LINUX.ORG.RU

RubyGems.org был взломан

 ,


0

1

Не закончились ещё волнения по поводу недавних критических уязвимостей в Rails, в том числе неосвещённой на ЛОРе CVE-2013-0333, для которой, кстати, есть эксплоит, как был залит злоносный gem на святую святых — RubyGems.org.

Состояние на текущий момент можно посмотреть здесь.

>>> Подробности



Проверено: tazhate ()
Последнее исправление: Silent (всего исправлений: 3)

Ответ на: комментарий от KernelPanic

Хотя с кодерами, пилящини на джанге, такое редко случается:)

KernelPanic
()
Ответ на: комментарий от KernelPanic

джанга - куль

это чем? мне с ней дело иметь приходится, так я все никак привыкнуть не могу к ней. urls.py какой-то страшный, шаблонизатор изкоробочный вообще вообще с отдельным языком унутрях. Да и view это совсем не вью, а контроллер потерялся. а в документации что-то странное происходит: ну почему там не написано про всякие условия для загрузки файлов на сервер? А еще я так и не могу привыкнуть к динамической типизации, но это уже нытье.

RedPossum ★★★★★
()
Ответ на: комментарий от KernelPanic

Взлом показывает не «ненадежность», а интерес со стороны сообщества. В том числе и взломов.

Я честно говоря со смехом смотрю на «Решето!», когда в каком-либо продукте находят ошибки и уязвимости. Это обычная практика, если находят - значит в этом есть смысл, ищут, этот инструмент в мейнстриме. И главное, хорошо что находят, и обнародуют. Другое дело, если ошибки не ищутся, и о них нигде не известно. А продуктов без уязвимости такого масштаба просто не существует.

Что касается примеров - все продукты 37signals, Github (который все таки покрупнее Bitbucket сейчас), Gitlab, Groupon, Soundcloud, Zvooq.ru, РосЖКХ, PivotalTracker если не ошибаюсь тоже, Redmine, The Village и сопутствующие. Проектов на Rails очень много. Прибавить к этому e-commerce платформы: Spree и ее наследник Synergy.

Собственно: http://rubyonrails.org/applications

Буквально на днях на Rails перезапустилась Lenta.ru (заметь, не на Django, который изначально базировался как движок для новостных сайтов).

А Django, просто морально устарел. Я с него свалил с год назад, и без энтузиазма писал на нем, уже познакомившись с Rails.

Честно говоря, я вообще не понимаю самообмана Django-разработчиков, которые рассказывают как у нас все хорошо и безопасно. Лень людей и страх отказаться от привычного инструмента - это самообман, который собственно никому, кроме тех, кто самообманом занимается, пользы не приносит.

anonymous
()
Ответ на: комментарий от k0valenk0_igor

Но боюсь рельсоводы закидают нас за нее ссаными тряпками...

Не оправдывайся, не на хабре.

VirRaa ★★★
()
Ответ на: комментарий от guiclient4mysql

Не ошибается только тот, кто ничего не делает, а руби используется очень активно, причем в сложных проектах. И не только как webserver, но и для фоновых прикладных задач, мониторинга и пр. Почитай блог гитхаба, чтобы узнать больше.

special-k ★★★
()
Последнее исправление: special-k (всего исправлений: 1)
Ответ на: комментарий от special-k

ей кто убрал инфу про поносный гем? ПОНОСНЫЙ ГЕМ!!!

anonymous
()
Ответ на: комментарий от special-k

JS вообще ни в чем не конкурентоспособна и ни с чем. Тем более по сравнению с Python, Ruby, Erlang, Java.

anonymous
()

А кто мне объяснит вот такое?

В Steam недавно было 62 игры, теперь 47.

anonymous
()
Ответ на: комментарий от anonymous

по сравнению с Python, Ruby, Erlang, Java.

увы это так, js - это самый быстрый динамический язык (ну может быть после smalltalk, но тот какой-то уж больно самобытный).

special-k ★★★
()

c programming is unsafe

anonymous
()

Мдя. Рук-то и не хватило у самих всё обновить. Будем надеяться этот поучительный урок не пройдёт зря.

AlexVR ★★★★★
()
Ответ на: комментарий от special-k

мне стыдно, что такие люди как ты называют себя рубистами, и у них язык поворачивается говорить, что JS быстрее Java и Erlang. Мне реально, непомерно стыдно. Тебя надо взашей гнать из профессии.

anonymous
()
Ответ на: комментарий от anonymous

Это не тот сайт, на котором можно в любой репозитарий закомитить всякую хрень, как Хомяков, который через уязвимость в рельсах их взлома, о которой он им пару раз до этого пытался сообщить?

anonymous
()
Ответ на: комментарий от special-k

И нифига он не самобытный. Этот язык способствует только написанию callback ада. Что Twisted, что EventMachine, что Node.js, что браузерный код на JS страдает этим.

А уж совсем непонятные решения принятые при проектировании языка - вообще убивают. Сортировать массив чисел в лексикографическом порядке.

И крики про быстрый async по сравнению с Erlang или Java - лишь выдумки и чушь. Рассчитываешь на сортировку чисел с учетом данных, а оно выдает то, что захочет. В итоге приходится только писать свое, работающее не нативно в движке.

И мне довольно интересно сравнить его быстродействие с Lua + JIT. Может Lua не так широко известен, но фору по быстродействию в вакууме он дает в разы.

По прожорливости Node.JS умудряется жрать не меньше Rails, если местами не больше.

anonymous
()
Ответ на: комментарий от anonymous

Ну, как будто ты не знаешь? Если мне не изменяет паммять проблемы была в дефолтной настройке. Но очень сильно расстроил факт игнорирования проблемы, пока не тыкнули мордочкой.
А так на github хостятся вполне няшные проекты. Ну и нонконформисты его не любят, потому что мейнстрим.

anonymous
()
Ответ на: комментарий от anonymous

Надо внимательнее быть, а то пишу, как быдло. (inb4: и есть быдло)

anonymous
()
Ответ на: комментарий от anonymous

Я не говорил, что js быстрее java, но он станет, причем довольно скоро, думаю уже в этом году.

Erlang.. а что erlang, каким требованиям функционального программирования не соответствует js, раз уж не то пошло.

special-k ★★★
()
Ответ на: комментарий от KernelPanic

джанга - куль)

ты в бреду! pylons лучше. но ror все равно на голову выше

DILIN ★★★★★
()
Ответ на: комментарий от KernelPanic

Так уязвимость разве не в рельсокоде? При чём там сам руби то?

Deleted
()
Ответ на: комментарий от special-k

я однажды попытался с помощью руби обработать .xls в двацдать метров. Мне такой красивый скрипт дали — строк десять всего. Поставил руби, запустил. Минут 6 пыхтел. Мне сказали «шо, дурак, мол, руби надо по-другому ставить». Поставили. Стал 3,5 минуты. Пихон занял 3 строки, плюс дальнейшая обработка — файл секунд 15-20 обрабатывал. После этого я на него смотрю исключительно с подозрением.

guiclient4mysql
()
Ответ на: комментарий от special-k

Как минимум чистые функции и pattern matching.

И вообще, как у тебя поворачивается язык сравнивать Erlang, с JS? Закончи школу, потом поговорим, ок?

JS быстрее Java не будет. Как минимум потому, что Java все таки в runtime использует нативный код.

Фанатизмом JS на сервере страдают только те, кто не умеет выбирать инструменты по их назначению. Ты судя по всему не умеешь, так как путаешь назначение с удобством.

JS имеет очень слабую стандартную библиотеку, практически нулевую ее практичность, нет нормально консистентности, неадекватное поведение, поощрение разработки на callback'ах (что приводит к аду тестирования), и прототипное наследование (которое само по себе не плохо, но в сочетании с остальными фишками этого языка - становится еще одним огромным источником труднодиагностируемых ошибок).

anonymous
()
Ответ на: комментарий от anonymous

Рассчитываешь на сортировку чисел с учетом данных

-_-

Я не знаю smalltalk, но почитав твою грустную историю у меня складывается впечатление что ты ничерта не разобрался.

«callback ада» - термин придуманный маркетологами, ничего этого не бывает, если писать код хоть немного осмыслено. Простои руби приложений (при обращении к БД например) никто в плюс не заносит.

special-k ★★★
()
Ответ на: комментарий от special-k

Причем здесь smalltalk?

Я тебе про JS:

[1, 9, 10, 23, 4, 7].sort() // => [1, 10, 23, 4, 7, 9]

anonymous
()
Ответ на: комментарий от special-k

Маркетологи? Скажи это Льву Валкину или Максу Лапшину :D

У меня нет такого опыта в Erlang, чтобы ответить тебе со всей адекватностью.

Но то, что ты действительно не понимаешь, насколько плох стиль программирования на callback'ах, вместо альтернативы предлагаемой Erlang'ом - это только показатель того, что ты дальше code monkey не ушел.

anonymous
()
Ответ на: комментарий от anonymous

ахах) Ну ладно, забавы ради покормлю тебя разок

приходится только писать свое, работающее не нативно

sort(function(a,b){return a-b});

И чем это не нативно..

JS быстрее Java не будет. ... Java все таки в runtime использует нативный код.

Бугага) jit компиляция, inline cache, вероятностная оценка типов, оптимизация jit (в ion monkey).. кто все это придумал.. спросили бы этого упоротого анона, он бы им чотко объяснил)

У меня нет опыта в Erlang
вместо альтернативы предлагаемой Erlang'ом

Что ты пыжишься тогда вообще, нечего сказать, вот и помалкивай.

special-k ★★★
()
Ответ на: комментарий от Lorchanin

Не бойся, мы толерантные.

Боюсь, это многими воспринимается уже не как положительное качество.

UNiTE ★★★★★
()
Ответ на: комментарий от special-k

jit компиляция, inline cache, вероятностная оценка типов, оптимизация jit

и никаких runtime оптимизаций, ибо скриптик. Или придумали способ?

RedPossum ★★★★★
()
Ответ на: комментарий от RedPossum

и никаких runtime оптимизаций

хотя нет, ответ на это не ion monkey, там давно идут рантаймные оптимизации, а ion monkey это уже следующий шаг.

special-k ★★★
()
Ответ на: комментарий от RedPossum

и никаких runtime оптимизаций

Есть ли смысл разворачивать вызовы функций? (комментарий)

запарился давать эту ссылку, но, если честно, я сам начал серьезнее к js относиться после этого доклада.

так же http://stackoverflow.com/questions/5168718/what-blocks-ruby-python-to-get-jav...

И еще интересная ссылка, как jsы идут к успеху http://www.arewefastyet.com/

Видно, что spidermonkey догнал v8 осенью, но затем тот снова ускорился процентов на 10. Еще пара-тройка таких рывков...

special-k ★★★
()
Последнее исправление: special-k (всего исправлений: 1)
Ответ на: комментарий от special-k

И чем это не нативно..

Написание костылей, вместо правильного и адекватного поведения языка? Убейся об стену. PHPшники и то адекватнее код показывают.

Что ты пыжишься тогда вообще, нечего сказать, вот и помалкивай.

Я написан не «нет опыта», а «нет такого обширного опыта в Erlang». Это разные вещи. И говоря, я знаю о чем говорю.

Я собственно поржал с тебя, но мой тебе совет. Кроме ЛОРа, никакому адекватному человеку не говори свои мысли. Они убоги.

Javascript как не был, так и не будет никогда языком, годным для чего-то кроме браузера (и даже оттуда его вытесняют подслащивая CoffeeScript'ом и Dart'ом). Он может быть сколь угодно быстрым, но от него абсолютно никакого толка в production системах. Это не тот язык, и если ты этого не принимаешь - это сугубо твои проблемы. Корми троллей, доставляй лулзы, но не показывайся в приличном обществе.

И рубист с тебя никакой, так как за тобой я уже давно наблюдаю, и большей чуши просто не видел.

anonymous
()
Ответ на: комментарий от special-k

Только на руби и делают

не на Ruby а на Ruby on Rails, не путайте фремворк и голый язык.

exception13 ★★★★★
()
Ответ на: комментарий от special-k

CoffeeScript тоже не JS (потому что, с мириться с убогостью языка, сравнимой лишь с VIM Script надоело).

Конечно не JS, потому что адекватнее, и Google его с большой охотой и рвением продвигает на замену JS. Так как им надо писать большие приложения, для которых JS совершенно не подходит.

Конечно Dart в браузерах - это только *возможное* будущее, но это хороший показатель того, как мировой гигант интернета, главный разработчик передового браузера и передового движка JS V8, отказывается от него в пользу других разработок по мере возможности.

Попробуй писать приложения по настоящему сложные, а не маленькие сайтики, в которых 5 моделей и 2 контроллера.

И к ним тяжелый JS код, массивный и развесистый, а не кнопочку показать, кнопочку скрыть. И можно будет легко понять, насколько callbacks убоги, как основная парадигма разработки асинхронных приложений. И не только асинхронных.

Я не говорю, что они абсолютное зло, но когда их ставят во главу угла, как это получается у JS - тут зло и начинается.

anonymous
()
Ответ на: комментарий от guiclient4mysql

На руби делают сайты??

Исключительно маньяки на нём пишут лилипутские блоги, жрущие долбанные сотни мегабайт оперативки.

trueshell ★★★★★
()
Ответ на: комментарий от anonymous

Кстати, надеюсь ты в курсе, что твоя примитивная речь и тьма речевых и грамматических ошибок сразу выдают в тебе школьника) И не очень умного -_-

special-k ★★★
()
Последнее исправление: special-k (всего исправлений: 1)

решето на решете и решетом погоняет

der_looser ★★
()
Ответ на: комментарий от special-k

Ты мне зубы не заговаривай. Есть что по делу весомое сказать - говори. Иначе, ты в моих глазах как был любителем, так им и остаешься.

anonymous
()
Ответ на: комментарий от special-k

CoffeeScript != JS. Трансляция из CoffeeScript в JS, не делает CoffeeScript Javascript'ом.

Иначе Dart тоже JS, так как у него есть транслятор в JS.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.