Представители проекта PHP сообщили (http://www.php.net/archive/2011.php#id2011-03-19-2) об обнаружении факта взлома сервера wiki.php.net и утечке базы паролей пользователей Wiki и администраторов взломанного сервера (не исключен вариант сниффинга паролей в локальной сети). Другие серверы в инфраструктуре проекта PHP не пострадали. Детали совершения атаки пока не сообщаются, расследование еще не завершено. Известно только то, что злоумышленнику удалось проникнуть в систему через уязвимость в Wiki-движке и затем получить root-доступ к системе, применив локальный эксплоит. В настоящее время взломанный хост отключен от сети и инициирован процесс смены всех паролей в SVN-репозитории.
По предварительным данным перехваченные на сервере wiki.php.net аккаунты разработчиков и администраторов проекта PHP не были использованы для внесения изменений в код интерпретатора PHP. Для того чтобы убедиться в сохранении целостности кода разработчики инициировали проведение детального аудита, в рам...URL: http://www.php.net/archive/2011.php#id2011-03-19-2
Новость: http://www.opennet.me/opennews/art.shtml?num=29969
Какой смысл коммиты проверять, когда любой нормальный хакер напрямую сможет добавить закладку в репозиторий без свечения в логах сервера и без создания отдельных коммитов в SVN. Дифы нужно смотреть.
Вероятно сервер, хранивший SVN, не был взломан и злоумышленник не мог напрямую, в обход клиента svn, получить доступ к файлам.
Или ты думал, что там всё крутится на одном компе?
> По предварительным данным перехваченные на сервере wiki.php.net аккаунты разработчиков и администраторов проекта PHP не были использованы ...Не всегда для каждого отдельного ресурса внутри одного проекта разработчики используют разные пароли, им тупо лень помнить их кучу или пользоваться всякими хранилками паролей, а раз пароли утекли, то, вероятно, можно было внести коммит не в обход клиента, а через обычного клиента svn под одной из учеток ленивого разраба
вероятно они и подразумевают проверку диффов
SVN-сервер... это не GIT с его хэшами и сотнями offline дубликатами......проверить не так просто будет :-D
не просто, а очень просторазворачивается последний бэкап до момента взлома, делается DIFF
> не просто, а очень просто
> разворачивается последний бэкап до момента взлома, делается DIFFЭто-то просто (если бэкап был и момент взлома точно выяснябелен) -- а вот дальше самое интересное, жаль, что Вы замерли на полуслове.
Это никогда не кончится…
Какого чёрта никто не разрешает у себя авторизацию по OpenID??!
Каждый сайт могут сломать — и с каждого утекают логины, емайлы и пароли!
Надоело!
Ага. А потом утекает база OpenID, и наступает всеобщий ***. Нет уж.
> Ага. А потом утекает база OpenID, и наступает всеобщий ***. Нет уж.И, знаете, ничего не наступает.
Потому что OpenId - во первых, может храниться на собственном хосте. А во вторых - и это, на мой взгляд, даже важнее - это одно место, где скомпрометированные пароли просто меняются.
И всё.
Не на каждом из 358 сайтов, а на одном.Вы держите разные пароли для всех сайтов? Вы молодец, я поздравляю вас с этим. Но нормальный человек так не может. Или вы таскаете все эти пароли с собой на флешке, и неможете ими воспользоваться, если флешку нельзя поставить? Или держите их на каком-то сайте (то есть их тоже можно оттуда спереть)? OpenId решает эту проблему.
> Вы держите разные пароли для всех сайтов? Вы молодец, я поздравляю вас
> с этим. Но нормальный человек так не может. Или вы таскаете
> все эти пароли с собой на флешке, и неможете ими воспользоваться,
> если флешку нельзя поставить?1) рекомендую apg;
2) и да, хранить второстепенное в браузере или keepassx сотоварищи;
3) если куда-то нельзя сунуть свой код, то туда тем более не стоит совать свои пароли.
>>> Вы держите разные пароли для всех сайтов? Вы молодец, я поздравляю вас с этим. Но нормальный человек так не может.Хомякам, которые не могут держать разные пароли, нечего делать на серьезных проектах. И утечках _их_ паролей обычно мало кого волнует, честно говоря. Они и от банковских карт пины умудряются сливать сквоттерам пачками, так что ж теперь, всем пользоваться только походом в банк за деньгами?
Хомякам, которые ходят в банк... ну Вы поняли.PS: от последней банковской карточки избавился уже лет пять как.
Бедный, как же вы теперь без денег-то живете? Или только наличка?
Это Украина, парень, и жизнь там сурова. Самые крупные сети карточных воров.... )))
> Бедный, как же вы теперь без денег-то живете? Или только наличка?Ага.
Не уверен, что bitcoin тут применим -- а вот о P2P-софтинке, помогающей сводить бартерные цепочки, тот же коллега упоминал как о том, что здесь не так давно на практике работало.
2 Остров: да не в том дело :)
OpenID хоронят уже. И правильно делают. Вообще, если всякие регистрация-логин-пароль это, простите за резкость, говно, то OpenID это просто распределенный сорт говна.Фундаментальная проблема тут в том, что во всех этих системах пользователь не обладает собственной identity, ему ее просто дают попользоваться. Google дал OpenID, или ICANN дал домен на котором пользователь развернул свой OpenID provider — это не важно. Сегодня дал, завтра взял назад — поменял Google адреса на profiles.google.com и все, миллионы пользователей вкусно причмокнули, несмотря на то, что был коректный HTTP 301 по старым адресам. Пропустил срок регистрации домена — поздоровайся со сквоттерами, твой pupkin.ru теперь лучший ресурс по теме pupkin скачать pupkin без sms бесплатно. Ну и еще кучи проблем.
iNumbers — костыль, а не решение, если что.
А разгадка одна — пользователь должен владеть собственной identity, и его браузер быть ее провайдером.
И шо бы это все значило? Без третей стороны вы эту identity не подвердите.
Да ну, правда что ли?А как же я по SSH хожу, без всяких третьих сторон?
растроение личности же. Ж)
Покажите нормального openid провайдера. Не гугл и не вконтактики-фейсбуки-жежешечки.
Я один прочел статью так: "Вики проекта пхп, написанная на пхп, была взломана через очередную не закрытую уязвимость в PHP так как разработчики использовали устаревшую версию PHP, после этого была произведена атака на ядро системы через публичные эксплоиты эскалации привилегий, так как ядро также было очень старое и не обновлялось." ? :)
>Я один прочел статью такУдивительно, но пока один. По всей видимости остальные месье трололо чрезмерно заняты обсиранием(простите за мой французский) Убунту в новости про Дебиан 6.0.1, чтобы отвлекаться на язык для программирования домашних страничек.
неа. :)
а почему опять молчание о том что использовали локальную уязвимость и где были хваленые PaX, grsecurity, patchsets и прочие вкусняшки? И вообще при ТАКОМ уровне безопасности в линуксе почему публичные opensource проекты не защищены должным образом? где же вы, специалисты по безопасности?
Не путайте божий дар с PHP.
При наличии PHP никакие механизмы безопасности (в которых вы даже на уровни названий не разбираетесь - и не пытайтесь даже троллить) не работают. :(
погодите, тут в одной ветке некий paxuser доказывал, что главное это grsecurity и патчсеты, и после этого можно спать спокойно - враг не пройдет. Так выходит что, даже использование всего hardened набора не дает никаких гарантий от взлома?... как же так?
> погодите, тут в одной ветке некий paxuser доказывал, что главное это grsecurity
> и патчсеты, и после этого можно спать спокойно - враг не
> пройдет. Так выходит что, даже использование всего hardened набора не дает
> никаких гарантий от взлома?... как же так?Да, наличие крутой сигнализации, фирменного замка и бронированной двери не поможет, если у дома не хватает стены.
> Да, наличие крутой сигнализации, фирменного замка и бронированной двери не поможет, если
> у дома не хватает стены.подождите, это у линукса то стены не хватает? Или это намек на вечнодырявый php?
>> Да, наличие крутой сигнализации, фирменного замка и бронированной двери не поможет, если
>> у дома не хватает стены.
> подождите, это у линукса то стены не хватает? Или это намек на
> вечнодырявый php?Это какбэ намек на разные уровни доступа.