forum.opennet.ru

"Инцидент с безопасностью GitHub подчеркнул проблемы Ruby on ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."	+/–
Сообщение от SLK (?), 06-Мрт-12, 12:55
Да ладно, тролю напоминать про голову бесполезно. Для тех кто не понял: Это не баг RoR, это баг самого GitHub. В RoR есть стандартные средства для управления доступом к mass assignment. То, что эти средства по умолчанию отключены - Ложь Разработчикам GitHub и тем кто работает с RoR просто нужно за этим следить и расставлять где надо attr_protected. Кроме того, в любом проекте на RoR можно запретить изменение полей ActiveRecord через mass assignment как для любого класса в отдельности так и глобально. Читаем еще раз .... "За два дня до инцидента Егор оставил уведомление о найденной им уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было закрыто с комментарием, что ошибка находится в зоне ответственности конечных разработчиков приложений на Ruby on Rails." Егору +1000. Такой проект как GitHub обязан следить за безопасностью, тем более, что все эти фичи в RoR очень хорошо документированы.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Инцидент с безопасностью GitHub подчеркнул проблемы Ruby on ..., opennews, 05-Мрт-12, 18:54 [смотреть все]

Затейник Их же граблями да по голове , Loooooker, 05-Мрт-12, 19:13 (5) //
- Security circus, как говаривал один американский швед финского происхождения , Andrey Mitrofanov, 05-Мрт-12, 19:21 (6)
операться надо на многократно проверенное, а не на удобное , Аноним, 05-Мрт-12, 20:05 (8) //
- на Perl, Аноним, 05-Мрт-12, 20:19 (12) //
  - Причем тут это Разрабы поленились написать код Разница, какой язык Никакой , kuraga, 05-Мрт-12, 20:52 (16) //
    - Ну разве что если лень разработчиков рельсы, тогда да , Аноним, 06-Мрт-12, 07:20 (45)
      - Ну А кто сказал, что она должна быть ВКЛЮЧЕНА Программист проекта САМ должен з, kuraga, 06-Мрт-12, 18:31 (80)
        
        да вы че это одна строчка в модели, которая к тому-жу по умолчанию попадает, е, Аноним, 07-Мрт-12, 09:21 (111)
        
        ВКЛЮЧАЕМА - значит ее можно включить, ЕСЛИ она выключена что по умолчанию это т, kuraga, 07-Мрт-12, 21:20 (113)
дьявол кроется в удобстве , Аноним, 05-Мрт-12, 20:06 (9) //
- коммита в чужие проекты , Аноним, 05-Мрт-12, 22:05 (29)
да надо было сразу в ядро комитить вот шухер то был , evgeny_t, 05-Мрт-12, 21:18 (23) //
- Да не, перец все правильно сделал, вкомитив фикс прямо виновникам бага Эпик лул, Аноним, 05-Мрт-12, 22:04 (28) //
  - товарищь, не ленись - пользуйся головой бага нет простой косяк разработчиков г, Псто, 05-Мрт-12, 23:59 (32) //
    - Добро пожаловать в матрицу Бага нет, а левые коммиты - есть Trollaface jpgКак , Аноним, 06-Мрт-12, 07:08 (41)
      - Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, , zy, 06-Мрт-12, 12:42 (58)
        
        Слушайте, прыг по граблям - многофазный процесс Один кладет грабли, второй не с, Аноним, 06-Мрт-12, 16:20 (73)
        
        Бред Отключенный белый список - ровно такая же грабля, как и наоборот Целью фр, kuraga, 06-Мрт-12, 18:35 (81)
        
        Зато более безопасная грабля Лучше пусть уж у грабель ручка будет обернута поро, Аноним, 09-Мрт-12, 23:21 (117)
    - Да ладно, тролю напоминать про голову бесполезно Для тех кто не понял Это не ба , SLK, 06-Мрт-12, 12:55 (59)
      - Следить, конечно, обязаны, тут они, конечно, ошиблись Но есть более приличные с, gegMOPO4, 06-Мрт-12, 15:01 (71)
        
        а кто вламывался-то O_Oсказали же это фича фичу можно использовать если замо, arisu, 06-Мрт-12, 19:41 (87)
        
        Если владелец цифрового замка оставляет код 12345 хотя в инструкции к замку нас, gegMOPO4, 06-Мрт-12, 20:54 (92)
        
        если не написано, что незаконно 8212 то законно разве в ToS гитхаба написано, arisu, 06-Мрт-12, 21:13 (95)
        
        А у вас на дверях написано, что нельзя входить и делать что хочется , gegMOPO4, 06-Мрт-12, 21:18 (97)
        
        это в законе написано в таком документе, который называется 171 Конституция , arisu, 06-Мрт-12, 21:26 (100)
        Иногда - очень доходчиво написано Например как-то так http leprastuff ru d, Аноним, 10-Мрт-12, 00:03 (126)
      - Для начала, дефолты должны быть безопасными А не так что мы разбросаем на поле , Аноним, 06-Мрт-12, 16:21 (74)
        
        Согласен Думаю, что всем разраобчикам ORM библиотек не только ActiveRecord и н, SLK, 06-Мрт-12, 18:25 (79)
        Спорно Ибо абсолютной безопасности пока нет Поэтому и безопасные по дефолту , kuraga, 06-Мрт-12, 18:39 (82)
        
        однако мне кажется, что более верный подход 8212 делать потенциально опасные , arisu, 06-Мрт-12, 19:42 (88)
        
        Согласен Но я считаю неправильным, если программист АПРИОРИ ПОЛАГАЕТ, что это т, kuraga, 06-Мрт-12, 22:19 (102)
        
        натурально, не панацея но разумные умолчания ещё никому не мешали, думается , arisu, 06-Мрт-12, 22:45 (107)
        
        Более того - сишные компилеры нынче насколько я помню умеют детектить подозрител, Аноним, 09-Мрт-12, 23:14 (116)
Егор, успехов , ЫыВ, 05-Мрт-12, 21:30 (24)
А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отка, Аноним, 05-Мрт-12, 21:49 (26) //
- это не баг, анон, 06-Мрт-12, 00:41 (35) //
  - Угу Это не баг, это фича На дефолтное register_globals в PHP ругаться - так , Crazy Alex, 06-Мрт-12, 01:07 (37)
  - С точки зрения хакеров и спецслужб - безусловно, фича офигительного калибра , Аноним, 06-Мрт-12, 07:09 (42) //
    - Может они от того и не хотели закрывать, что им настоятельно рекомендовали , Alen, 06-Мрт-12, 09:40 (49)
  - Конечно не Баг, это просто очередная такая фитча которая появляется время от вре, фклфт, 06-Мрт-12, 09:03 (48) //
    - 1 RoR ну совсем никак не относится к кернелам 2 Вы о каком кернеле О том в ко, Аноним, 06-Мрт-12, 16:23 (75)
- Жидкий мозг у тех, кто не следит за своим кодом и документацией Сегодня это - г, kuraga, 06-Мрт-12, 18:43 (83) //
  - Честно говоря, у почти всех вебдевелов мозг довольно жидковат Как минимум по ча, Аноним, 09-Мрт-12, 23:25 (118)
Радостно видеть, что ещё не все мозги из России уехали за рубеж Респект мужик, Ya, 05-Мрт-12, 22:00 (27) //
- Ну ничего, вот получит рабочую визу от того же github 3, Аноним, 05-Мрт-12, 23:20 (30) //
  - На колыму , Аноним, 05-Мрт-12, 23:31 (31) //
    - ЩО уже и там github , hummermania, 06-Мрт-12, 09:47 (50)
Кстати, не из Питера он, не видел я его тут , Аноним, 06-Мрт-12, 00:05 (33)
Ну молодец В пятницу сообщил GitHub об уязвимости, а в воскресенье уже атаковал, gegMOPO4, 06-Мрт-12, 00:23 (34) //
- Такое надо фиксить моментально, вообще-то , Crazy Alex, 06-Мрт-12, 01:05 (36) //
  - Ну вот моментально и пофиксили Как только узнали С кем он там переписывался в , gegMOPO4, 06-Мрт-12, 11:19 (51) //
    - Вообще-то багрепорт закрыли с сообщением, что это их не касается, Alex, 06-Мрт-12, 13:24 (63)
      - http mobile opennet ru cgi-bin openforum vsluhboard cgi az post om 83432 forum, Ваня, 06-Мрт-12, 13:30 (64)
        
        Я вообще не понимаю, как хакер нашел уязвимость и ступанул с тем, кому писать , kuraga, 06-Мрт-12, 22:22 (103)
        
        Хотя вот тут пишут, что это он так пошутил над RoR , kuraga, 06-Мрт-12, 22:25 (104)
      - Кто закрыл и кого не касается И причём здесь ГитХаб , gegMOPO4, 06-Мрт-12, 14:57 (70)
        
        Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи hin, Crazy Alex, 06-Мрт-12, 21:26 (101)
- Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг Ну е, Аноним, 06-Мрт-12, 07:13 (43) //
  - в общем да, всё логично раз это не баг, то какая проблема в том, что человек ис, arisu, 06-Мрт-12, 07:18 (44) //
    - Вот именно, Капитан В этом и состоит комизм ситуации , Аноним, 06-Мрт-12, 07:31 (46)
      - ну, я на всякий случай расшифровал Кэп я или нет надо ж реноме поддерживать , arisu, 06-Мрт-12, 07:35 (47)
        
        Спасибо, Капитан , Аноним, 06-Мрт-12, 16:24 (76)
  - А при чём здесь RoR Взломал он GitHub Где ссылка на репорт в багтрекере ГитХаб, gegMOPO4, 06-Мрт-12, 11:24 (52) //
    - Поручик Ржевский приехал к Безухову, но не застал того дома Может в рояль наср, Ваня, 06-Мрт-12, 13:11 (62)
      - Ваня, надо быть скромнее , Аноним, 09-Мрт-12, 00:04 (114)
        
        И вытаскивать дерьмо из карманов, когда выходите в свет , Аноним, 09-Мрт-12, 00:08 (115)
    - а бага нет авторы RoR сказали, что это вообще не баг а раз не баг 8212 это , arisu, 06-Мрт-12, 19:05 (84)
      - Баг не в самом RoR, а в GitHub Если программист на PHP напишет код, допускающий, gegMOPO4, 06-Мрт-12, 21:10 (94)
        
        а гитхаб никто не трогал, например , arisu, 06-Мрт-12, 21:14 (96)
        
        Как это не трогал А новость о чём , gegMOPO4, 06-Мрт-12, 21:20 (98)
        
        о том, что немножко пошутили над авторами RoR где в новости информация о том, ч, arisu, 06-Мрт-12, 21:25 (99)
        
        Ну он на него все равно че-т послал Та же инъекция-биекция , kuraga, 06-Мрт-12, 22:31 (105)
        
        таких 171 инъекций 187 8212 каждый первый коммит - , arisu, 06-Мрт-12, 22:44 (106)
    - p s гитхаб он не ломал он воспользовался штатной фичей RoR, чтобы немножко улы, arisu, 06-Мрт-12, 19:07 (85)
Хочу заметить, что написано не просто Егором Хомяковым , а Егором Хомяковым из, chemtech, 06-Мрт-12, 06:21 (40)
Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внят, Аноним, 06-Мрт-12, 11:40 (53) //
- Использовал русский язык 8212 не поняли Использовал английский язык 8212 н, AlexYeCu, 06-Мрт-12, 11:55 (55) //
  - --2 наряда вне очереди --Нэпанимаю --3 наряда вне очереди --Нэпанимаю --5 на, Andrey Mitrofanov, 06-Мрт-12, 12:03 (56)
В Арче, оказывается, тоже есть страшный баг Установка по-умолчанию не включает , Аноним, 06-Мрт-12, 14:40 (69) //
- Зачем iptables на десктопной системе Или к чему это было написано , Аноним, 06-Мрт-12, 15:23 (72) //
  - Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть Такого от , Аноним, 06-Мрт-12, 16:27 (77) //
    - потому что без файрвола винда похожа не просто на решето, а на решето без сита , arisu, 06-Мрт-12, 19:50 (89)
      - Там файрвол такой, конечно умеет только на вход и правила примитивные как топ, Аноним, 09-Мрт-12, 23:46 (122)
    - Назови хоть один случай когда нужно оперировать правилами iptables на десктопной, Аноним, 06-Мрт-12, 19:52 (90)
      - А легко Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю несколь, Аноним, 09-Мрт-12, 23:33 (119)
    - в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжениев венде, Клыкастый, 06-Мрт-12, 23:05 (110)
      - Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно бру, Аноним, 09-Мрт-12, 23:35 (120)
        
        да на здоровье , arisu, 09-Мрт-12, 23:40 (121)
        
        Я что-то не уверен что его пропрет что ремотная активность уперла его проц в пот, Аноним, 09-Мрт-12, 23:49 (123)
        
        ноут с гигабитным каналом и белым ip однако , Клыкастый, 12-Мрт-12, 13:51 (127)
  - К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в офиц, Аноним, 06-Мрт-12, 17:03 (78)
  - Что самое забавное, минусуют те, кто iptables в глаза не видел Зато у них в гол, Аноним, 06-Мрт-12, 20:00 (91)
да, кстати ведь у github насильный https 8212 откуда уязвимость ведь всем и, arisu, 06-Мрт-12, 19:08 (86) //
- Не так Но http при наличии https обязан быть отрублен , Аноним, 06-Мрт-12, 23:02 (108) //
  - как же это 171 не так 187 а зачем тогда насильно впаривать https, который и, arisu, 06-Мрт-12, 23:03 (109)
  - Кто это придумал И главное - что там такого ценного что предлагается шифровать , Аноним, 09-Мрт-12, 23:56 (124)
А у кого тут машина времени Релиз Ruby on Rails 3 2 вышел 20-го января , Maxim Filatov, 07-Мрт-12, 11:31 (112) //
- У того самого хацкера, он коммит на 1000 лет вперед сделал, чтоли , Аноним, 09-Мрт-12, 23:57 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру