https://www.opennet.ru/openforum/vsluhforumID3/108190.html Опубликованы (http://incolumitas.com/2016/06/08/typosquatting-package-managers/) результаты эксперимента по использованию методов тайпсквоттинга (https://ru.wikipedia.org/wiki/%D0%A2%D0%B0%D0%B9%D0%BF%D1%81%D0%BA%D0%B2%D0%BE%D1%82%D1%82%D0%B8%D0%BD%D0%B3) для распространения вредоносного ПО в репозиториях модулей для языков программирования Python, Node.JS и Ruby. Метод основан на том, что популярные репозитории модулей для разработчиков позволяют любому желающему разместить свою библиотеку, не проверяя при этом её содержимое и допуская выполнение произвольного кода в момент установки. В том числе репозитории допускают загрузку библиотек, имена которых почти полностью совпадает с названием других популярных библиотек. Расчёт делается на то, что пользователь допустит опечатку при наборе имени или не заметит различий выбирая модуль из списка. <br><br><br>Для оценки эффективности метода в репозиториях PyPi (Python), Npmjs.com (Node.js) и rubygems.org (Ruby) было размещено 214 подставных пакетов, имена для которых были https://www.opennet.ru/openforum/vsluhforumID3/108190.html#70 Tue, 14 Jun 2016 10:14:46 GMT Два раза "уже" это пунктик<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#68 Sat, 11 Jun 2016 13:59:31 GMT Как я и думал, по делу вам сказать нечего.<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#67 Sat, 11 Jun 2016 12:02:02 GMT - На сервере было зафиксировано 45334 запросов от 17289 уникальных хостов. В 43.6% случаев код был выполнен с правами администратора, позволяющими полностью контролировать операционную систему. Что Вы по этому думаете, господин эксперт?<br>- Проблема высосана из пальца.<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#66 Fri, 10 Jun 2016 21:21:29 GMT &gt; Будте любезны, поясните - VPS это уникальный хост или просто уникальное IP? <br><br>Да.<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#64 Fri, 10 Jun 2016 20:18:18 GMT Проблема высосана из пальца. Единственное, что надо запретить отъем названия пакета из лицензионных соображений, и то, только с согласия владельца пакета.<br>Плюс нужно предусмотреть фиксацию версий пакетов, чтобы сохранять обратную совместимость с существующимми приложениями.<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#63 Fri, 10 Jun 2016 19:29:22 GMT Система рейтингов для пакетов + право заверять пакеты тем, кому мы доверяем (10-20 коре разработчиков). <br><br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#62 Fri, 10 Jun 2016 17:13:23 GMT ну, с таким подходом все можно подвести под "раздолбайство"<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#61 Fri, 10 Jun 2016 15:38:08 GMT &gt; Раздолбайство - проблема не новая.<br><br>И не всегда проблема: http://img-fotki.yandex.ru/get/3104/yurasikgor.3/0_1af70_405badb7_L<br> https://www.opennet.ru/openforum/vsluhforumID3/108190.html#60 Fri, 10 Jun 2016 15:27:26 GMT &gt; 15221 хоста были поражены через пакеты PyPi, 1631 через rubygems и 525 через NPM. <br><br>Новость не читай<br>@<br>Камменты оставляй<br>@<br>Ненавидь веб всею душою своею<br>