Неожиданные уязвимости безопасности в парсерах Go ( trailofbits.com )
Все это было очень интересно, но эта многоязычная полезная нагрузка json/yaml/xml стала для меня большим сюрпризом! Я понятия не имел, что парсер xml по умолчанию в go будет принимать предшествующий и завершающий мусор. Я всегда считал json одним из самых простых форматов для парсинга, но полагаю, что реальный мир будет с этим не согласен.
Интересно, что решения, принимаемые в отношении, казалось бы, безобидных условий, таких как «что делать, если есть дубликаты ключей», имеют длинный хвост последствий.
Source: news.ycombinator.com