https://www.opennet.ru/openforum/vsluhforumID3/129654.html GitHub раскрыл сведения о компрометации репозиториев, в которых велась разработка приложений GitHub Desktop и Atom. Среди прочего, атакующим удалось получить доступ к сертификатам, используемым в GitHub Actions при заверении публикуемых релизов GitHub Desktop для macOS и Atom цифровой подписью. Так как ключи были дополнительно зашифрованы с использованием паролей, их использование для вредоносных действия оценивается как маловероятное, тем не менее GitHub принял решение отозвать проблемные сертификаты, что приведёт к неработоспособности некоторых версий GitHub Desktop и Atom, начиная со 2 февраля...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=58576<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#89 Thu, 02 Feb 2023 07:43:27 GMT У тебя-то все прожекты по миллиону пользователей в сутки, а иногда и по два.<br>Жаль, что только в фантазиях.<br><br>cgi вполне эффективен для своих целей (и эх... а ведь двадцать лет назад л@п4-е задирали гузочки что вооот, у нас-то, не как у этих вот там, вызов clone() практически бесплатен [так и есть])<br><br>Простой, надежный, не требующий отдельных сервисов нуждающихся в отдельном обслуживании и мониторинге, легко позволяет изоляцию и минимизацию ущерба стандартными юниксными средствами без адовых костылей. <br><br>Единственный минус - требует веб-сервера (неожиданно). Но это минус как раз не для "миллионов" - у тех сервер на бэкэнде и так есть.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#88 Thu, 02 Feb 2023 07:09:24 GMT &gt;&gt; Учитывая какой пароль обычно используют полагаясь на сохранность сертификата, нууу...<br>&gt; Какой?<br>&gt;&gt; Ну скорее всего так и есть, пароли не надёжные там, и они это знают) <br>&gt; Экспертиза опеннета во весь рост. Действительно, ротация сертификатов нужна только при <br>&gt; плохих паролях, и всем известно, что у каждого опеннетчика пароль из <br>&gt; 100 символов, хранимый в голове.<br><br>Открой для себя keepassxc<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#87 Wed, 01 Feb 2023 15:14:05 GMT Ну вот у меня собственного сайта нет, и делать не планирую. Не знаю, зачем он мне был бы нужен, если подумать. Нужен ли я кому? Да хрен его знает, наверное нет. Но при этом клиентов год от года не убавляется, приходится отказывать, и всё равно готовы ждать месяцами.<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#86 Wed, 01 Feb 2023 15:08:47 GMT В том-то всё и дело, что не был, и именно поэтому выжил. В отличие от палки-копалки. Вот и CGI оказался той самой палкой-копалкой &#8212; простой и ужасно неэффективный. Назови хоть один большой (от миллиона пользователей в сутки) проект в публичном интернете, который использует CGI.<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#85 Wed, 01 Feb 2023 12:59:07 GMT YAMA https://www.opennet.ru/opennews/art.shtml?num=27488 не все дистры защищают память как требует DAC. Поэтому можно скопировать ключи, уже расшифрованые: https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/plain/Documentation/security/Yama.txt?h=v4.12<br><br>Спасает от воровства ключаей:<br>https://www.nitrokey.com/news/2018/nitrokey-partners-linux-foundation-equip-all-linux-kernel-developers-nitrokey-usb-keys<br>https://www.nitrokey.com/news/2019/nitrokey-partners-gentoo-foundation-equip-developers-usb-keys<br>https://www.nitrokey.com/news/2021/nitrokey-equips-arch-linux-developers-usb-keys<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#82 Wed, 01 Feb 2023 06:27:07 GMT Во-первых, ЭТИ разрабы в отличие от шитхаба, который _засек_ использование краденого токена и _мгновенно_ принял меры, потому что там все еще остались работать админы на зарплатах - лет пять не будут замечать что у них на собственном помойкосайте рассадник троянцев и попутно зомбоботы для атак на других. А заметив - не будут знать что делать. (Привет palemoon и php и это еще не худшие варианты.)<br><br>Во-вторых вон тут уже коммент от гени(т)ального разработчика, "а как я узнаю об их существовании". Ну то есть про репо на шитхабе он как-то узнает (видимо, поиском по шитхабу) а гуглем пользоваться не обучаем вообще.<br><br>А других разработчиков, которые ВСЕ были админами с соответствующим уровнем умений и знаний, потому что никто им шитхабы не строил и сопельки не утирал (что попутно, весьма вероятно, спасало нас от совсем уж альтернативно-одаренных) у меня для вас не осталось. Они уже лет десять пиццей вразнос торгуют. Потому что они-то были - умные.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#81 Wed, 01 Feb 2023 06:00:21 GMT Перед тем как зайти на сайт этих разработчиков, я должен узнать о его существовании.<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#80 Wed, 01 Feb 2023 04:12:09 GMT если эти разрабы не имеют даже собственного сайта, а нужны ли они кому?!<br> https://www.opennet.ru/openforum/vsluhforumID3/129654.html#79 Wed, 01 Feb 2023 04:09:43 GMT &gt; нужно запустить новый процесс<br><br>Не нужно. В интерфейсе не может быть указана конкретная имплементация.<br>