Tweets
- Tweets, aktuelle Seite.
- Tweets & Antworten
- Medien
Du hast @RSnake blockiert
Bist du sicher, dass du diese Tweets sehen willst? Das Ansehen von Tweets wird @RSnake nicht entblocken.
-
Angehefteter TweetDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen
-
Ouch, the Ruble is getting crushed! “So far, the pair is up 17.92% at 145.90 and faces the next hurdle at… Mars?”https://www.fxstreet.com/news/usd-rub-shoots-higher-to-the-14500-area-202203071504 …
Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
If you enjoy hearing about hypersonic vehicles, rail guns and
@SpaceX check this out:https://youtu.be/rnJH0gvfXOcDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
It’s easy to forget China right now, but I wouldn’t.https://twitter.com/truth_inbetween/status/1499053867585224707 …
Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Robert Hansen hat retweetet
Great presentation
@RSnake I had no idea how really crazy nan was in pythonhttps://twitter.com/owaspla/status/1494193866127278080 …
Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Robert Hansen hat retweetet
Diagnosing
#python#logicflaws is extremely hard; not for@RSnake (Robert Hansen) CTO of@BitDiscovery - he's found a new class of them. Join us next week Wed 2/23 Noon PST to hear his talk during@owasp LA Chapter monthly virtual meeting. RSVP now at https://www.meetup.com/OWASP-Los-Angeles/events/283328979/ …pic.twitter.com/zxURYw9eP1
Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
NaN Injection is just another example of this. It’ll be years before Python has any kind of meaningful response to it (if ever). Meanwhile well-meaning developers will never get guidance or better code to support them. This will leave a legacy of bad code in its wake.
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
While true, I prefer architectural level problems, they are the seeds from which CVEs spawn from. I think at a minimum, there has to be a special place for when we find things like “Intranet Port Scanning” which takes the browser companies 18 years to fix.
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
This reminds me of when I was talking to a woman at Microsoft who was handing out tee-shirts of CVEs on the back and I asked which one was mine. She paused and said, “You don’t write the kind of exploits that get CVEs.”
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
This seems like an odd choice of words. Insecure code patterns that the language provides no built-in support to protect against and no default guidance for is absolutely “an issue”.
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Regarding
#Python NaN Injection here’s the CVE response: ‘After further analysis this is now considered not an issue: "Python is a fully featured programming language, it allows you to write all kinds of programs, including insecure ones." The reject request was sent to Mitre.’Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
The answer is 0.8999999999999999 similar to how (.1 + .1 + .1) * 20000000000000000 is 6000000000000001.0 Floating points are unsafe when doing comparisons. Moral of the story is don't trust floats in Python without additional work.
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
In Python 3, if the following math equals .9 >>> 0.1 * 9 .9 What do you think this will equal? >>> 0.3 * 3
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
The answer is… “inf” (infinity). Basically there is an upper bounds of where Python can handle floats, and > 1e+308 turns into inf. So, if your code’s math goes too high it becomes all consuming.
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
In Python 3 if multiplication of two large floats is: >>> 1e+154 * 1e+154 1e+308 What do you think the following will evaluate to? >>> 1e+154 * 1e+155
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
The answer is False due to floating point issues with an exponent as large as 23. Do you expect mathematical truth in your programming languages? >>> int(2.0*10**23) 199999999999999983222784 >>> int(2e23) 199999999999999983222784 >>> int(2*10**23) 200000000000000000000000
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Anything past the first few search results on Google, is for all intents and purposes, the deep web.
#SEODanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
In Python 3, if the following is true: >>> int(2.0*10**23) == int(2e23) True What do you think this will evaluate to? >>> int(2*10**23) == int(2e23)
Diesen Thread anzeigenDanke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Robert Hansen hat retweetet
Well, thanks
@RSnake for completely breaking my brain today. Y'all, you GOTTA watch https://blog.bitdiscovery.com/2021/12/python-nan-injection/ … and if you are smart enough to understand it just ponder NaN and the madness that it is. I feel like we've seen this before: https://www.youtube.com/watch?v=3se2-thqf-A … -- This is magic.Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Robert Hansen hat retweetet
It's been way too long since I had my pal
@RSnake on the@DecipherSec podcast, so we remedied that today to talk about his wild new research into NaN injections and other stuff.https://www.buzzsprout.com/228511/9882333Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen -
Wow
@jeremiahg - only took the browser companies 18 years to figure out intranet port scanning + CSRF was a real problem. ;)https://twitter.com/campuscodi/status/1481278211543683080 …
Danke! Twitter wird dies nutzen, um deine Timeline zu verbessern. Rückgängig machenRückgängig machen
Das Laden scheint etwas zu dauern.
Twitter ist möglicherweise überlastet oder hat einen vorübergehenden Schluckauf. Probiere es erneut oder besuche Twitter Status für weitere Informationen.