Rubygems.org (http://Rubygems.org), популярный репозиторий модулей для приложений на языке Ruby, был скомпрометирован (http://news.ycombinator.com/item?id=5139583) неизвестными злоумышленниками, которые получили доступ к серверу путем эксплуатации уязвимости в YAML-парсере фреймворка Ruby on Rails, в котором в январе было исправлено несколько критических (http://www.opennet.me/opennews/art.shtml?num=35954) проблем (http://www.opennet.me/opennews/art.shtml?num=35792) безопасности.
Выявлено (https://docs.google.com/document/d/10tuM51VKRcSHJtUZotraMlrM...), что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных Rubygems. В ходе атаки в калалог был загружен подставной gem-модуль (https://gist.github.com/d891e876c53e55bf0920), содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организовано копирование текущей конфигурации сервера (была попытка выявления ключей доступа к сервису Amazon S3) и её размещение на сайте обмена кодом Pastie.
После выявления следов взлома репозиторий был переведёт в "режим обслуживания", gem-модуль и аккаунт атакующих удалён, а ключи доступа к сервису Amazon S3 заменены. В настоящее время часть функциональности Rubygems.org восстановлена (https://twitter.com/rubygems_status) в режиме только для чтения, ряд подсистем остаётся заблокированным (http://status.rubygems.org/): ограничена работа сайта и отключены Push API и V1 API. Администраторами проекта проводится проверка целостности размещённых в каталоге модулей для выявления возможного добавления вредоносных закладок. Проверка осуществляется по ранее сохранённым контрольным суммам, а также путём сверки содержимого зеркал. Сообщается, что 90% всех модулей уже проверены, следов их модификации не выявлено.URL: http://www.h-online.com/open/news/item/Rubygems-site-recover...
Новость: http://www.opennet.me/opennews/art.shtml?num=35981
C Amazon S3 прикольно, никакого рута получать не нужно. Утащил ключ под которым выполняется работа с хранилищем и меняй себе тихо что хочешь.
Это не программисты, это идиоты!!!
Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке???
вы переплюнули сами себя )))а на каком еще языке разрабатывать web-приложение web-программистам? явно на том, который они и развивают.
Веб-приложения должны писать веб-разработчики, а не разработчики трансляторов (компиляторов).
А Руби это ваще, большой и жирный парсер.
> А Руби это ваще, большой и жирный парсер.Это ругательство или похвала? Чего сказать-то хотели?
упс.
Анонимные боты лютуют, за "упс" дизлайкают :)
> Анонимные боты лютуют, за "упс" дизлайкают :)А я то думал что ты протрезвел и осознал что каркнул нечно странное...
А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге? Положение, знаете ли, всё-таки обязывает самому использовать то, что разрабатываешь.
Только С! Только хардкор! Без шуток.
> А на чём? На пехапе? На питоне? Может, на хаскеле или эрланге?Это для гламурных бландинок! Только PLAIN ASCII TEXT!
Настоящие программисты вообще не пользуются трансляторами. Они пишут непосредственно на языке машинных инструкций, вычисляя адреса переходов и вызовов подпрограмм на абаке, высеченном собственноручно на граните от могильной плиты Ады Аугусты Лавлейс.
> Кто же программирует, работает и создаёт инфраструктуру на разрабатываемом языке???Все правильно сделали: в старину был нормальный подход к проверке качества: кузнец надевал сделанные им доспехи и по ним со всей дури шибали мечом. Схалтурил - ну извини, сам виноват. Ну вот увы, эти кузнецы - лоханулись.
Хех, ну ты блин сравнил. PHP - это просто средство для зарабатывания денег. Например, в небольших городах зачастую есть вакансии только для PHP и 1C, не хочешь лезть в финансовую сферу - придется идти в PHP, кушать-то хочется. Да, язык с кучей проблем, сам его не люблю, но с другой стороны в Сети работают миллионы сайтов на PHP, т.е. это реально работающая технология.
А вот Ruby - это чистые понты. В одном кармане айпхон, в другом - айпэд, в рюкзаке - макбук, на айпхоне открыто расписание митингов (слово-то какое выбрали!) стартаперов. Ну сам подумай: с одной стороны, на редкость тормознутый интерпретатор, с другой - по словам рубистов производительность чаще всего упирается в БД. То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.
> То есть получается, что задачи, решаемые с помощью руби на редкость примитивныЗнаете, а ведь кроме PHP с 1С есть ещё огород и лопата. При этом работа на свежем воздухе улучшает кровоснабжение мозга, в отличие от них. Ну и глупости такие в голову не лезут.
А в перерывах между рядами может хорошо пойти SICP и что-нибудь толковое по алгоритмам и (особенно) структурам данных.
Понимаю, что за бортом февраль, но до апреля точно не прокиснет.
а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому впринципе наплевать на чём разрабатывется его сайтик и ничегошеньки не мешает сделать на чём угодно.
> а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому
> впринципе наплевать на чём разрабатывется его сайтикЭто неопытный или незаинтересованный. Первый набьёт свои шишки по части сопровождения и доработки со временем -- может, поумнеет. С последним время тратить избегаю и другим не посоветую.
> и ничегошеньки не мешает сделать на чём угодно.
А тут тоже выбор -- какой опыт думаешь приобрести, в какую точку с ним прийти... Если тяп-ляп, это одно; если вдумчиво и отвечая за результат -- совсем другое. Языки и фреймворки тут косвенно тоже при чём -- через культуру, которая уже сложилась в сообществах их разработчиков и пользователей -- хотя это не догма, конечно.
Не совсем в эту тему, но перекликается и вдруг кому-то поможет избежать такого "развития": http://egorfine.com/ru/articles/worse-than-failure/
Ruby не кончается на рельсах и вебе, в отличии от пыха. Я бы даже сказал, что рельсы это весьма малая часть рубина, примерно как джанго для питона или каталист для перла, просто наиболее известная пыхарям вроде вас.
>То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.если вы занимаетесь числодроблением на perl/python/ruby/php - вам явно надо к врачу.
да, у python есть numpy, но это свой отдельный мир с python-биндингами.ну и измерять примитивно/не примитивно по уровню нагрузки на cpu - это вообще 5 баллов.
www.php.ru/news.plя уже даже не помню, шутка ли того времени это или реальность пятнадцатилетней давности.
Рубицентрированность на рельсах вышла боком. Как, впрочем, большевики и предсказывали ещё в 2008.
Жаль только, что trac не так нагляден, как redmine, и приходится redmine держать в 8 контейнерах...