beldmit: (Программизм)
Dmitry Belyavskiy ([personal profile] beldmit) wrote2021-11-04 06:12 pm
  • Add Memory
  • Share This Entry
Entry tags:

Trojan Source

Каждой атаке положен официальный сайт. Вот, например.

Если использовать уникодные символы управления направлением вывода текста (слева направо интерпретировать кусок текста или справа налево), то можно добиться эффекта, когда человек, который ревьюит pull-request, увидит одно, а компилятор - совсем другое.
Flat | Top-Level Comments Only
juan_gandhi: (Default)

[personal profile] juan_gandhi 2021-11-04 05:18 pm (UTC)(link)

Чудесно! Непонятно, что делать.

beldmit: (Программизм)

[personal profile] beldmit 2021-11-04 05:21 pm (UTC)(link)
Ну вот Rust требует заменить невидимые символы на escape-последовательности: https://blog.rust-lang.org/2021/11/01/cve-2021-42574.html#mitigations
juan_gandhi: (Default)

[personal profile] juan_gandhi 2021-11-04 05:34 pm (UTC)(link)

Обидно вообще-то. Нестыковка веба и консолей с компиляторами.

yurikhan: (Default)

[personal profile] yurikhan 2021-11-05 09:35 am (UTC)(link)

Это неполиткорректное решение. Оно запрещает строковые литералы и комментарии, содержащие смешанный LTR/RTL текст.

livelight: (hot)

[personal profile] livelight 2021-11-04 05:35 pm (UTC)(link)
Очевидно же: запретить арабам, евреям и другим правоналевопишущим писать в коде комментарии на своём языке. А то они так и сишный код задом наперёд начнут писать и читать, с них станется!

Про гомоглифы смешно. Зачем писать в каком-нибудь npm-пакете, который импортируют, не глядя, функцию "sayHello" с кириллической буквой "Н", если можно писать что попало и с латинской "H", всё равно импортирующие это тот код не читают.

[personal profile] permeakra 2021-11-05 12:30 am (UTC)(link)
Требовать исходники с комментариями в ASCII, вынося весь юникод в ресурсы.
juan_gandhi: (Default)

[personal profile] juan_gandhi 2021-11-05 12:59 am (UTC)(link)

Не всегда в аски получается. Вот если китайцы пишут, например. Или примеры разноязычные.

[personal profile] permeakra 2021-11-05 06:24 am (UTC)(link)
ИМХО, проще Бить по башке, пока не получится. Юникод - это тот случай, когда хотели как лучше, а получилось как всегда, там всегда проблемы будут.
alexkuklin: (Default)

[personal profile] alexkuklin 2021-11-05 03:00 pm (UTC)(link)
а за русскоязычные каменты сразу волчий билет
juan_gandhi: (Default)

[personal profile] juan_gandhi 2021-11-05 05:17 pm (UTC)(link)

Я помню, давно, студентом, я писал комменты на нескольких языках. Коми, испанский - ну чисто для упражнения. Очень быстро забывалось, вообще о чем это.

gegmopo4: (Default)

[personal profile] gegmopo4 2021-11-05 01:14 pm (UTC)(link)
Да, в закрытых рассылках обсуждалось с июля. Пока что решение — улучшать тулзы (линтеры, редакторы, вьюверы) и быть внимательнее при приёме патчей содержащих не-ASCII. Со временем будут ограничения в спецификациях языков. Интересно, но не критично.
beldmit: (Манул)

[personal profile] beldmit 2021-11-05 01:28 pm (UTC)(link)
Рекомендация быть внимательнее при работе с невидимыми символами нулевой ширины выглядит как издевательство.
yurikhan: (Default)

[personal profile] yurikhan 2021-11-05 04:38 pm (UTC)(link)

Ну не совсем. Например, на сайте нарисован кусок кода зелёным по чёрному, но в реальности псевдо-if проверки на админовость будет покрашен в серый курсив, как положено комментариям.

Flat | Top-Level Comments Only