SergVasiliev Oct 31 2017 at 06:35

Что не так с уязвимостями в C# проектах?

4 min

15K

PVS-Studio corporate blog.NET*C#*Open source*Information Security*

+18

Comments 28

questor Oct 31 2017 at 08:18

Больше похоже на вступление к статье, чем на саму статью.

UFO landed and left these words here

Areldar Oct 31 2017 at 10:05

Мне кажется основной посыл не малое количество уязвимостей в C# проектах, а их плохое оформление. То есть одно дело когда уязвимостей в базе мало, но те, что есть оформлено хорошо, другое дело когда уязвимостей в базе мало, а те что есть оформлены абы как.

UFO landed and left these words here

unsafePtr Oct 31 2017 at 09:51

После такой статьи от души радуешся что ты c# програмист.

kefirr Oct 31 2017 at 10:02

Или огорчаешься, потому что мало серьёзных проектов с открытым кодом на C#.

mayorovp Oct 31 2017 at 10:08

CVE-2017-15280 — это давно уже не уязвимость. Потому что XXE через XmlTextReader с настройками по умолчанию закрыли в .NET 4.5.2, за три года до 2017го...

slonopotamus Oct 31 2017 at 17:16

Эмм… Может на C# тупо мало софта и не в чем искать уязвимости? На типичном не-Windows компьютере (включая мобилы-планшеты) софта на шарпе примерно ноль.

Наверняка в программах на D, Cobol, SmallTalk, Haskell тоже мало CVE.

galakt Nov 1 2017 at 07:58

На C# мало софта? Хороший вброс

kekekeks Oct 31 2017 at 18:27

Это часом не ваш пост недельной давности?

kekekeks Oct 31 2017 at 18:30

Касательно уязвимостей.
Им в дотнете взяться особо неоткуда. Управляемый код со строгой статической типизацией перекрывает большинство классических проблем, так что выстрелить себе в ногу намного сложнее. Из потенциально дырявых технологий могу назвать разве что Remoting, которым уже лет 10 как не пользуются.
Остаются в основном штуки связанные с вебом, но и там можно поймать разве что XSS — SQL-инъеккциям тоже неоткуда взяться, ибо все используют LINQ.

UFO landed and left these words here

kekekeks Oct 31 2017 at 20:08

Это Entity Framework-ом не стоит особо увлекаться, ибо тормозит из-за своего change-tracking-а. Нормальные реализации типа linq2db (не путать с linq2sql) по производительности сравнимы с ручным написанием запросов.

Это касательно доступа к БД. Манипуляции же с объектами внутри процесса, там да, можно использованием LINQ себе производительность хорошо так просадить. В особо терминальных случаях его запускают поверх байтмассивов, а потом удивляются, чому оно работает на 4-5 порядков медленнее вручную написанного цикла.

UFO landed and left these words here

lair Oct 31 2017 at 21:08

Потому что мощная и удобная штука.

UFO landed and left these words here

lair Nov 1 2017 at 08:32

Вот именно потому, что субъективная, вы и не понимаете.

(правда, надо заметить, что статическая типизация и AST — вещи все-таки объективные, ну не суть)

UFO landed and left these words here

lair Nov 2 2017 at 08:49

Ну так любят и не за производительность (хотя в умелых руках производительность LINQ, как бы бессмысленно эта фраза не звучала, достаточна).

UFO landed and left these words here

lair Nov 2 2017 at 12:33

На вкус и цвет, все фломастеры разные.

Ну так это и есть субъективная характеристика.

Csharper101 Nov 1 2017 at 07:58

А чем linq вам не нравится? Не сложные запросы на нем можно писать и очень даже удобно, а для более сложных запросов можно написать sql-запрос

vuser Nov 1 2017 at 07:58

Microsoft C# — очень хороший пример качественной реализации C# и IL транскомпиляции вообще. Безопасность типов реализуется так, что в принципе, ошибки не являются критическими.

UFO landed and left these words here

Simplevolk Nov 1 2017 at 12:17

С появлением .net core и других проектов в OSS это может измениться.

areht Nov 3 2017 at 22:31

Мне кажется это от того, что там вообще плохо с написанием велосипедов. В смысле, фреймворк покрывает 95% нужд, остальное подпирается костылем под конкретную задачу и… и никаких уязвимостей. Ну и OSS такое же — небольшие костыли. Во что вкладываться то?

Совсем другое дело на JS — есть голый язык, и на него как только не изгаляются для прикручивания лучших практик. Тут без OSS вообще никак.