Так в чем отличие-то, если деньги все равно "печатаются" из карманов хомяков N+1 уровня пирамиды, N < ∞, а внешнего дохода у стартапа нет / недостаточно?
where an attacker with permission to modify the logging configuration file can construct a malicious configuration using a JDBC Appender with a data source referencing a JNDI URI which can execute remote code.
Для CVE-2021-44832 нужно иметь доступ на запись в конфиг файл. Это примерно как дать доступ на запись к конфигу httpd и увидеть, что стал возможен RCE через e.g. <Perl> секции.
Вообще-то, он "понимал" такие выражения именно там, где это от него "ожидалось" :) почитайте код log4j, и посмотрите, что такое formatMsgNoLookups, {nolookups}. Сама уязвимость выглядит как "insane" defaults :) Хотя я, честно говоря, не могу представить себе валидный сценарий, требующий загрузки класса через логирование
На подбор ключа из 1024 чисел, в диапазоне например до 100 миллиардов, будет крайне долгим занятием. Это примерно random(0,100000000000)^random(0,100000000000) и всё это повторяется 1024 раза.
Берем текст, получаем закодированный результат, отнимаем от каждого числа в массиве ord из оригинального текста, получаем код. При необходимости удлиняем текст, пока не выберем весь "шифроблокнот". Занимает не 100500 миллионов лет, а ~пару миллисекунд
Это вы еще не обратили внимание на "плясать в храме" в контексте "стыдно". Похоже, у автора ПГМ (П тут либо православие, либо патриотизм, нужное подставить по вкусу).
Емнип, об этом уже писали. Тормоза были к каком-то из middleware, коих за это время, очевидно, было написано овер 9000, вполне вероятно, что и как раз на чем-то модном и молодежном :)
$ tail -n +1 data{1,2}.yml
==> data1.yml <==
# this is a comment 1
a: simple
# this is a comment 2
b: [1, 2]
==> data2.yml <==
# this is a comment 3
a: other
# this is a comment 4
c:
test: 1
$ yq -V
yq (https://github.com/mikefarah/yq/) version 4.13.0
$ yq eval-all 'select(fileIndex == 0) * select(fileIndex == 1)' data1.yml data2.yml
# this is a comment 1
# this is a comment 3
a: other
# this is a comment 2
b: [1, 2]
# this is a comment 4
c:
test: 1
Почитал тут ветку комментариев сверху... господа, а причем тут вообще "передача спутанных фотонов по проводам"? Разве вся эта возня с квантовой запутанностью не должна избавлять от этого?
В моем понимании, схема должна выглядеть так:
Боб и Алиса получают на руки по "крестражу", в каждом из которых "заключено" по набору квантово запутанных фотонов.
Боб и Алиса едут домой, дома один из них (пусть Алиса) акстивирует "крестраж", получает приватный ключ
Боб автоматически получает такой же приватный ключ - его "крестраж" внезапно засветился мертвенным светом и на нем высветился приватный ключ - такой же, как и у Алисы.
Боб и Алиса счастливы, обмениваются траффиком, Ева кусает локти, строит кластер, пытается ломать ключ шифрования
По договоренности, раз в день, кто-то из наших гриффиндорцев запускает процедуру реактивации "крестража", получая новый приватный ключ. У второго все как в пункте 3. - мертвенный свет, новый приватный ключ на руках. Безопасный обмен траффиком продолжается.
Поняв это, Ева дауншифтится до приказчика в магазине скупки и продажи магических артефактов.
Разве не в этом вся цель применения "квантовой запутанности" - убрать канал передачи как таковой?
vscode все подобные латинице кириллические буквы подсвечивает рамкой с тултипом :)
Так в чем отличие-то, если деньги все равно "печатаются" из карманов хомяков N+1 уровня пирамиды, N < ∞, а внешнего дохода у стартапа нет / недостаточно?
https://nvd.nist.gov/vuln/detail/CVE-2021-44832
Для CVE-2021-44832 нужно иметь доступ на запись в конфиг файл. Это примерно как дать доступ на запись к конфигу httpd и увидеть, что стал возможен RCE через e.g. <Perl> секции.
Ни разу не эксперт, но подсчёты в статье подпадают под формулу вида "минимальное кол-во непрерывных вертикально невозрастающих штрихов"
Вообще-то, он "понимал" такие выражения именно там, где это от него "ожидалось" :) почитайте код log4j, и посмотрите, что такое formatMsgNoLookups, {nolookups}. Сама уязвимость выглядит как "insane" defaults :) Хотя я, честно говоря, не могу представить себе валидный сценарий, требующий загрузки класса через логирование
Берем текст, получаем закодированный результат, отнимаем от каждого числа в массиве ord из оригинального текста, получаем код. При необходимости удлиняем текст, пока не выберем весь "шифроблокнот". Занимает не 100500 миллионов лет, а ~пару миллисекунд
Шифр неуловимого Джо.
Это вы еще не обратили внимание на "плясать в храме" в контексте "стыдно". Похоже, у автора ПГМ (П тут либо православие, либо патриотизм, нужное подставить по вкусу).
Как вариант - https://metacpan.org/release/GBARR/Regexp-0.004/view/Regexp.pm
Емнип, об этом уже писали. Тормоза были к каком-то из middleware, коих за это время, очевидно, было написано овер 9000, вполне вероятно, что и как раз на чем-то модном и молодежном :)
Китай молча рыдает в углу
Зачем велосипед, если
yq
умеет это из коробки?Я боюсь, этот автор проигнорирует любой подобный комментарий. Тролль поел, расходимся.
Дальше можно не читать. А ведь раньше хабр был техническим ресурсом, а не местом, где публикуются статьи антипрививочного и конспирологического говна
Почитал тут ветку комментариев сверху... господа, а причем тут вообще "передача спутанных фотонов по проводам"? Разве вся эта возня с квантовой запутанностью не должна избавлять от этого?
В моем понимании, схема должна выглядеть так:
Боб и Алиса получают на руки по "крестражу", в каждом из которых "заключено" по набору квантово запутанных фотонов.
Боб и Алиса едут домой, дома один из них (пусть Алиса) акстивирует "крестраж", получает приватный ключ
Боб автоматически получает такой же приватный ключ - его "крестраж" внезапно засветился мертвенным светом и на нем высветился приватный ключ - такой же, как и у Алисы.
Боб и Алиса счастливы, обмениваются траффиком, Ева кусает локти, строит кластер, пытается ломать ключ шифрования
По договоренности, раз в день, кто-то из наших гриффиндорцев запускает процедуру реактивации "крестража", получая новый приватный ключ. У второго все как в пункте 3. - мертвенный свет, новый приватный ключ на руках. Безопасный обмен траффиком продолжается.
Поняв это, Ева дауншифтится до приказчика в магазине скупки и продажи магических артефактов.
Разве не в этом вся цель применения "квантовой запутанности" - убрать канал передачи как таковой?
Без /g этого не происходит.