[szavazás] Linuxos demó kódolás

[Charlie]

wrote …
Az első oldalon az a kód pedig hibátlan.

Valoszinuleg eltero fogalmaink vannak a hibatlanrol. :)

[slyspy]

Fiatalok, ne durvuljunk! Geri, vegyél vissza. Utálok moderálni, szóval ne kelljen már végigolvasnom a topicot, hogy kiválogassam a a hasznos hozzászólások közül az értelmetlen sértegetéseket.

[pontscho]

Geri wrote …
pontscho: Hát jó, ha tudsz mutatni egy bugot abban a kódban…

Amugy parancsolj, kapasbol tobbet is tudok mutatni, mar az elso par sorban:char gpidd[1024];sprintf(gpidd, “readlink /proc/%d/exe > /tmp/%d_PID.txt”, pidem,pidem);Eloszor is, sosem hasznalunk sprintf()-et, hanem snprintf()-et, mivel ez esetben a buffer overflow esete teoretikus, a rossz megszokas maskor hibat okoz.Masodszor, feltetelezed, hogy a readlink parancs letezik az adott rendszeren es elerheto a PATH-ban, pedig pont a linux az, ahol ilyet nem lehet tenni.system(gpidd);Harmadszor egy glibc-ben levo readlink() fuggveny meghivasat nem a system() parancsban osszefosott sec hole-os shell scripttel helyettesitjuk, hanem doksit olvasunk, es megkeressuk hogyan kell normalisan megcsinalni. Ugyanis a system() fuggveny meghivasa ugy kezdi, hogy elforkol a program torzsbol egy shell-t, ami linuxon jellemzoen a bash lesz, aztan atadja neki a parameterkent atadott shell scriptet. Ez gyonyoru lehetoseget ad arra – mindamellett, hogy minden, csak nem hatekony – mivel nem abszolut utvonallal hivtad meg a kerdeses fuggvenyt, hogy akar tetszoleges szoftvert futtasson a “kodod”. Bar szerinted ez a problema sem letezik. :)Negyedszer, bar szinten teoretikus problema, mert a “szoftvered” nem biztonsag kritikus, a generalt file nev kitalalhato, es modosithato feldolgozas elott, amivel akar buffer overflow-t is lehet okozni, vegrehajthato kodot lehet injektalni a szarodba. Szerinted ilyen problema sem letezik. :)Lattam mar gepet, amiket ilyen “nemletezo” problemakkal tortek fel. Ezekert az “apro” hibakert minden jobb helyrol kibasszak az embert.Nos, off, tema reszemrol lezarva.

[Geri]

Eloszor is a rasszista kurva szadat, masodszor nem vagyok zsido.Ha te mondod…sosem hasznalunk sprintf()-et, hanem snprintf()-et, mivel ez esetben a buffer overflow esete teoretikusA gyakorlatban senki sem fog 900 karakteres pathot használni, ezt nem fogadom el bugként.Masodszor, feltetelezed, hogy a readlink parancs letezik az adott rendszeren es elerheto a PATH-ban, pedig pont a linux az, ahol ilyet nem lehet tenni.Ezt sem. Talán írjak detektort az ls-re, vagy windows alatt a cd-re is? Ne idegesíts.parancsban osszefosott sec hole-os shell scripttel helyettesitjukPedig de, erre találták ki ezt a függvényt.hogy akar tetszoleges szoftvert futtasson a “kodod”Persze, hogyne. Csakhogy ahhoz először a tetszőleges programot fel kellene gányolni a gépre, amit futtatni akarsz vele.vegrehajthato kodot lehet injektalni a szarodbaBazmeg te hülye vagy. Ez egy scene demo, nem egy firefox :DLattam mar gepet, amiket ilyen “nemletezo” problemakkal tortek fel.Persze, persze. Letölti a cracker a scene demót a gépedre, szenved vele fél évet, hogy használható exploitot írjon vele, aztán elindítja. Kár, hogy az ssh jelszavad előbb fel kell hozzá törnie :D Kezdjük ott, ha hozzáfér a gépedhez, akkor már úgyis mindegy.Ezekert az “apro” hibakert minden jobb helyrol kibasszak az embert.Mondjuk katonai szerverekre nem kéne minden szart letöltögetni, és ott játszani velük.

[slyspy]

Ha sok munkát csináltok nekem, megy az egész topic a levesbe.

[Charlie]

Ugy latom, az elmelet vs. gyakorlat esete forog fent. Errol az a vicc jut eszembe hogy:

Pistike odamegy az apjahoz es megkerdi:
– Apa, mi a kulonbseg az elmelet es a gyakorlat kozott?
– Gyere fiam, megmutatom!
Odamennek Pistike noverehez.
– Lanyom, lefekudnel egy negerrel 1000 euroert?
– Persze! Meglenne a penz a nyaralasra!
Odamennek Pistike anyjahoz.
– Lefekudnel egy negerrel 1000 euroert?
– Hat, tudod hogy szeretlek, de kell a penz, uj cipo kell a gyereknek, meg ruhak telire, az iskola is penzbe kerul… Azthiszem, felaldoznam magam.
Odamennek Pistike nagymamajahoz.
– Mama, lefekudne egy negerrel 1000 euroert?
– Fiam, az en koromban mar ne valogasson az ember!

Nnna, latod fiam, ELMELETILEG most van 3000 euronk, GYAKORLATILAG viszont 3 budos ribanccal elunk egyutt.

[Geri]

Charlie: most az egyszer igazad van :D

[Jimmi]

KATONAI SZERVER!!! \o/

[Charlie]

Orulok, hogy vegre egyetertunk abban, hogy ugyan ELMELETILEG hibatlan a kodod, GYAKORLATILAG viszont egy rakas szar. :)))

[Geri]

Charlie wrote …
Orulok, hogy vegre egyetertunk abban, hogy ugyan ELMELETILEG hibatlan a kodod, GYAKORLATILAG viszont egy rakas szar. :)))

Csakhogy én pont a másik esetre gondoltam (= (=

[Charlie]

Jo, de te mondtad, hogy nekem van igazam… :D

[slyspy]

Csak mondom, hogy a ti erdeketekben moderalok, mert a hulyeseget a net sokaig megorzi. ;)

[Geri]

Igen, de a konklúzióban már nincs.

[pasy]

1. bármit meg lehet magyarázni, bármit meg is szoktak!
2. én már 8 oldallal korábban megmondtam hogy senki nem fogja tudni meggyőzni a másikat a saját igazáról

[zoom]

[ACE]

()_/)(O.o)(> <)

[Geri]

Megvan a megoldás az amiga-fétisre.

[Charlie]

Fogalmam sincs mieza szanalmas intel alapu wannabe fos. Amugyis, nekem ilyen Amigam van, sz’al a billentyuzet alatti tema nem jatszik. De orulok, hogy ennyi jott at neked az Amiga temabol. Szuklatokor++, de nem is erdemelsz tobbet.

[pasy]

károly nemtom honnan veszed hogy intel alapú – fosnak fos :)

[Geri]

Psszt. Náluk az “intel alapú” a lehető legocsmányabb szitokszó.

[Charlie]

pasy wrote …
károly nemtom honnan veszed hogy intel alapú

Innen. Az ember ismerje ellensegeit…

[pasy]

“Intel® Pentium® 4 HT” JAJ

[Charlie]

pasy wrote …
JAJ

En szoltam… :)

[pasy]

Ez 750 dodó? Valahol az amerikai gépezetben is lyukas a szita.

[blala]

de hat a wired cikk ahonnet a kep van, az meg arrol szol hogy mast mar [tadadada] core 2 quad is belemegy! (mondjuk biztos jol melegszik…)

http://blog.wired.com/gadgets/2008/03/cybernets-amiga.html

[Charlie]

Nem kurvan mindegy? Csak egy intel alapu szanalomkupac marad, amit az Amigaval egy napon emliteni… Hat Dave Haynie forog a sirjaban, pedig a foszer meg nem is halt meg!

[blala]

hat a regi markak meggyalazasa szomoru, de semmikeppen sem egy uj jelenseg, es ez a gep konnyen lehet hogy tenyleg szanalomkupac, de mindennek az intelhez viszonylag keves koze van :)

[Charlie]

wrote …
de mindennek az intelhez viszonylag keves koze van

Oooo neeem… Ellenkezoleg. Rengeteg koze van. De ez egy masik tortenet, hagyjuk is.

[blala]

jajj Karoly, hat ne legyen mar on is ilyen szuklatokoru! Pontosan ugyanolyan jol tudja mint mindenki mas, hogy az melyen utalt Intel is csak egy ugyanolyan ceg mint tobbi, vannak jobb termekei, meg rosszabb termekei, szimpatikusabb lepesei meg kevesbe szimpatikusok is, a kulonbseg csak annyi hogy sokkal tobb penzuk van kutatas-fejlesztesre…

Meg azt ne tessek nekem mondani hogy ha a fentebb linkelt izeben veletlenul mondjuk Motorola lenne, akkor nem lenne egy szanalomhalmaz.

(Elni akartam a tekintelyemmel es beszolni hogy kussoljal mert csak egy halado kacsapasztor vagy en meg mar toruszgyarto kisiparos, de kozben pont felfejlodtel basszus :)

[Charlie]

Errol nem nyitok vitat. 3 ceg van a ‘szakmaban’, amit gondolkodas nelkul atomcsapassal illetnek, aztan a helyet felszantanam es sugarzo plutoniummal bevetnem. Ezek pedig az Intel, a Microsoft es a Creative. Elobbi kettot peldaul ilyenek miatt (Intel kapcsan kiemelten lasd a 20. bekezdest.) Es akkor meg a normalis architekturak felkoncolasat mint pl. az Alpha esete nem is irtuk a szamlajukra. Creative-ot meg tobbek kozott a Gravis es az Aureal miatt. De mindegy…

[Author]

Posts