> А вот какой в этом смысл?
Нет, в этом нет никакого смысла. Конкретно вот в этих вопросах смысла нет. Я провожу регулярно собеседовния на разработчиков разного уровня, когда-то даже 5 лет работал в ЛК. Мне кажется, что конечно по-другому надо делать. Некоторую базовую грамотность обращения с инструментом проверить конечно нужно, но это, как мне кажется, нужно делать по-другому.
Нет. Вы не понимаете, что такое этическая сторона разглашения согласно responsible disclosure. Давайте я расжую.
С этической точки зрения у вас есть два варианта: разгласить уязвимость вендору по приватному каналу и договориться о таймлайне патчей, либо, в случае если вендор тянет\или не признает проблему как именно уязвимость, то считается этичным не ждать вендора, т.к. он отказался от ответственности. Но в последнем случае нужно сначала _сообщить_ и получить отказ.
Если вы боитесь неадекватной реакции вендора, как в случае с Микротехом, то единственный этически-чистый вариант, это не сообщать об уязвимости вообще. И это отстой, я не защищаю неадекватных вендоров никоим образом.
Тем не менее, ответственность за соблюдение этики разглашения, за принятие этически-чистого решения, лежит только на рисечере. Автор не выбрал этически чистый вариант разглашения. Вместо этого, он с бравадой пошел попиариться на хабр и разгласил уязвимость там. Его отмазка не работает. Этим самым он не только обосрался как security researcher, но и просто как разумная форма жизни. Последнее, потому что подставил себя под УК. Я не вижу как еще это назвать.
Конечно, целью не является использовать эту информацию в корыстных целях (да я и не представляю, как). Иначе бы я не писал статью здесь. Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием, хватило истории про Микротех.
Автор, прости меня, я очень редко использую такие выражения, тем более публично, но тут я просто не могу удержаться. Ты — д*****б просто невероятного эпического размаха. Может я что-то не так понял, но если я все понял как думаю, то ты не только проигнорировал все принципы responsible disclosure, но и дал повод для преследования тебя по закону. Ты можешь сколько угодно говорить о Микротехе, но в конечном счете ты, именно ты, только ты в ответе за этическую сторону раскрытия уязвимости. Если ты боишься этого делать, то ты этого просто не делаешь. Микротех тут не при чем. Кровавый режим тут не при чем. За это ответственен только ты сам.
Дисклеймер: я прошел недавно это самое алгоритмическое интервью в желтую компанию, на хороший уровень.
Вы действительно используете свои знания и умения разрабатывать и оценивать алгоритмы на работе. Но на работе у вас для этого есть много времени в спокойной, способствующей обстановке. У вас есть доступ к исследованиям и литературе. У вас есть коллеги, в конце концов, команда. Если у вас этого ничего нет, то это плохая работа. На собеседовании у вас нет ничего этого, а есть только экзамен, нервы и череда каких-то перцев, которых вы первый раз в жизни видите. И это противоположность работе.
Решения алгоритмических задачек на собеседовании не проверяют ваши фундаментальные, нефундаментальные или любые другие знания. Они проверяют одну вещь: скилл решать задачки на собеседовании в стрессовой ситуации. Это отдельный скилл, который после приема на работу больше не нужен. Поэтому, кстати, его надо поддерживать походами на собеседования во время работы.
В стандарте описаны ситуации когда «реализация языка» должна генерировать «диагностические сообщения», а когда нет. По стандарту при использовании explicit casts предупреждение не обязательно.
Но это только из-за explicit каста. Если убрать каст в самом начале статьи и просто взять указатель на функцию то сообщение о несовпадении типов будет.
Нет, в этом нет никакого смысла. Конкретно вот в этих вопросах смысла нет. Я провожу регулярно собеседовния на разработчиков разного уровня, когда-то даже 5 лет работал в ЛК. Мне кажется, что конечно по-другому надо делать. Некоторую базовую грамотность обращения с инструментом проверить конечно нужно, но это, как мне кажется, нужно делать по-другому.
С этической точки зрения у вас есть два варианта: разгласить уязвимость вендору по приватному каналу и договориться о таймлайне патчей, либо, в случае если вендор тянет\или не признает проблему как именно уязвимость, то считается этичным не ждать вендора, т.к. он отказался от ответственности. Но в последнем случае нужно сначала _сообщить_ и получить отказ.
Если вы боитесь неадекватной реакции вендора, как в случае с Микротехом, то единственный этически-чистый вариант, это не сообщать об уязвимости вообще. И это отстой, я не защищаю неадекватных вендоров никоим образом.
Тем не менее, ответственность за соблюдение этики разглашения, за принятие этически-чистого решения, лежит только на рисечере. Автор не выбрал этически чистый вариант разглашения. Вместо этого, он с бравадой пошел попиариться на хабр и разгласил уязвимость там. Его отмазка не работает. Этим самым он не только обосрался как security researcher, но и просто как разумная форма жизни. Последнее, потому что подставил себя под УК. Я не вижу как еще это назвать.
Автор, прости меня, я очень редко использую такие выражения, тем более публично, но тут я просто не могу удержаться. Ты — д*****б просто невероятного эпического размаха. Может я что-то не так понял, но если я все понял как думаю, то ты не только проигнорировал все принципы responsible disclosure, но и дал повод для преследования тебя по закону. Ты можешь сколько угодно говорить о Микротехе, но в конечном счете ты, именно ты, только ты в ответе за этическую сторону раскрытия уязвимости. Если ты боишься этого делать, то ты этого просто не делаешь. Микротех тут не при чем. Кровавый режим тут не при чем. За это ответственен только ты сам.
Вы действительно используете свои знания и умения разрабатывать и оценивать алгоритмы на работе. Но на работе у вас для этого есть много времени в спокойной, способствующей обстановке. У вас есть доступ к исследованиям и литературе. У вас есть коллеги, в конце концов, команда. Если у вас этого ничего нет, то это плохая работа. На собеседовании у вас нет ничего этого, а есть только экзамен, нервы и череда каких-то перцев, которых вы первый раз в жизни видите. И это противоположность работе.
Решения алгоритмических задачек на собеседовании не проверяют ваши фундаментальные, нефундаментальные или любые другие знания. Они проверяют одну вещь: скилл решать задачки на собеседовании в стрессовой ситуации. Это отдельный скилл, который после приема на работу больше не нужен. Поэтому, кстати, его надо поддерживать походами на собеседования во время работы.
Но это только из-за explicit каста. Если убрать каст в самом начале статьи и просто взять указатель на функцию то сообщение о несовпадении типов будет.