Почалось! Уязвимость в сетевых библиотеках языков Rust и Go, позволяющая обойти проверку IP-адресов
Аноним
08/08/21 Вск 17:43:06
№1
1
1
В соответствии со спецификацией строковые значения IP-адресов, начинающиеся с нуля, должны интерпретироваться как восьмеричные числа, но многие библиотеки не учитывает данную особенность и просто отбрасывают ноль, обрабатывая значение как десятичное число. Например, число 0177 в восьмеричной системе равно 127 в десятичной. Атакующий может запросить ресурс, указав значение "0177.0.0.1", которое в десятичном представлении соответствует "127.0.0.1". В случае использования проблемной библиотеки, приложение не определит вхождение адреса 0177.0.0.1 в подсеть 127.0.0.1/8, но фактически при отправке запроса может выполнить обращение к адресу "0177.0.0.1", который сетевые функции обработают как 127.0.0.1. Похожим образом можно обмануть и проверку обращения к интранет-адресам, указав значения подобные "012.0.0.1" (эквивалент "10.0.0.1").
В Rust проблеме оказалась подвержена стандартная библиотека "std::net" (CVE-2021-29922). Парсер IP-адресов данной библиотеки отбрасывал ноль перед значениями в адресе, но только если указано не более трёх цифр, например, "0177.0.0.1" будет воспринято как недопустимое значение, а в ответ на 010.8.8.8 и 127.0.026.1 будет возвращён неверный результат. Приложения, использующие std::net::IpAddr при разборе указанных пользователем адресов потенциально подвержены атакам SSRF (Server-side request forgery), RFI (Remote File Inclusion) и LFI (Local File Inclusion). Уязвимость устранена в ветке Rust 1.53.0.
В языке Go проблеме подвержена стандартная библиотека "net" (CVE-2021-29923). Встроенная функция net.ParseCIDR пропускает нули перед восьмеричными числами, вместо из обработки. Например, атакующий может передать значение 00000177.0.0.1, которое при проверке в функции net.ParseCIDR(00000177.0.0.1/24) будет разобрано как 177.0.0.1/24, а не 127.0.0.1/24. Проблема в том числе проявляется в платформе Kubernetes. Уязвимость устранена в выпуске Go 1.16.3 и бета-версии 1.17.
https://sick.codes/sick-2021-016/
https://sick.codes/sick-2021-015/
>Rust и Go
А какой толк в уязвимостях, если это говно нигде не используется?
Как там в прошлом веке
Ну ты ведь гарантированно используешь гугл и ютуб, там куча подсистем на go. Вообще легче перечислить, где эти язычки сейчас не используются, чем наоборот
Go-вно высер от гугла и там же используется
Педе-Rust нигде, правда
Врёти! Бомжественный Rust не мог обосраться
Анальники думают что зря 5 лет учатся в этих ваших академиях..чотатам компухтер сцаенза
В итоге не знают ньюансов и высерают "либа на 1000% быстрее" и говно то ставят только маркетолохи чтобы продать по быстрей ту парашу, чем серьезное пишут своими руками и проводят аудиты кода.
>ASP.NET
>2021
Дружище…
А что юзают в 2021?
Положа руку на сердце, здесь даже без академического диплома быдлокодерство уровня студенческой лабы: не смочь банально распарсить строку в число.
Типа ты сам никогда не совершал глупейших ошибок, смотря потом на которые ты бы удивлялся как это так получилось.
Гошечку с Растишечкой и юзают, наряду с Питончиком и Явочкой, если мы говорим о веб-сервисах.
Конечно совершал, человеку свойственно ошибаться. Но в проектах такого уровня, как стандартная библиотека достаточно популярного языка, такие детские ошибки жить не должны.
Так их совершают те же человеки.
И по законам подлости они ускользают от всяких проверок и код-ревью.
Да я просто удивляюсь, как такой очевидный тест-кейс ухитрились пропустить. Или библиотеки на пользователях тестятся?
> как такой очевидный тест-кейс
Ну это он сейчас очевидный. Задним умом как грится все крепки.
>Ну это он сейчас очевидный.
бля почаны у нас капча на ноль не проходит, похуй убираем нахуй ноль
Раст активно мейнтейнится и юзается мозиллой. Например на расте двигло огнелиса сделано. Так же, на расте реализован протокол shadowsocks для обфускации трафика. А на go стделан для него плагин v2ray.
> Например на расте двигло огнелиса сделано
Хуета, с тем же успехом можно нескушной либой/макросом на си++ собрать просто убрать богомерзкий счетчик ссылок и ок.
А ты типа на каждый чих всегда читаешь полностью спецификацию со всеми примечаниями и нюансами, и конечно при парсинге строки с айпишником первым делом подумал бы о возможности восьмеричной его записи.
Это в принципе очевидный тест-кейс для любого, знающего злоебучую нотацию чисел в C.
Очевидный потому что сейчас известно куда смотреть. Когда у тебя полное поле перебора вариантов откуда может что прилететь, очевидность неочевидна.
Что мешает иметь стандартную функцию, автоматом определяющую по префиксу тип числа и разбирающую его до первого недопустимого символа? Только привычка гошников воротить велосипеды по случаю и без.
> о возможности восьмеричной его записи.
запись ебать меня не должна, я должен знать что айпи это
разбивка по FF-FF-FF-FF и в целом это ОДНО число, тобишь +1 даст прокрутку всех. А как его вводят меня ебать не должно, у меня на точке входа только 1 вид адреса разбирается(байтовый) и шлется нахуй а не залупа уровня 00000001ОЯБУНЕСКУЧНЫЙТЕКСТ
IP-адрес представляет собой 32-битовое (по версии IPv4) или 128-битовое (по версии IPv6) двоичное число.
>полное поле перебора вариантов
Число может быть десятичным, восьмеричным либо шестнадцатиричным, даже двоичное не предусматривается.
Три варианта предусмотреть точно не проблема.
Ну так а что мешает в приницпе сразу писать код без ошибок, наиболее оптимально, реюзабельно, обобщённо, и при этом читабельно?
А потом тебе на твой little endian приходят байтовые данные в big или mixed endian. Удачного разбора, дружище!
> Число может быть десятичным, восьмеричным либо шестнадцатиричным
Но скорее всего число будет десятичным, а о других системах счисления просто не подумали, т.к. не предполагали, что будут атаковать в этом направлении. Косяк конечно, но опять-таки ты даёшь совет, уже зная область ошибки.
В обсуждаемой ситуации — ничего не мешало (кроме, возможно, ручек из жопы у смузи-прогеров).
нет никаких чисел, есть ссылка на тип и просто насреньканные байты, поменял я тип без преобразования, байты теже смысл другой и теперь
0..255 это не инт, а кастомная пилка где с 0 по 255 записывается диапазон 1 по 8, а остальной промежуток это десятичная часть.
>>10479970
Просто шлю нахуй через прогу или через прокси, поддерживать нескучную залупу уровня а вдруг к вам приедет фура а у водителя вместо рук ноги, ммм? как сдроватся будешь? Ага? неподумал. Так и тут индаин идет нахуй прям как жопера.
> Просто шлю нахуй через прогу или через прокси
При разработке крупного проекта решать о посылании будешь явно не ты. С окейфейсом будешь обрабатывать что скажут.
>си++
Это говно мамонта надо забыть.
Так программисты — это не пользователи, и знание о существовании шестнадцатиричной и восьмеричной систем — это азы их профессиональной компетентности. Если они в такой простой ситуации «просто не подумали», страшно представить, что они в более сложной упустить могут.
>блин ну пачиму я не могу заюзать ботнет дабы он по столетнему багу с турбозалупой 0,5б которую должен поддерживать любой комп вдруг мне захочется скинуть фоточки на его считыватель перфокарт..
>блин так не честно, поддерживайте а то придется опять радмин ставить в виндовс-зверь
Это блаблабла, сорян.
Знают люди много, но каждую секунду на каждый вопрос полным объёмом имеющихся знаний никогда не пользуются, это невозможно. Вопросы «парсинг айпи из строки» и «системы счисления» напрямую в одной области не находятся.
>нет никаких чисел
Правильно, есть строка в которой могут встретиться только цифры и буквы a, b, c, d, e, f, x (последнее — только в определённом месте) и точки-разделители. Если строка начинается с нуля, то число НЕ десятичное. Вот и вся задачка.
>Просто шлю нахуй через прогу или через прокси
Как ты определишь, что надо слать нахуй? Ты ждал 64 или 128 бит, ты их получил, как догадаться, что у них порядок нахуй не тот, который ты ждал?
>поддерживать нескучную залупу уровня а вдруг к вам приедет фура а у водителя вместо рук ноги
Вот благодаря таким скучающим кодерам и появляются в ПО уязвимости на ровном месте, а потом всякие вирусы пети ставят раком половину компов в мире.
Нет, блаблабла — это твои оправдания. Незнание не освобождает от ответственности. А парсинг айпи из строки автоматом предполагает знание систем счисления, что следует из его спецификации.
Шо ты блядь оправдываешься дэбил? На галере держат тестировщиков и платят им зарплату. Если тестаны проебали очевидный дорвей, то менять блядей всем отделом с начальником.
>Правильно, есть строка в которой могут встретиться только цифры и буквы a, b, c, d, e, f, x (последнее — только в определённом месте) и точки-разделители. Если строка начинается с нуля, то число НЕ десятичное. Вот и вся задачка.
Че браузер шлет? Случаем не просто байты? Какие нахуй строки.
Ок, сидим не с браузера а ожидаем с программы 1 на программу 1(копия) одни данные, так компилятор имеет свою зону ответственности и не должен угадывать что будет если введут в строку число и как его пережует потом.
>>10480041
похуй на энжиникс параше это даже не заметили, на джава-параше тоже такое есть, правда там подрубили 2 модуля 1 то правильный айпишник то отдаст или получит.
>Ты ждал 64 или 128 бит, ты их получил
Меня ебать не должно, в пределах компилятора прога верна, за внешний мир я не отвечаю, вдруг там ваще хуем по плате буут водить и статикой байты перемешает и чо потом?
> Незнание не освобождает от ответственности
Я от неё и не освобождаю, а пытаюсь представить почему так получилось
> что следует из его спецификации
Которую полностью не прочитали, т.к. восьмеричная запись айпишника нинужное говно, непонятное для чего, вот и не предположили что эта дичь возможна. А опускать ведущие нули в десятичных числах абсолютно естественно.
Как всё-таки досадно, что в таких новеньких, блестящих языках только из коробочки, приходится пилить какие-то уебанские костыли для поддержки всякого кривого говна из прошлого века. Ну какая ещё нахуй восьмеричная система для строк, начинающихся с нуля. В других местах это наоборот воспринимается как ёбнутая особенность, о которой не знают новички. А тут это часть спецификации, видите ли. Можно подумать от этой конвенции есть хоть какая-то польза. Делали бы хоть как с шестнадцатиричной префикс из какой-то буквы, чтоб это явно видно было, пидорасы блядь.
там высер уровня у меня прога х+у=й
ну я в переменную Y ввел ваще мусор/буквы короче чет посчитало правда не ебу чо..
В реальной проге что в интернет смотрит то говно даже не сработает так как только в 1 виде будет кормить ей уже сетевая плата с драйверами написаными на СИ=параше
Работать максимум будет с логами, чтобы ебать лохов админов ааа хули мне с локалхолокоста пишут что я лошара? На выход же или будет не работать(как это отправить на деревню дедушке пакет) или будет работать и похуй на адресацию.
Да, он шлёт байты. И если ты интерпретируешь присланные данные как массив байтов (условную ASCII строку), то вопрос об endianess тебя вообще не ебёт. А вот если ты делаешь предположение, что эти 4 байта — это целое беззнаковое число в формате little-endian, то работоспособность твоей гипотезы — полностью на твоей совести.
>в пределах компилятора прога верна
Скомпилировалась, значит правильная? Если ты действительно так пишешь код, то тебя надо гнать из прогеров взашей.
>за внешний мир я не отвечаю
Ты отвечаешь за обработку данных в рамках спецификации. А на самом деле — и сверх того, потому что если прога не работает, бизнес не получает деньги, а значит зарплату тебе платить нечем.
>почему так получилось
Да это как раз понятно. Непонятно другое, как людей, которые спецификацию полностью не читали, допустили к разработке стандартной библиотеки.
>восьмеричная запись айпишника нинужное говно, непонятное для чего, вот и не предположили что эта дичь возможна.
Личное мнение — проблема его владельца. По факту все кейсы, требуемые спецификацией, программа должна покрывать, нравится тебе или нет.
>опускать ведущие нули в десятичных числах абсолютно естественно
Бери машину времени, перемещайся в 70-е, ищи Кернигана и Ричи и рассказывай это им.
>Скомпилировалась, значит правильная? Если ты действительно так пишешь код, то тебя надо гнать из прогеров взашей.
Математически доказана что из программы есть выход и не имеет логических пробелов уровня буква Б(не ебу какие байты) + 6 = Хуй знает сколько.
Можно поставить вентили и проверять там ввод и точки входа данных, на остальном компетенция программиста оканчивается, вдруг у него там левые либы будут или ваще на калькуляторе запускать будет без поддержки половины команд?
>>10480114
>Ты отвечаешь за обработку данных в рамках спецификации.
спецификация такова, что а) получаем норм данные и работаем
б) получаем хуету и шлем ее нахуй перед тем записав в логи
У тебя же вариант получаем хуету и пытаемся ее обработать, создаем баги(а вдруг у него потерялись пакеты и там должно быть...)
Запили свой собственный интернет без восьмеричных айпишников, пересади на него человечество и наслаждайся отсутствием костылей.
А покуда ты пользуешься протоколами из прошлого века, тебе придётся выполнять все их требования, нравятся они тебе или нет, либо идти нахуй.
P. S. И предусмотреть разбор восьмеричного числа — это элементарщина, а не костыль. Но не для хэллоуворлдщика, конечно.
Не охуел ли ты гнать на дотнет? Самые передовые кросплатформенные технологии, которые используют божественный С# с его изобилием библиотек и полноценным ООП. Даже фронт уже можно писать на С#. Где ты еще встретишь такую универсальность и прогрессивность?
Покажи мне математические доказательства корректности какой-нибудь программы сложностью уровня сетевой библиотеки языка. Если что, на Хаскелле системное ПО не пишется.
>спецификация такова, что а) получаем норм данные и работаем
Спецификация такова, что в число нормальных данных входят и 8-ричные айпишники, и данные, полученные из систем с неизвестным для тебя порядком байтов. Твоя задача учесть ВСЕ возможные варианты (а иногда и сверх того). Не смог — извини, твоя программа не соответствует.
>Покажи мне математические доказательства корректности какой-нибудь программы сложностью уровня сетевой библиотеки языка.
Любая программа результат доказуемости, любая игра с сейвами доказывает доказуемость, а не массив байтов которые функциями двигают как в брейнфаке
>>10480168
>Спецификация такова, что в число нормальных данных входят и 8-ричные айпишники
Которые должна обрабатывать сетевуха и высирать нормальный вид.
В программе максимум же с "уязвимостью" посрут в логи левой хуйней или обойдут фаервол от васяна.
>Самые передовые кросплатформенные технологии
Запусти .NET-приложение на Arduino
>божественный С# с его изобилием библиотек и полноценным ООП
>С#
>полноценным ООП
Ты совсем ебанулся?
>Даже фронт уже можно писать на С#
Давно браузеры научились интерпретировать байт-код .NET?
>Любая программа результат доказуемости, любая игра с сейвами доказывает доказуемость
Высер уровня ПТУ.
>Которые должна обрабатывать сетевуха и высирать нормальный вид.
Малыш, что должна сетевуха, описано в спецификациях сетевых протоколов. Телепатией, чтобы отгадывать, что вот этот набор байтиков, который ты в неё кинешь, обозначает IP в определённом тобой формате. она обладать не должна.
Ну реализуй уязвимость, хули.
>>10480191
>Высер уровня ПТУ.
Каждый раз запускаешь новую винду? Через год из нее линукс соберется? Максимум некоректное состояние из-за 2 функций на 1 переключателе.
>Запусти .NET-приложение на Arduino
Нехуй делать
>полноценным ООП
>Ты совсем ебанулся?
Можно юзать SOLID и депенденси инджекшен. В вебе только Ангулар так умеет
>Давно браузеры научились интерпретировать байт-код .NET?
С# компилируется в джаваскрипт, на подобии, как тайпскрипт в джаваскрипт
>реализуй уязвимость, хули
Вот уже реализовали, о чём и новость.
>Каждый раз запускаешь новую винду?
Каждый глюк, зависание или выпадение в синий экран доказывает, что винда работает некорректно. И никто не станет заниматься математической верификацией системы такого объёма и вариативности, так что здесь ты обосрался.
>Нехуй делать
Обосрамс раз.
>Полноценный ООП
>Можно юзать SOLID и депенденси инджекшен.
Обосрамс два. Что такое ООП, ты не знаешь.
>С# компилируется в джаваскрипт, на подобии, как тайпскрипт в джаваскрипт
Значит как и раньше, во фронтэнде программы только на джаваскрипте работают?
>Вот уже реализовали, о чём и новость.
>nil(ебабо)+i nt(2)=nil(ебабо2)
Ясно>>10480215
>или выпадение в синий экран доказывает, что винда
допускает в ядро говнохуету, и могла бы с лагом в 1мс просто ложить хуй на дрысню эту, а потом за 20мс обратно грузится, ты даже не заметишь из-за прыжков меж приложениями
>математической верификацией системы такого объёма и вариативности, так что здесь ты обосрался.
>а чо если в очко сатаны лом и руку засунуть чо будет?
ясно
> Что такое ООП, ты не знаешь.
типо ты знаешь, пидорашка?
>Не охуел ли ты гнать на дотнет? Самые передовые кросплатформенные технологии, которые используют божественный С# с его изобилием библиотек и полноценным ООП. Даже фронт уже можно писать на С#.
>Где ты еще встретишь такую универсальность и прогрессивность?
В высере под названием Delphi что-то подобное декларировали.
Опять трудовик ебал на пару с поцколистом? ууу ну пачиму меня не учили кодить ногами на с++ так бы для пидорашки получал бы баслословные 2к баксов...
>Значит как и раньше, во фронтэнде программы только на джаваскрипте работают?
В браузере только джаваскрипт работает. Сервер генерирует джаваскрипт и выдает его клиенту в браузер.
Кстати, ты тупорылое уебище. Что-то уровня агрессивного ПТУшника, которого с первого курса нормального универа отчисляют
>типо ты знаешь
Типа да.
>пидорашка
Ты принял меня за своего однофамильца? Очень жаль, но и здесь ты обосрался.
Откуда вы лезете, дегенераты?
>В браузере только джаваскрипт работает
WebAssembly? Не, не слышали.
>Кстати, ты тупорылое уебище. Что-то уровня агрессивного ПТУшника
Снежинка обиделась? Ничего, это только начало, готовь свой попчанский к ещё большему разрыву.
>Типа да.
ну рожай
Тебе пришли данные, удовлетворяющие спецификации, которую ты не читал/читал затылком вверх ногами. Твоя прога валится или выдаёт хуйню. В этом виноват исключительно ты.
>допускает в ядро говнохуету,
то есть даже просто о грамотном инженерном решении речи не идёт, не то, что о математически доказанной корректности. Молодец, что признал своё обсёр.
>а чо если в очко сатаны лом и руку засунуть чо будет?
Вот когда принесёшь примеры использования жопы сатаны в спецификациях и энтерпрайзе, тогда и высирай свои аналогии.
Не-не. Ты же заявил о «полноценном ООП в C#». Так что это я, удобно устроившись с попкорном и колой, слушаю, как ты будешь запинающимся голоском обосновывать свои слова. А потом объясню тебе, что твоё мнение говно, ты пидорас, а твоя мамаша — шлюха.
>Вот когда принесёшь примеры использования жопы сатаны в спецификациях и энтерпрайзе, тогда и высирай свои аналогии.
True False
Так как водили жопой по ОЗУ и волосня меняла байты, пришлось для стабильности вводить 000000/1111111
>>10480286
ООП математически не доказуем(не императивен) а значит идет нахуй, так как нам не нужно аналитическое решение.
>>10480283
>то есть даже просто о грамотном инженерном решении речи не идёт
винда должна знать про 10001 китайский подвал где мышки паяют?
А че ты такой злой? Небось весь день ебался, причмокивая, с божественным шарепоинтом на божественном аспе, что даже не удержался сообщить всем в раст-го-треде о своей ориентации?
>WebAssembly? Не, не слышали.
Еще флеш вспомни, фантазер
С ориентацией у меня все нормально, я же не рубист
Упущенных тобой поинта два. 1. Не джаваскриптом единым. 2. Фронтэнд можно писать на любом языке, который транслируется в джава-скрипт, и C# в этом не представляет ничего особенного. Хотя можешь рассказать, как .NET библиотеки в джаваскрипт будут транслироваться, и каков итоговый объём скрипта выйдет.
Забавно что ASP.NET-хуесос упомянул руби, с рейлс которого мелкомягкие пытаются пиздить всё что могут, но всё равно получается только высер говна.
Жопой сатаны водили по ОЗУ? Need more details.
>ООП математически не доказуем
Ага, то любая программа — результат математического доказательства, то вдруг ООП не доказуем.
>(не императивен)
Схуяли ООП не императивен? Он вполне _может_ быть императивным (но это не обязательно).
>винда должна знать про 10001 китайский подвал где мышки паяют?
Винда должна отказываться работать с оборудованием, нарушающим спецификации, либо предупреждать, но никак не впадать в прострацию — это ошибка проектирования.
>обама ворует мое золото из жопы и меняет его на говно
> то вдруг ООП не доказуем.
Потому-что это подразумевает отдельные домена и даже ОС, тобишь интернет не доказуем что он будет работать вообще корректно без обмаза императивщиной.
Ну ты можешь ходить к врачу чтобы он вызвал у тебя метод лечить рак жопы, хули. Или как там в вере ООП должно быть? Ведь объект лишь предлает другому и если нет метода у него то нехуя не делает.
>ООП
>отдельные домена и даже ОС, тобишь интернет не доказуем
>ООП
Ты что несёшь, поехавший? Причём ООП к устройству сети?
>Ведь объект лишь предлает другому и если нет метода у него то нехуя не делает.
Вот, это кстати и есть то самое «полноценное ООП», правда какое отношение к нему имеет обрубок из C# — это интересный вопрос.
программы нахуя пишут узнай
Для решения задач. Ну или от нехуй делать, как линукс.
Для решения задатч есть математика.
Для автоматизации уже решенных задач.
ООП хуета нахуй нада там, типо я говорю пожарь картошки а тебя дауна резист к хрюскому языку и ты ваще таджик в биг-индиан долбишься в жопу по спайсами. И короче картошки я не дождусь или дождусь хуй его знает.
Математика — это теоретическое решение.
А воплощение его в работоспособном коде — практическое решение. С поправкой на некоторые проблемы реального мира, которые могут не учитываться в матмодели.
>ООП хуета нахуй нада там
Ну блядь, от задачи зависит. Если чисто байтики перекладывать, то не надо, а если надо высокоуровневыми сущностями оперировать, то так или иначе будешь ООП пользоваться или эмулировать.
>в биг-индиан долбишься
>картошки я не дождусь или дождусь хуй его знает.
При грамотном проектировании дождёшься, и можешь быть уверен, что она никогда не будет случайно зажарена до угольного состояния, потому что кодер поленился дочитать спецификацию.
IoT устройства считают иначе. Дело в том, что зеленая повесточка предполагает серьезное снижение потребляемой энергии различными устройствами, из-за этого в калифорнии у некоторых производителей проблема - там с 1 июля запрещено продавать игровые ПК и игровые мониторы соснолей не касается лол, IoT это тоже коснется, поэтому хочешь не хочешь, а С и C++ взлетят еще больше в ближайшее время.
https://www.denofgeek.com/games/california-pc-gaming-ban-details-law-dell-controversy-explained/
Так Раст пилят чтобы этих гнойных плюсов больше не касаться.
Раст компиляется в LLVM. А это ограничивает сферу возможного применения. Говорю это, как сочувствующий расту и мечтающий дожить до похорон крестов.
>>10480484
Статейка
https://thenewstack.io/which-programming-languages-use-the-least-electricity/
PDFка с исследованием энергоэффективности ЯП
https://greenlab.di.uminho.pt/wp-content/uploads/2017/10/sleFinal.pdf
Так-то, с точки зрения исследования Rust на небольшую писечку обходит C++. Надо будет обратить внимание на этот ЯП
Интересная статистика. Хотелось бы понять, чем обуславливается уровень энергопотребления при использовании того или иного языка. Думаю, что используемыми им абстракциями, типа виртуальной таблицы функций в плюсах. Но совсем без неё — как?
>>10480549
Забыл добавить. По моему опыту работы в тырпрайзе выбор будет всегда склоняться к ЯП по которому проще всего закрыть вакансию. Я это требование видел во всех презентациях на архитектурных комитетах во всех крупных компаниях, где работал
Это да. Тот же пыхтон потому так популярен, что на нём макак — хоть живых питонов корми.
>Тот же пыхтон потому так популярен
В тырпрайзе его часто вижу только в проектах с какими-нибудь математическими моделями и машобом, да и вариантов то особо нет, можно, конечно, залупить подобное на Scala, но потом охуеешь это поддерживать. Со Scala у меня случай был, команда одним днем на похуй всей толпой из банка с проекта съебала, им какой-то западный заказчик предложил срочный проект с х4 ценником, там ЗП до 700к у разраба доходила, ну а мы нанять так и не смогли, в итоге, наняли кучу Java макак и они в течении года все переписали, даже лучше работать стало. В обычных проектах, вообще, практически не встречал Петухон, все прекрасно понимают какая это ебала поддерживать бэк на ЯП с динамической типизацией, поэтому он практически всегда проигрывает в выборе решения
Ну смотря с чем сравнивать, по сравнению с пыхом выигрывает за счёт более удачной модели типизации, по сравнению с Руби — распространённостью и быстродействием, лол.
Но насчёт ебалы с поддержкой полностью соглашусь. Разве что вместо жабы выбирал бы гошку ну или котлету на худой конец, если привязка к жабоплатформе принципиально важна.
50ЛЕТНИЕ ХАБРОДЕБИЛЫ ИТТ
> ЗП до 700к
В год?
в наносекунду
>>10481813
В месяц же, и там было где-то 10к долларов, что в целом-то соответствует стартовой ЗП в FAANG. Плюс это же ЗП за срочность и это заказчик из кремниевой долины был, поэтому они-то все съебали с проекта. К тому же проект временный, за 4 месяца они управились и пошли работу искать, но зато с новой крутой строчкой в резюме
Какие нахуй 10к долларов в месяц в рабсии долбоебина? У нас 400 долларов средние зарплаты - за 10к тебя убьют нахуй
Ты никогда не работал на западного заказчика, ебанашка?
https://hh.ru/vacancy/46377575?from=vacancy_search_list&query=AWS
>Principal Software Engineer (Open Source)
>от 8 000 USD до вычета налогов
>за 10к тебя убьют
Чисто пидорашья привычка хвалиться перед всеми сколько ты зарабатываешь. Никогда не говори никому в РФ сколько ты зарабатываешь