|
|
|
|
|
|
|
|
Wem das nicht reicht, der kann ja nach stderr umleiten.
|
|
|
|
|
|
|
Sind Stds überhaupt noch politisch korrekt?
|
|
|
|
|
|
|
|
|
|
|
Oha
|
|
|
|
|
|
|
Ja komm, ich investiere
|
|
|
|
|
|
|
std::cin
Seiner Zeit weit voraus!
|
|
|
|
|
|
|
std::clog ist jetzt traurig
|
|
|
|
|
|
|
Mal wieder Zeit für nen neues log4j Release
| If a string substitution is attempted for any reason on the following string, it will trigger an infinite recursion, and the application will crash: ${${::-${::-$${::-j}}}}.
| |
=> CVE-2021-45105, log4j 2.17.0
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von csde_rats am 18.12.2021 13:13]
|
|
|
|
|
|
Ich raffs nicht. So schwer kann es doch nicht sein?
|
|
|
|
|
|
|
Ey. Ich schreib jetzt einfach ne RegEx, die Inputs [^\w] halt rausschmeißt. Was soll man machen.
|
|
|
|
|
|
|
Man darf hat keine Daten von Usern in Logfiles schreiben! Untrusted!!1
|
|
|
|
|
|
|
Kriegt die Lib jetzt zum ersten Mal richtige QA, ja?
|
|
|
|
|
|
|
Man darf scheinbar auf Eingabedaten nichtmal zugreifen.
|
|
|
|
|
|
|
Ey büßer, wenn alles slf4j wäre könntest du jetzt sagen "figg dich log4j" und auf ein anderes Binding umsteigen, als zwei Mal pro Woche ein neues CVE zu fixen
|
|
|
|
|
|
|
| Log4j 1.x is not impacted by this vulnerability. | |
KTHXBYE
Und der Rest bleibt beim treuen std::clog
Und dann habe ich noch die serverseitigen Anwendung in Java. Wenn (und nicht falls?) Log4j 1.x hart getroffen wird bin ich arm dran.
Unsere geehrte Reinigungskraft hat auf der letzten Seite schon Logback als Implementierung hinter SL4J erwähnt. Wäre naheliegend. Was könnt Ihr für einfaches Logging (Loglevel, verschiedene Dateien, Rotation) empfehlen? Verwendet wer das integrierte in Java?
|
[Dieser Beitrag wurde 2 mal editiert; zum letzten Mal von hoschi am 18.12.2021 14:05]
|
|
|
|
|
|
+1 für slf4j mit logback. Wir entwickeln recht viel in Grails und bisher am Ende alles damit hinbekommen (Mails bei log.error versenden, zentraler Logserver, Logging von Fehlern in eine Datenbank, ...). Wobei ich jetz mal nachlesen muss was mit dem Groovy-Support in der neuesten Version los ist, bei logback steht jetzt:
"4) Removed Groovy configuration support. As logging is so pevasive and configuration with Groovy is probably too powerful, this feature is unlikely to be reinstated for security reasons."
Bisher haben wir die schöne Datei logback.groovy für die Config genutzt, kA ob das dann in Zukunft noch geht (hört sich eher nicht so an, außer grails macht da noch irgendwas dran).
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von mc.smurf am 18.12.2021 14:40]
|
|
|
|
|
|
| Zitat von PutzFrau
Ey büßer, wenn alles slf4j wäre könntest du jetzt sagen "figg dich log4j" und auf ein anderes Binding umsteigen, als zwei Mal pro Woche ein neues CVE zu fixen
| |
Ich gette deinen point zusehends
|
|
|
|
|
|
|
Tja uns hat es hart erwischt im Bankensektor. Java überall. War ne scheiß Woche,
|
|
|
|
|
|
|
Ich bin ziemlich froh nicht mehr meinen alten Job zu haben. War wohl ziemlich gut.
|
|
|
|
|
|
|
Einfach ausschließlich Software für internen Bedarf entwickeln.
|
|
|
|
|
|
|
Einfach ausschließlich Software mit COBOL implementieren.
|
|
|
|
|
|
|
Genau und bloß kein C, das hat die meisten Sicherheitsprobleme :-p
|
|
|
|
|
|
|
Alles in js um pointer-bullshit zu vermeiden und den bums in ner electron-sandbox laufen lassen.
|
|
|
|
|
|
|
rust!
|
|
|
|
|
|
|
|
|
|
|
Und mir glaubt wieder keiner, dass man software einfach in Erlang schreiben sollte
|
|
|
|
|
|
|
ey bekomm du einfach mal ejabberd zum laufen und betreib das nen weilchen, dann können wir weiterreden.
|
|
|
|
|
|
|
Beim lesen des Beitrags auf Heise ist mir die Xerox-Geschichte wieder eingefallen. Aber dafür haben sie ja unten das Video eingefügt.
// edit
Mal eine unschuldige Frage an die Leute mit Windows. Flackert Microsoft Teams bei euch, wenn Ihr scrollt?
|
[Dieser Beitrag wurde 1 mal editiert; zum letzten Mal von hoschi am 20.12.2021 10:24]
|
|
|
|
|
Python
|
Ich bin doof was Python angeht. Für mich sind das Pakete die ich installiere und die tun irgendwas
Warum muss man bei Upgrades von Python alle Pakete neu kompilieren? Hier sind doch sicher Pythonprogrammierer?
|
|
|
|
|
|
Thema: Software-Entwicklung 0 ( new SammelThread() ) |