и их CHANGELOG.json был десятки мегабайт, а менялись всего несколько строк каждый раз. Ну, скажем, килобайт. То есть гит запоминал в десятки тысяч раз больше, чем надо.
В смысле, парализует? Я ж писал "если ошибка" — то есть кто-то нашёл прикольный текст по английски, не знал, что это перевод с хабра, перевёл на русский, опубликовал. Его можно предупредить, мол, такое уже есть.
Кто осознанно хочет публиковать дубли — это их не остановит.
Ну, если предположить, что тут была честная ошибка, а не злонамеренный плагиат² со стороны @SLY_G (и в данном случае, я уверен, так и было), то достаточно, чтоб Хабр спрашивал "что-то это статья очень похожа на уже имеющуюся такую-то. Всё равно публиковать?" Такое многие баг трекеры делают, например, несложно реализовать.
Можно ещё при ответе "да" предупреждать администрацию, мол, обратите внимание.
Вкратце, суть в том, что если у плохиша есть полный контроль над сервером или он может делать MitM (потому что SSL не включён или сертификаты не проверяются), то он может подсовывать в дамп разные команды. Потому что mariadb-dump/mysqldump не проверяет, что ему приходит. И тогда если кто-то этот дамп потом прочтём mysql клиентом, то команды выполнятся.
Это довольно маловероятный сценарий, в котором юзер не доверяет своему серверу. Но теоретически возможный.
На shared хостингах — нет, только если получить полный контроль над базой данных других пользователей. Но тогда как бы доступ ко всем данным и так есть.
юзеры просили "sandbox mode", это как раз и есть MDEV-21778, чтобы можно было ставить mariadb как login shell и чтоб можно было давать sudo mariadb не давая полный рут шелл. Это старый тикет, там ничего срочного не было, просто фичу просили
mariadb-dump доверял серверу и писал его ответы в дамп, без проверок и валидации. Таким образом в дамп могли попасть команды, если плохой сервер их туда подсунет. Это MDEV-33727 — вот он новый и был новый
Оракл выпускает новый релиз MySQL в котором он фиксит CVE-2024-21096
В результате нам (MariaDB) тоже пришлось срочно это дело закрывать и мы закрыли его через sandbox mode, заодно закрыв и первый тикет.
Хорошая статья про преимущества Open Source. "Не смогли договориться", "кончились деньги" и "главного разработчика арестовали" — это может случиться и с closed source продуктом, арестовали же не за то, что он Open Source пилит, а за убийство.
Но Райзера арестовали в 2006. Только год назад ReiserFS стала obsolete. И наверняка пару лет ещё вполне проживёт. 20 лет! После исчезновения главного разработчика. Вполне достаточно, чтоб неспеша разобраться с альтернативами и плавно перейти на что-то другое. Closed source продукт накрылся бы гораздо быстрее.
есть ещё такой фактор, что фирма может потратить X тугриков (на человека) на корпоратив или закинуть k*X тугриков сотрудникам на карту, где k < 1 и зависит от жадности налоговой в вашей стране.
то есть тратить деньги на сотрудников фирме может быть тупо выгодней, чем выдавать их на руки
Такое впечатление, что автор этого поста, да и переводчик, зашли в какую-то пещеру лет 20 назад и только недавно проснулись. По крайней мере 20 лет назад я в последний раз писал автоопределение кодировок. Да и бнопню видел в последний раз примерно тогда же
Когда я такое видел, слава богу, не в нашей компании, смысл был просто в бюрократии — куча менеджеров, никто не хочет брать на себя ответственность, вот и размазывают её по интервьюерам
Да я не знаю, карго-культ какой-то. Когда нанимают бегуна — его просят пробежать дистанцию, а не перечислить пять способов шнуровки кроссовок. А если программиста — то сразу начинается вот это всё.
То есть плюсы алгоритмического собеседования в том, что кандидат сразу слился? Так можно начинать разговор с фразы "спасибо, вы нам не подходите" — будут сливаться ещё быстрее.
Ну да, передумали в гите. Может майкрософт был убедительнее, потому что у него гитхаб. А может гитовцы просто посмотрели вокруг и решили принять реальность, где у больших фирм есть большие монорепы.
Не похоже. Скорее, они сказали, давайте, мы переделаем гит под гигантские монорепы. А те им сказали, это в архитектуру не вписывается, вы б ещё дум туда встроили. Используйте гит правильно и будет вам счастье. Ну а в фейсбуке подумали, да ну ещё разбираться, правильно использовать, и пошли к меркуриалу, которому деваться было некуда.
а вы нанимаете людей разговаривать за жизнь, решать алгоритмические задачи или писать рабочий код? если первое — то надо проверять, как они разговаривают за жизнь, если второе — то как они решают литкод. ну и так далее.
проверять, в идеале, надо умеют ли они делать ту работу, которую им потом придётся работать.
Вроде всё хорошо, оправдывают, ещё как. Подписку он бы в любом случае не купил. А так вон какой пост про feedly накатал. А теперь его и на хабр перевели. Прекрасно паттерн отработал, я считаю
Статья, сдаётся мне (а я и в оригинал заглянул), не про то, что теория относительности наконец-то опровергнута и информацию можно передавать быстрее скорости света. Так что вовсе не про «первую передачу информации с помощью телепортации» — это даже в переводе прямо сказано:
Транслируя затем другие параметры исходной частицы обычным физическим способом, можно зафиксировать это состояние
то есть, как и у всех, нужен обычный канал и телепортация.
Статья про то, что у фотона считывают несколько параметров, а не только один, таким образом из одного фотона можно вытащить (комбинируя с тем, что передано обычным физическим способом) больше одного бита информации.
Это важно, когда по квантовому каналу передаётся сам ключ. Он случайный, если его перехватят — пофиг, можно новый передать. Но если его перехватят — его нельзя использовать.
и их
CHANGELOG.jsonбыл десятки мегабайт, а менялись всего несколько строк каждый раз. Ну, скажем, килобайт. То есть гит запоминал в десятки тысяч раз больше, чем надо.В смысле, парализует? Я ж писал "если ошибка" — то есть кто-то нашёл прикольный текст по английски, не знал, что это перевод с хабра, перевёл на русский, опубликовал. Его можно предупредить, мол, такое уже есть.
Кто осознанно хочет публиковать дубли — это их не остановит.
Ну, если предположить, что тут была честная ошибка, а не злонамеренный плагиат² со стороны @SLY_G (и в данном случае, я уверен, так и было), то достаточно, чтоб Хабр спрашивал "что-то это статья очень похожа на уже имеющуюся такую-то. Всё равно публиковать?" Такое многие баг трекеры делают, например, несложно реализовать.
Можно ещё при ответе "да" предупреждать администрацию, мол, обратите внимание.
Про что рассказать, в чём дыра? Это уже не секрет, вот, Оракл демонстрирует: https://github.com/mysql/mysql-server/commit/f351ea92a5a0
Вкратце, суть в том, что если у плохиша есть полный контроль над сервером или он может делать MitM (потому что SSL не включён или сертификаты не проверяются), то он может подсовывать в дамп разные команды. Потому что
mariadb-dump/mysqldumpне проверяет, что ему приходит. И тогда если кто-то этот дамп потом прочтёмmysqlклиентом, то команды выполнятся.Это довольно маловероятный сценарий, в котором юзер не доверяет своему серверу. Но теоретически возможный.
На shared хостингах — нет, только если получить полный контроль над базой данных других пользователей. Но тогда как бы доступ ко всем данным и так есть.
Там комбинация разных ситуаций и тикетов.
юзеры просили "sandbox mode", это как раз и есть MDEV-21778, чтобы можно было ставить mariadb как login shell и чтоб можно было давать
sudo mariadbне давая полный рут шелл. Это старый тикет, там ничего срочного не было, просто фичу просилиmariadb-dump доверял серверу и писал его ответы в дамп, без проверок и валидации. Таким образом в дамп могли попасть команды, если плохой сервер их туда подсунет. Это MDEV-33727 — вот он новый и был новый
Оракл выпускает новый релиз MySQL в котором он фиксит CVE-2024-21096
В результате нам (MariaDB) тоже пришлось срочно это дело закрывать и мы закрыли его через sandbox mode, заодно закрыв и первый тикет.
Не хватает истории "я угнал машину, перебил номера, привёз на сервис, смотрите, говорю, тут номер кузова неправильный, исправьте там у себя"
Хорошая статья про преимущества Open Source. "Не смогли договориться", "кончились деньги" и "главного разработчика арестовали" — это может случиться и с closed source продуктом, арестовали же не за то, что он Open Source пилит, а за убийство.
Но Райзера арестовали в 2006. Только год назад ReiserFS стала obsolete. И наверняка пару лет ещё вполне проживёт. 20 лет! После исчезновения главного разработчика. Вполне достаточно, чтоб неспеша разобраться с альтернативами и плавно перейти на что-то другое. Closed source продукт накрылся бы гораздо быстрее.
есть ещё такой фактор, что фирма может потратить X тугриков (на человека) на корпоратив или закинуть k*X тугриков сотрудникам на карту, где k < 1 и зависит от жадности налоговой в вашей стране.
то есть тратить деньги на сотрудников фирме может быть тупо выгодней, чем выдавать их на руки
досовская 866, очевидно :)
Такое впечатление, что автор этого поста, да и переводчик, зашли в какую-то пещеру лет 20 назад и только недавно проснулись. По крайней мере 20 лет назад я в последний раз писал автоопределение кодировок. Да и бнопню видел в последний раз примерно тогда же
Когда я такое видел, слава богу, не в нашей компании, смысл был просто в бюрократии — куча менеджеров, никто не хочет брать на себя ответственность, вот и размазывают её по интервьюерам
Да я не знаю, карго-культ какой-то. Когда нанимают бегуна — его просят пробежать дистанцию, а не перечислить пять способов шнуровки кроссовок. А если программиста — то сразу начинается вот это всё.
То есть плюсы алгоритмического собеседования в том, что кандидат сразу слился? Так можно начинать разговор с фразы "спасибо, вы нам не подходите" — будут сливаться ещё быстрее.
Если в дампе действительно были числа 377 — это точно к РЕН ТВ, послание от рептилоидов.
Хотя что-то мне подсказывает, что там было 0377, а редактор убрал первый нолик, он не ни на что не влияет, правда?
Ну да, передумали в гите. Может майкрософт был убедительнее, потому что у него гитхаб. А может гитовцы просто посмотрели вокруг и решили принять реальность, где у больших фирм есть большие монорепы.
Не похоже. Скорее, они сказали, давайте, мы переделаем гит под гигантские монорепы. А те им сказали, это в архитектуру не вписывается, вы б ещё дум туда встроили. Используйте гит правильно и будет вам счастье. Ну а в фейсбуке подумали, да ну ещё разбираться, правильно использовать, и пошли к меркуриалу, которому деваться было некуда.
можно я тоже оставлю саркастический комментарий?
а вы нанимаете людей разговаривать за жизнь, решать алгоритмические задачи или писать рабочий код? если первое — то надо проверять, как они разговаривают за жизнь, если второе — то как они решают литкод. ну и так далее.
проверять, в идеале, надо умеют ли они делать ту работу, которую им потом придётся работать.
Вроде всё хорошо, оправдывают, ещё как. Подписку он бы в любом случае не купил. А так вон какой пост про feedly накатал. А теперь его и на хабр перевели. Прекрасно паттерн отработал, я считаю
Что-то кажется тут учёный изнасиловал журналиста.
Статья, сдаётся мне (а я и в оригинал заглянул), не про то, что теория относительности наконец-то опровергнута и информацию можно передавать быстрее скорости света. Так что вовсе не про «первую передачу информации с помощью телепортации» — это даже в переводе прямо сказано:
то есть, как и у всех, нужен обычный канал и телепортация.
Статья про то, что у фотона считывают несколько параметров, а не только один, таким образом из одного фотона можно вытащить (комбинируя с тем, что передано обычным физическим способом) больше одного бита информации.
Это важно, когда по квантовому каналу передаётся сам ключ. Он случайный, если его перехватят — пофиг, можно новый передать. Но если его перехватят — его нельзя использовать.