Зафиксировано (https://status.haskell.org/pages/incident/537c07b0cf1fad5830...) проведение успешной атаки на инфраструктуру, обеспечивающую разработку функционального языка программирования Haskell (https://haskell.org/). В результате атаки злоумышленникам удалось получить контроль над репозиториями
deb.haskell.org. Подробности разбора инцидента пока не сообщаются, известно только, что с 12 февраля фиксировались аномалии в исходящем трафике. 14 февраля атака была подтверждена и хост deb.haskell.org был выведен из эксплуатации для изучения последствий взлома.Сообщается, что разработчики сработали достаточно оперативно и время распространения модифицированных атакующими deb-пакетов было сведено к минимуму. При этом, так как точные данные об инциденте пока не приводятся, пользователям deb.haskell.org, особенно применяющим средства автоматической установки обновлений, следует внимательно изучить пакеты, установленные из проблемного репозитория с 12 по 14 февраля.
URL: https://news.ycombinator.com/item?id=9054795
Новость: http://www.opennet.me/opennews/art.shtml?num=41677
Причём заметьте - Haskell, а не PHP.
Антисклероз:
http://www.opennet.me/opennews/art.shtml?num=38251
http://www.opennet.me/opennews/art.shtml?num=29981
//Зануда вклЛадно: _на_этот_раз Haskell, а не PHP. Только что это меняет? Исходный тезис был, что не бывает плохих языков, зато бывают плохие танцоры.
Как сказать, если на одном языке нужно написать 30 строк, а на другом 15 и читаемость не ухудшится? И какое отношение взлом сайта, который вообще может быть сделан другой командой, имеет к качеству языка?
Может ТС намекает что эта самая "инфраструктура" на ПХП была написана?:)
Тогда это тем более хаскелистам не в плюс.
Будучи реалистом, учить нужно только то, что принесёт пользу сейчас, а не в возможном будущем.
Хреновый из тебя реалист.
> Хреновый из тебя реалист.Не, ну он в чем-то прав: хаскелисты много вопят как их ЯП крут и ... при этом на нем фиг найдешь хоть одну реально нужную программу. Эталонный ЯП для демонстрации "во как я могу!" при нулевой практической полезности. Но с другой стороны, мегапрофи на подсoce у микрософта обкладываются тулзами за килобаксы, а толку... ну как с хаскелистов примерно.
Профи, не говоря уже про мега-профи, умеют считать до 10. Если они покупают ПО за 2$, значит они знают как с его помощью заработать 9$.
> Профи, не говоря уже про мега-профи, умеют считать до 10. Если они
> покупают ПО за 2$, значит они знают как с его помощью заработать 9$.Оно и видно - большинство зайцев-маздайцев такие все из себя Билли Гейцы. Что аж по форумам кирпичами сpyт, видимо предвкушая свой вылет с рынка.
> Не, ну он в чем-то прав: хаскелисты много вопят как их ЯП крут и ...
> при этом на нем фиг найдешь хоть одну реально нужную программу.Ну почему, тот же flow2dot порой весьма выручал. Ещё как-то читал человека, вляпавшегося в RST и вынужденно искавшего язык с наибольшей плотностью отдачи на лишнее нажатие кнопки -- в итоге он на тот момент остановился на хаскеле как раз (но стоит иметь в виду, что я-то его читал наверняка через того же adept@, с которым давно знаком, т.е. выборка не является контекстно-независимой).
> Ну почему, тот же flow2dot порой весьма выручал.А я даже не знаю что это - видимо настолько всем нужная программа, что я ее впервые в жизни слышу. Ну понятно что если задаться принципом, можно написать программу хоть на брейнфаке и заявить что она нужна как минимум автору. Но на картину мира такой подгон под ответ мало влияет.
В среднем по больнице - разрыв между воплями адептов о крутизне языка vs практически значимый выхлоп от всех этих воплей просто поражает воображение. Судя по всему хаскелисты вообще считают зазорным и низким делом писать какие-то там программы :).
> человека, вляпавшегося в RST и вынужденно искавшего язык с наибольшей плотностью
> отдачи на лишнее нажатие кнопки -- в итоге он на тот
> момент остановился на хаскеле как разНу я как-то видел потуги интересующихся алгоритмикой протитипить алгоритмы сжатия на этом. Но они очень быстро обнаруживали что всех на самом деле интересует например, степень сжатия vs затраты на это ресурсов. Ну и чтобы нормально сравнивать алгоритм более-менее на равных всяко приходилось переписывать на сях или хотя-бы плюсах. Та же участь постигала и всяких дотнетчиков, которым с одной стороны так вроде попроще отпрототипить, а с другой - рантайм на ровном месте сажает скорость в 3 раза. И оно потом с таким набором качеств никому не надо даже бесплатно. Потому что если конкурент в 2 раза быстрее и при этом лучше жмет - ну вы поняли :).
Как говорил русский Холмс: "поймите: человеческий мозг — это пустой чердак, куда можно набить всё, что угодно. Дурак так и делает: тащит туда нужное и ненужное. И наконец наступает момент, когда самую необходимую вещь туда уже не запихнёшь. Или она запрятана так далеко, что её не достанешь. Я делаю по-другому. В моём чердаке только необходимые мне инструменты. Их много, но они в идеальном порядке и всегда под рукой. А лишнего хлама мне не нужно."
Ну, если быть точным - русский актер читал этот монолог, являющийся почти дословным переводом монолога Холмса из "Этюда в багровых тонах" сэра Артура.
> Как говорил русский Холмс: "поймите: человеческий мозг — это пустой чердак, куда
> можно набить всё, что угодно.Вот клоуну туда микрософт свалил свою рухлядь. Ну а что, бесплатное место для хранения своего хлама.
> Ладно: _на_этот_раз Haskell, а не PHP. Только что это меняет? Исходный тезис
> был, что не бывает плохих языков, зато бывают плохие танцоры.Исходный "тезис" был глуп донельзя, т.к. речь не о дырке в языке или реализации, а о проэксплуатированной проблеме инфраструктуры. При этом дырок в haskell сходу не припоминаю, а вот в php как языке они просматривались ещё со времени осмотра php3 (примерно как при чтении спецификации на SNMPv2 недоуменно вставали дыбом волосы).
> При этом дырок в haskell сходу не припоминаю,Ну еще бы: найти программу на нем, которая бы где-то применялась - любой хаксор взвоет раньше.
>> При этом дырок в haskell сходу не припоминаю,
> Ну еще бы: найти программу на нем, которая бы где-то применялась -
> любой хаксор взвоет раньше.darcs.
> darcs.Говорю же: хаксор взвоет раньше чем найдет его где-нибудь.
«я не использовал — никто не использовал!»
> «я не использовал — никто не использовал!»Я не использовал и не встречал никого на моем пути кто этим бы пользовался. Ну в смысле ты в своем репертуаре - можешь из принципа вкатить эту хрень и сказать что я - негодяй и лжец, как обычно :). Номинально будет как бы ок, а реально - 99.9(9)% проектов будут использовать гит, ну может svn. Особо утонченные некрофилы раскопают CVS. Ну собственно и все. А чем ты там для себя пользуешься - только тебя и интересует. Это не будет моей проблемой, поскольку я вроде и не собирался с тобой сорцами перекидываться через VCS'ку. А там где собирался - см. выше что и как.
> реально - 99.9(9)% проектов будут использовать гит, ну может svnУ darcs весьма интересный подход к изменениям, между прочим. Стоит посмотреть хотя бы ради общего образования.
а я менялся кодом с такими проектами. (ехидно) а вот твоего кода ни разу в жизни не видел, поэтому его нет.
XMonad же
А кто то пользуется их debами? Я думал все ставят хаскелиные пакеты через Cabal.
Cabal - херовый пакетный манагер. В Gentoo, например, есть отдельный haskell overlay с дофига пакетов и программа hackport для конвертации .cabal в .ebuild.
А чем именно плох Cabal?
https://ivanmiljenovic.wordpress.com/2010/03/15/repeat-after.../
А почему взламывали DEB-репозиторий, а ен RPM-репозиторий? Да, RPM-based уступили популярность, но зато Enterprise Linux пользуются всякие там большие компании, у которых много денег, и которых интереснее взламывать.
> А почему взламывали DEB-репозиторий, а ен RPM-репозиторий? Да, RPM-based уступили популярность,
> но зато Enterprise Linux пользуются всякие там большие компании, у которых
> много денег, и которых интереснее взламывать.Потому что его нет.
Компании, которым важна надежность не подключают левые репозитории - ставят из штатных или собирают и контролируют сами. В данном случае, в отличии от debian stable в штатных репах RH и клонов не самая старая версия (2013.2) и, вероятно, ее и ставят.
Вот только эти репозитории не левые. Наоборот: я могу не доверять сборщикам, но если я не буду доверять этим, то я не буду доверять языку вообще. (Привет, Слава)
Как показывает практика, такой подход неправилен. Репы разработчиков ломануть проще, чем офрепы редхата. Потому что у редхата наверняка есть деньги на квалифицированных админов, а для разработчиков "это не главное".
> Репы разработчиков ломануть проще, чем офрепы редхата.Бывало по-разному, по крайней мере с федорой прецеденты известны.
>в штатных репах RH и клонов не самая старая версия (2013.2)В случае с хаскеллом это как раз таки старая версия. Я на работе собирал свежий GHC под CentOS 6 сам.
А ты уже сделал робота проверяющего пакеты?
Нужно чтобы один и тот же код (компилятор там, линковщик) возвращал один и тот же результат. Потом останется только сравнить побитово.
Хорошая новость. Надо отучать народ создавать и пользоваться левыми бинарными репозиториями.
>Надо отучать народ создавать и пользоваться левыми бинарными репозиториями.windowsupdate.microsoft.com во все поля!
> windowsupdate.microsoft.com во все поля!Рекламируешь услуги линуксного AKAMAI? Тонко, тонко! :)
Ага, загнать всех на одну централизованную бинрепу, а потом всех сразу...
> Ага, загнать всех на одну централизованную бинрепу, а потом всех сразу..."Контрразведчик должен знать всегда, как никто другой, что верить в наше время нельзя никому, порой даже самому себе. Мне можно." (Мюллер).
А ты предлагаешь децентрализованную по типу freenet с подтверждением компиляции от разных источников и деревом доверия?
Не отучать, а напоминать о том, что они делают это на свой страх и риск. А создавать - так это и вовсе нельзя запрещать, а наоборот - поощрять. Только так и готовится новое поколение админов, мейнтейнеров, хакеров...
>Хорошая новость. Надо отучать народ.. пользоваться Хаскелем.
// fixed
>suspicious anomalies were detected in outgoing trafficа был ли мальчик?
я к тому, что вполне разумным объяснением может быть ложное срабатывание в анализаторе сетевого трафика.
пламенный ПРЕВЕД cron-apt`чикам!
Тьфу - шугу то не гони!
Ты бы и без крона, если бы апдейтнулся в эти - намотал бы на болт.
И узнал бы уже потом. Ой не зря в последнее время трэнд по повторяемые сборки, чтобы проверять на стороне. Видимо начало припекать :)))
> пламенный ПРЕВЕД cron-apt`чикам!Ну привет, стайка дятлов, не читающих сорц и тем более не парящихся вопросами верификации :).
Что, как обычно спёрли сертификаты и пароль из putty.exe?
> Что, как обычно спёрли сертификаты и пароль из putty.exe?ну а как же по другому можно натянуть инфраструктуру СуперСекурногоПроекта?
ну и да, openssh-blacklist и openssh-blacklist-extra им враги придумали, бздюки!
Серьзеные пацаны из дебилиана они даже тождественность сборки N% пакетов доказали, какое путти.экзе, там секурецрт как минимум:)
какое отношение имеют дебиановцы к независимому репозиторию?
> какое отношение имеют дебиановцы к независимому репозиторию?_возможно_ хранители независимого репозитория являются поклонниками (и пользователями) дебиана.
БСДшники такие БСДшники :). Как вы быстро забыли про взлом своих серверов и прочие CVE, эксплуатируемые ремотно, по сети.
> БСДшники такие БСДшники :). Как вы быстро забыли про взлом своих серверовнет, не забыли
> и прочие CVE, эксплуатируемые ремотно, по сети.ага, а линуксы не подвержены, главное верить ;-) и дырочки подволяющие поднять привилегии в системе это не дырочки а специальные вспоминалки паролей на рута;)
>инфраструктуру СуперСекурногоПроекта?
> ну и да, openssh-blacklist и openssh-blacklist-extra им враги придумали, бздюки!
> Серьзеные пацаны из дeбилиана они даже тождественность сборки N% пакетов доказали, какое
> путти.экзе, там секурецрт как минимум:)Яростно плюсую за четырёхуровневый вложенный сарказм!
> ну и да, openssh-blacklist и openssh-blacklist-extra им враги придумали, бздюки!Не, бздюки только массово внедрили putty :)
Впервые узнал о наличии такого урла из этой новости. // хаскелист-дебианист.
Вот вам и польза от таких атак.
:)
Честно, так и не понял зачем оно существует. В дебиане своя инфраструктура для сборки deb-пакетов из cabal-пакетов, афаик, независимая от инфраструктуры самого haskell.org.
"Многие [математики - прим.] знают, что Haskell - идеальный язык. Именно поэтому они никогда не будут им пользоваться" (с) один знакомый д.ф.-м.н."Единственный известный мне язык программирования, на которм программёр городит таакие костыли..." (с) аффтар