуглил и задачу решил через
#бомбёжкипост
cp на моей машине для разработки 31 флаг, не включая --help и --version, но среди них нет ни одного для того, чтобы сказать, что некоторые файлы не нужно копировать при рекурсивном копировании.У — удобно.
(если кого интересует — я в итоге загуглил и задачу решил через
rsync, у которой есть флаг --exclude)#бомбёжкипост
🫡5🤔2
Блог*
#tips Функционал Firefox включает в себя возможность делать поисковые запросы прямо из адресной строки. Несколько менее известно, что, напечатав подходящий префикс, можно искать не при помощи Google или Yandex, а при помощи указанной поисковой системы. Например…
Это можно использовать, чтобы открывать багтрекер/тасктрекер по номеру таски прямо из командной строки. Я у себя так сделал для корпоративного таск-трекера, удобно.
👍2
Грандиозный анимационный коллаб по "Острову сокровищ" Черкасского.
https://t.iss.one/tech_b0lt_Genona/4317
https://t.iss.one/tech_b0lt_Genona/4317
Telegram
Технологический Болт Генона
Пост пятничный и не про технологии (хотя может быть и про них), но проект получился очень интересным и в каком-то смысле уникальным.
ОСТРОВ СОКРОВИЩ REANIMATED COLLAB (к себе тоже схороню видос, а то мало ли чего)
https://www.youtube.com/watch?v=kc6inHrGuzM…
ОСТРОВ СОКРОВИЩ REANIMATED COLLAB (к себе тоже схороню видос, а то мало ли чего)
https://www.youtube.com/watch?v=kc6inHrGuzM…
❤🔥6
Forwarded from /17 --verbose --public --35
Скоро уже два года как я на постоянной основе живу в Армении.
Думаю, вы заслужили длиннопост о моей жизни в Армении, и за что я её полюбил.
В комментах готов ответить на любые вопросы по поводу Армении и жизни в ней.
Осторожно, букаф очень много
https://telegra.ph/Moya-Armeniya-02-18
Думаю, вы заслужили длиннопост о моей жизни в Армении, и за что я её полюбил.
В комментах готов ответить на любые вопросы по поводу Армении и жизни в ней.
Осторожно, букаф очень много
https://telegra.ph/Moya-Armeniya-02-18
❤10🤡4
Блог*
#game А я тем временем прошёл Disco Elysium. Прекрасно, конечно, но концовка несколько смазанная
(хочется перепройти с архетипом "Спортсмен" просто ради того, чтобы втащить Черепомеру)
((Куно я уже втащил))
((Куно я уже втащил))
👍1🤡1
#prog #itsec #article
cURL audit: How a joke led to significant findings
While discussing the threat model of the application, one of our team members jokingly asked, “Have we tried
Сразу хочу отметить, что парсинг опций сам по себе проблем не доставил — это лишь входная точка для исследования фаззером путей исполнения. Упомянутые ошибки были найдены в коде для освобождения ресурсов на unhappy path.
cURL audit: How a joke led to significant findings
While discussing the threat model of the application, one of our team members jokingly asked, “Have we tried
curl AAAAAAAAAA… yet”? Although the comment was made in jest, it sparked an idea: we should fuzz cURL’s command-line interface (CLI). Once we did so, the fuzzer quickly uncovered memory corruption bugs, specifically use-after-free issues, double-free issues, and memory leaks.Сразу хочу отметить, что парсинг опций сам по себе проблем не доставил — это лишь входная точка для исследования фаззером путей исполнения. Упомянутые ошибки были найдены в коде для освобождения ресурсов на unhappy path.
The Trail of Bits Blog
cURL audit: How a joke led to significant findings
In fall 2022, Trail of Bits audited cURL, a widely-used command-line utility that transfers data between a server and supports various protocols. The project coincided with a Trail of Bits maker week, which meant that we had more manpower than we usually…
👍7😁4