Зафиксировано (http://www.h-online.com/open/news/item/Notepad-web-site-comp...) проникновение злоумышленников на сайт проекта Notepad++ (http://notepad-plus-plus.org/), в рамках которого развивается популярный свободный (GPL) редактор кода для платформы Windows. После взлома злоумышленники модифицировали заглавную страницу сайта и организовали перенаправление пользователей на форму авторизации Facebook, судя по всему, использующую официальный Facebook API для сбора параметров аккаунтов пользователей данной социальной сети от лица сайта Notepad++.
Официальных комментариев об инциденте от администрации проекта Notepad++ пока не поступило, но работа сайта уже восстановлена. Также непонятно, насколько глубоко затронута инфраструктура проекта, в частности, не затронула ли атака SVN-репозиторий (http://svn.tuxfamily.org/viewvc.cgi/notepadplus_repository/) с исходными текстами и архив пакетов для загрузки.<center><a href="http://www.h-online.com/imgs/43/8/4/0/1/4/5/notepad-plus-plu... src="http://www.opennet.me/opennews/pics_base/0_1337015327.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>
URL: http://www.h-online.com/open/news/item/Notepad-web-site-comp...
Новость: http://www.opennet.me/opennews/art.shtml?num=33844
> Не затронула ли атака SVN-репозиторий с исходными текстамиА вот использовали бы git, этой проблемы бы не было.
GIT моложе SVN, а обычно самые опасные уязвимости находят в молодых проектах.
Расскажи это Линусу либо kernel.org...
>Расскажи это Линусу либо kernel.org...Это который поломали осенью?
Не через гит, однако.
Ну дык и этот не через svn
svn централизованное хранилище git распределенное
Если у кого-то еще есть копия. У автора например восстановить вообще не проблема
> svn централизованное хранилище git распределенное
> Если у кого-то еще есть копия. У автора например восстановить вообще не проблемаНедавно на Опеннете уже была дискуссия, что svn и git - это всего лишь фронт-энды к более общим технологиям VCS и DVCS. Потому что за этим стоят математически обоснованные алгоритмы и структуры. Программные интерфейсы здесь вторичны, а уж тем более пользовательские интерфейсы.
Ничто не мешает сделать к svn распределенный бак-энд. А фронт-энд git можно тоже прикрутить к чему угодно.
Что собственно и делается уже давно в таких веб-сервисах, как github.
ок, тогда скажем по другому, с DVCS автору бы не составило проблем восстановится
> ок, тогда скажем по другому, с DVCS автору бы не составило проблем восстановитсяЯ ничего не имел против DVCS, но разве в этом их отличие от остальных VCS?
Если вы выбираете DVCS только ради бакапов, то вы просто не знаете, зачем DVCS на самом деле нужны.А восстанавливать прекрасно можно и централизованные системы. И они в этом ничуть не уступают. И в небольших проектах имеют явное преимущество.
Keep it simple, stupid! (c)
Распределенную систему гораздо труднее защищать.
Ведь атаковать можно любой узел.Если злоумышленник с какими то целями инжектировал свои правки, или подделал чужие правки, и это обнаружилось только спустя некоторое время, когда эти правки уже разошлись по распределенным репозиториям. Особенно если атака продолжалась в течение какого-то времени.
Потом придется делать аудит всего кода, и если какие то ветки остались у кого-то на узлах, они потом опять могут вернуться после мержей.
> Ничто не мешает сделать к svn распределенный бак-энд.Теоретически, ничто не мешает вам стать долларовым миллиардером. Практически же с этим будут определенные трудности :)
>> Ничто не мешает сделать к svn распределенный бак-энд.
> Теоретически, ничто не мешает вам стать долларовым миллиардером. Практически же с этим будут определенные трудности :)Трудности вообще-то могут возникнуть в любой момент, совершенно неожиданно, при любой попытке что-либо сделать.
Если вы не знаете, как это делается практически, это еще не означает, что никто этого не умеет, и не означает, что это исключительно теоретическая возможность.
> Ничто не мешает сделать к svn распределенный бак-энд.До такой степени не мешает, что вместо SVK хором советуют юзать git-svn...
> Это который поломали осенью?Ага, и даже на взломанном сервере исходному коду ничего не угрожало.
> Это который поломали осенью?... и которые использовали распределенную природу гит и факт использования криптографии чтобы проверить что ничего не вброшено + временно перенести реп в другое место.
Человек имел в виду, не то, что через SVN ломанули, а через GIT не смогли бы, а то, что в гит на каждое изменение иходников наложен ключ закомитевшего, и впринципе можно поверить, а не добавилили чего...
более того: взять весь репозиторий у любого довереного девелопера и тупо восстановить. а вот взять весь репозиторий у пользователя svn несколько проблематично.
> более того: взять весь репозиторий у любого довереного девелопера и тупо восстановить.
> а вот взять весь репозиторий у пользователя svn несколько проблематично.в чем сложность? особенно с _весь репозиторий_, в контексте "а в git это вот так делается, круче же!" ;-)
При чём тут уязвимости? git проверяет контрольные суммы, и любое изменение в репозитории будет мгновенно обнаружено.
> При чём тут уязвимости? git проверяет контрольные суммы,Он не только проверяет их, но и пользует их как идентификаторы коммитов. Для вброса нелегитимного коммита куда-то в середину (где никто не заметит это действо) - надо пересчитывать все дерево. А вот это вызовет массовый развал по сравнению с другими распределенными копиями и будет мгновенно запалено толпенью разработчиков при попытке синхронизации. Так что даже без цифровых подписей палива будет выше крыши :)
это зависит не от возраста проекта, а от подхода разработчиков к проекту.
Linux моложе Windows. Да уж, смешно от таких аргументов.
> GIT моложе SVN,...что не мешает ему быть крайне проблематичным для вбросов задним числом из-за задействования криптографии и распределенности. Попытка заныкать в середину коммит с левым кодом приведет к массовому разъезду распределенных копий и воплям толпы народа. А в свн все тихо схавают добавку как легитимное изменение...
Я знал! После упоминания SVN в исходной новости просто обязан был появиться линуксовый фанбой и радостно насрать в каменты про git! :-)
> линуксовый фанбой и радостно насрать в каменты про git! :-)Ну так если вы начнете орать что ваш запор лучше мерсов и фордов - ясень пень вам в коменты насрут. И не то чтобы будут совсем уж неправы утверждая обратное :)
зависит от подборки критериев, как-бы
На версии для Мака и Линя намекают?
> На версии для Мака и Линя намекают?SciTe?
Ну зачем они так... :'(
А что такого то??? Плохо если они что ни будь запилили в исходники(хотя кого я обманываю срать мне на Notepad++), а если сайт ломанули, потому что админы идиоты, то это невинная шалость.
> Плохо если они что ни будь запилили в исходникиА ты поди теперь определи с SVNом - подбросили туда бяку или нет, удачи :)
Хороший редактор, когда раньше сидел на Windows, часто им использовался.
Не понимаю, каким уродам могло понадобится ломать и дефейсить сайт этого проекта. Печально :-(
редактор действительно отличный.
до сих пор пользуюсь.
однако есть одно нарекание: почему-то убрали вертикальную полоску показывающую какие блоки кода менялись. с ней было удобнее намного. хорошо в основной иде она есть.
> однако есть одно нарекание: почему-то убрали вертикальную полоску показывающую какие блоки кода менялись.Вот он, мотив!
> почему-то убрали вертикальную полоску показывающую какие блоки кода менялисьNppPlugin_ChangeMarker.dll
нестабильно работает, вешает n++ последних версий
а какому дятлу, например, понадобилось дефейсить princed.org?
> а какому дятлу, например, понадобилось дефейсить princed.org?Как будто мало дятлов. Ну и вообще, дятлы - санитары леса :)
>> а какому дятлу, например, понадобилось дефейсить princed.org?
> Как будто мало дятлов. Ну и вообще, дятлы - санитары леса :)ну таки пусть вон в лесу и "санитарят"
да уж, я вот тоже редко использую Кривую.
но когда я это делаю, я первым делом ставлю N++
И давно уже. По крайней мере в середине прошлой недели уже болтался дефейс. Судя по характеру изменений на сайте (изменен левый фрейм (или таблица) с меню) и изменение загрузочных ссылок на лицокнигу (при этом осталась доступной основная страница загрузки, которую подсказывает гугл-поиск) кидисы получили ограниченный доступ к cms сайта, ну и о том что такое git или svn они скорее всего даже не подозревают.
> такое git или svn они скорее всего даже не подозревают.Или же некто специально прикинулся шлангом чтобы подольше версию с бэкдором отгружать.
Skype, теперь Notepad++, день новостей из далекого прошлого какой-то. )
По теме взлома, чтоб сайт на шаред хотинге дефесить часто достаточно ковырнуть любой соседский сайт с дырявой цмс-кой. Но судя по тому, что SVN на том же хостинге, могли влезть и в него.
Это - пиар акция чтобы привлечь внимание.
привлечь внимание к Wine? или к Windows?
> Это - пиар акция чтобы привлечь внимание.вы это написали чтобы вас прочли, охренеть!
> не затронула ли атака SVN-репозиторийДа, это вам не гит - там хрен теперь поймешь...
тупые git-фанбои даже не в состоянии вообразить, что нормальные админы делают бекапы репозиториев независимо от используемой vcs/dvcs
> тупые git-фанбои даже не в состоянии вообразить,Тупые ???-фанбои не в состоянии вообразить что очень круто когда dvcs палит нелегитимные потуги сама + хранит полноценную копию канающую как бэкап у каждого разработчика вообще.
Одно дело какая-то там копия какого-то там сервака у какого-то там пальцатого кулсисопа, которая по закону подлости еще и не прочтется или окажется месячной давности и другое - когда у каждого разработчика есть свой полноценный "бэкап" со всей историей. Несомненно, бричка тоже средство передвижения, но автомобили оказались технологичнее и удобнее.
> Тупые ???-фанбои не в состоянии вообразить что очень круто когда dvcs палит нелегитимные потуги сама + хранит полноценную копию канающую как бэкап у каждого разработчика вообще.Точно тупые. ибо не знают что есть такая штука как force update которая радостно перетрет что запросили и при этом никаких воплей не будет.
> ибо не знают что есть такая штука как force update которая радостно перетрет
> что запросили и при этом никаких воплей не будет.Вы хоть раз сделайте и глазами выхлоп посмотрите, "не будет".
Наверное, его ломанули после того, как была расширена лицензия, защищающая от создания инсталляторов с вредоносными модулями.
Запилили бы под *nix этот редактор. Ничего лучше из легковесных редакторов так и не видел.
ну дык исходники же открыты, нет? взял — и пилишь, пилишь…
> ну дык исходники же открыты, нет? взял — и пилишь, пилишь…Открыл вчера для себя Bluefish. Всего минут 15 копания в конфигах - и получаю почти такую же прогу, как Notepad++ по функционалу, удобству и скорости работы.
Вот правда не умеет менять кодировку файла и формат конца строки. :(
Ну и Zoom по ctrl + колесо мыши почему-то бесконечно уменьшает и не увеличивает. Но это я переживу.
> Запилили бы под *nix этот редактор. Ничего лучше из легковесных редакторов так
> и не видел.Дык, эта.... gvim-же!