OpenForum RSS: Rubygems.org подвергся взлому https://opennet.me/openforum/vsluhforumID3/88452.html Rubygems.org (http://Rubygems.org), популярный репозиторий модулей для приложений на языке Ruby, был скомпрометирован (http://news.ycombinator.com/item?id=5139583) неизвестными злоумышленниками, которые получили доступ к серверу путем эксплуатации уязвимости в YAML-парсере фреймворка Ruby on Rails, в котором в январе было исправлено несколько критических (http://www.opennet.ru/opennews/art.shtml?num=35954) проблем (http://www.opennet.ru/opennews/art.shtml?num=35792) безопасности. <br><br><br><br><br>Выявлено (https://docs.google.com/document/d/10tuM51VKRcSHJtUZotraMlrMHWK1uXs8qQ6Hmguyf1g/preview?sle=true), что в процессе атаки была задействована проблема безопасности в парсере Psych YAML, но уязвимость была эксплуатирована не через HTTP, а через интерфейс обработки метаданных Rubygems. В ходе атаки в калалог был загружен подставной gem-модуль (https://gist.github.com/d891e876c53e55bf0920), содержащий файл метаданных с блоком эксплуатации уязвимости в YAML-движке. При обработке метаданных данного модуля было организова Rubygems.org подвергся взлому (Michael Shigorin) https://opennet.me/openforum/vsluhforumID3/88452.html#44 Sat, 02 Feb 2013 12:33:34 GMT &gt; а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому <br>&gt; впринципе наплевать на чём разрабатывется его сайтик<br><br>Это неопытный или незаинтересованный. Первый набьёт свои шишки по части сопровождения и доработки со временем -- может, поумнеет. С последним время тратить избегаю и другим не посоветую.<br><br>&gt; и ничегошеньки не мешает сделать на чём угодно.<br><br>А тут тоже выбор -- какой опыт думаешь приобрести, в какую точку с ним прийти... Если тяп-ляп, это одно; если вдумчиво и отвечая за результат -- совсем другое. Языки и фреймворки тут косвенно тоже при чём -- через культуру, которая уже сложилась в сообществах их разработчиков и пользователей -- хотя это не догма, конечно.<br><br>Не совсем в эту тему, но перекликается и вдруг кому-то поможет избежать такого "развития": http://egorfine.com/ru/articles/worse-than-failure/<br> Rubygems.org подвергся взлому (бедный буратино) https://opennet.me/openforum/vsluhforumID3/88452.html#41 Fri, 01 Feb 2013 11:34:17 GMT &gt; А Руби это ваще, большой и жирный парсер.<br><br>Это ругательство или похвала? Чего сказать-то хотели?<br> Rubygems.org подвергся взлому (бедный буратино) https://opennet.me/openforum/vsluhforumID3/88452.html#40 Fri, 01 Feb 2013 11:33:08 GMT www.php.ru/news.pl<br><br>я уже даже не помню, шутка ли того времени это или реальность пятнадцатилетней давности.<br> Rubygems.org подвергся взлому (Сержант Скотч) https://opennet.me/openforum/vsluhforumID3/88452.html#38 Fri, 01 Feb 2013 06:03:44 GMT &gt;То есть получается, что задачи, решаемые с помощью руби на редкость примитивны и требуют минимум вычислительных ресурсов, иначе бы рубисты уперлись бы в производительность интерпретатора.<br><br>если вы занимаетесь числодроблением на perl/python/ruby/php - вам явно надо к врачу.<br>да, у python есть numpy, но это свой отдельный мир с python-биндингами.<br><br>ну и измерять примитивно/не примитивно по уровню нагрузки на cpu - это вообще 5 баллов.<br> Rubygems.org подвергся взлому (angra) https://opennet.me/openforum/vsluhforumID3/88452.html#37 Fri, 01 Feb 2013 04:58:13 GMT Ruby не кончается на рельсах и вебе, в отличии от пыха. Я бы даже сказал, что рельсы это весьма малая часть рубина, примерно как джанго для питона или каталист для перла, просто наиболее известная пыхарям вроде вас. <br> Rubygems.org подвергся взлому (бедный буратино) https://opennet.me/openforum/vsluhforumID3/88452.html#31 Fri, 01 Feb 2013 00:22:38 GMT Жаль только, что trac не так нагляден, как redmine, и приходится redmine держать в 8 контейнерах...<br> Rubygems.org подвергся взлому (бедный буратино) https://opennet.me/openforum/vsluhforumID3/88452.html#30 Fri, 01 Feb 2013 00:19:41 GMT Рубицентрированность на рельсах вышла боком. Как, впрочем, большевики и предсказывали ещё в 2008.<br> Rubygems.org подвергся взлому (junk) https://opennet.me/openforum/vsluhforumID3/88452.html#28 Thu, 31 Jan 2013 22:01:15 GMT а кроме огорода и лопаты (тут я скорее согласен) есть заказчик, которому впринципе наплевать на чём разрабатывется его сайтик и ничегошеньки не мешает сделать на чём угодно.<br> Rubygems.org подвергся взлому (Michael Shigorin) https://opennet.me/openforum/vsluhforumID3/88452.html#25 Thu, 31 Jan 2013 21:21:26 GMT &gt; То есть получается, что задачи, решаемые с помощью руби на редкость примитивны<br><br>Знаете, а ведь кроме PHP с 1С есть ещё огород и лопата. При этом работа на свежем воздухе улучшает кровоснабжение мозга, в отличие от них. Ну и глупости такие в голову не лезут.<br><br>А в перерывах между рядами может хорошо пойти SICP и что-нибудь толковое по алгоритмам и (особенно) структурам данных.<br><br>Понимаю, что за бортом февраль, но до апреля точно не прокиснет.<br>