| 1.2, Ivan_83 (ok), 10:00, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
Ох уж эти деды, отстали от жизни!
Надо как самый безопасный язык было ставится: curl | sh
Эксперты по безопасности гарантируют!
| | |
| |
| |
| 3.14, Ivan_83 (ok), 11:32, 27/06/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Смешные.
Тут этот ваш https тоже был.
А учитывая что LE кому попало серты выдаёт и историю как MithM делали на джаббер ру то цена этому https около нуля.
| | |
| |
| 4.18, q (ok), 11:42, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 > джаббер ру
А есть второй пример в методичке? Ну, джаббер ру в каком-то лохматом году -- это раз. А есть второй пункт в этом списке, разоблачающий безопасность https? ну так, чтобы все такие: "нихрена себе, в этом списке не один, а как минимум два пункта! вот это охренеть не встать! всё, срочно переходим обратно на telnet и http! потому что https абсолютно не безопасен!"
| | |
| |
| 5.19, Аноним (19), 13:53, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
On 10 July 2011 an attacker with access to DigiNotar's systems issued a wildcard certificate for Google. This certificate was subsequently used by unknown persons in Iran to conduct a man-in-the-middle attack against Google services.[25][26] On 28 August 2011 certificate problems were observed on multiple Internet service providers in Iran.[27] The fraudulent certificate was posted on Pastebin.[28] According to a subsequent news release by VASCO, DigiNotar had detected an intrusion into its certificate authority infrastructure on 19 July 2011.[29] DigiNotar did not publicly reveal the security breach at the time
| | |
| 5.21, Ivan_83 (ok), 14:00, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Джаббер ру был не в лохматом году, а совсем не давно.
Ещё - хз, полагаю таких случаев были десятки просто всех кто мог знать или посадили или это были те кто садил и потому до публики они не дошли.
На примере джаббер ру просто вскрылся механизм как правоохранители работают, и что ничего не мешает точно так же имея возможность MithM (со стороны сервера) выписывать себе эти самые сертификаты.
Будет лулзово когда джепот с инсталляций самого безопасного языка таки рванёт.
Хотя я где то видел ещё подобные методы установки.
| | |
|
|
|
| 2.22, Аноним (22), 14:20, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
 >> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
> Ох уж эти деды, отстали от жизни!
> Надо как самый безопасный язык было ставится: curl | sh
> Эксперты по безопасности гарантируют!
Местным экспертам-по-всему неплохо бы иногда проверять методички. А то оно конечно да, "мы все так говорим, а значит это правда!", но выйти таки может неловко ...
> Each of these binaries is signed with the Rust signing key, which is available on keybase.io, by the Rust build infrastructure, with GPG. In the tables below, the .asc files are the signatures.
https://static.rust-lang.org/rust-key.gpg.ascii
https://static.rust-lang.org/dist/rust-1.96.0-x86_64-unknown-freebsd.tar.xz.as
https://static.rust-lang.org/dist/rust-nightly-x86_64-unknown-linux-gnu.tar.xz
| | |
| |
| 3.23, Ivan_83 (ok), 14:34, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Чувак, а покажи мне каким таким ключём подписан тот самый shell script который скачивается курлом?
И где там в курле проверка подписи этого скрипта?
| | |
| |
| 4.24, Аноним (22), 14:38, 27/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Чувак, а покажи мне каким таким ключём подписан тот самый shell script
> который скачивается курлом?
> И где там в курле проверка подписи этого скрипта?
"Ваши подписи не подписи вовсе, потому что можно их и проигнорить!" (то, что в сабже новости можно сделать ровно то же самое - это другое и не считается!) 🤦🤦
| | |
|
|
|
| 1.3, Аноним (3), 10:23, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На подписи полагаться тоже наивно. Вон даже Асус распространял подписанные вирусы, а ведь монополист.
| | |
| |
| 2.12, Ivan_83 (ok), 11:28, 27/06/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь если они свои кривые софтварные поделки заказывают где то на аутсорсе.
Мне ихний софт с начала 2000х не нравится - держусь от него подальше.
| | |
| |
| 3.17, Аноним (3), 11:41, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Не монополист, всего лишь 70% рынка комплектующих. Включая самые качественные. А софт у них со всем оборудованием идёт, никуда от этого не денешься.
| | |
| |
| 4.20, Ivan_83 (ok), 13:54, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Хзхз.
Я тут недавно разобрал HP и понял что наверное зря до этого с асусом связывался даже в плане железа :)
К счастью нынче даже биос вендор сам особо не пишет, так что кривые руки асуса не сильно портят ситуацию.
А так, материнки у них бывают неплохие.
Но всё что в ОС - лучше сразу удалять вместе с операционкой на всякий случай :))))
| | |
|
|
|
| 1.5, Аноним (5), 10:58, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Кто хоть раз за последние 12 лет скачивал Python? Или лучше спросить кто этого не делал.
| | |
| |
| |
| |
| 4.9, Аноним (3), 11:17, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
А ты не обновляешь? Ну каждое обновление перекомпилировать надо с нужными мне параметрами и патчами (в дистрибутиве даже пго не включали лет 15), часто нужны несколько версий, если на венде задеплоить что-то надо тоже скачиваешь.
| | |
|
|
|
| 1.7, Аноним (8), 11:10, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Уязвимость присутствовала в коде с 2014 года
Это они удачно призасунули!
| | |
|
