maybe_elf May 19 at 06:07

Разработчики проекта Curl предупредили GitHub о проблеме безопасности «вредоносного Unicode»

2 min

4.1K

GitHub*Open source*Information Security*Development Management*

Comments 15

JBFW May 19 at 06:54

Знакомая проблема.

Когда при работе со всякими там интранет-системами начинают массово копипастить в них различные тексты (сообщения от клиентов, данные с сайтов и т.д.) - регулярно попадается всякое такое юникодное.

pnmv May 19 at 07:14

«возможно, просто слишком заняты реализацией следующей функции ИИ, которая нам не нужна» - любопытно, для каких целей, в гитхабе, понадобилось это дело?

Barnaby May 19 at 07:26

возможно, просто слишком заняты реализацией следующей функции ИИ, которая нам не нужна

Как раз ИИ и умеет такое находить :)

Serge78rus May 19 at 09:09

А без ИИ человечество уже разучилось решать подобные задачи?

Sanchous98 May 19 at 10:50

Зачем ИИ для задачи, которая решается без ИИ гораздо меньшими затратами? В данном случае просто проверять кодировку символов

dartraiden May 19 at 14:54

А если у меня исходник в Юникоде?

freeExec May 19 at 15:32

И как, часто в словах мешаешь латиницу и кириллицу?

Barnaby May 19 at 23:40

Это надо код писать, а ИИ это сделает сама по одному запросу :)

sparhawk May 19 at 08:17

Всегда знал, что хранить исходники в Unicode - сомнительное решение

qeeveex May 19 at 12:02

Даешь win1251 :D

Frankenstine May 19 at 10:30

один из участников проекта заменил символ ASCII на альтернативу Unicode в pull request, но никто в команде GitHub этого не заметил

А что, должны были? Команда гитхаба просматривает пулл реквесты чужих проектов?

Может, проблема лишь в отсутствии человекопонятного пояснения в интерфейсе, что строка имеет юникод, на которое должны обратить внимание мейнтейнеры при проверке пулл реквеста?

Sanchous98 May 19 at 10:51

Должны были иметь в команде QA, которые додумались бы попытаться "ломать" систему в том числе и таким образом

Frankenstine May 19 at 11:03

Тут не систему ломают, а внимательность проверяющих проверяют :)

Хотя, если в предоставленном скриншоте изменения очевидны (изменения в том что вроде бы не поменялось), то юникод в новых строках не так заметен, как в изменяемых.

cjmaxik May 19 at 15:29

А то, что diff показывает изменения в строке, и даже не в конце строки, это никого не смутило? Странная история.

Sanctuary_s May 19 at 15:59

Для локальной проверки файлов использую такое расширение: https://marketplace.visualstudio.com/items?itemName=nhoizey.gremlins