The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"GitHub устранил уязвимость, приводившую к подмене сеанса пользователя"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub устранил уязвимость, приводившую к подмене сеанса пользователя"  +/
Сообщение от opennews (?), 09-Мрт-21, 10:02 
GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую опасность, так как  позволяет одному аутентифицированному пользователю получить доступ к сеансу другого пользователя...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=54723

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от КО (?), 09-Мрт-21, 10:02 
Хотел уже начать ныть что дырень и лохи, но подумал что всякое бывает чего уж там.
Лишь бы не маскировали данным апдейтом очередные бэкдоры.
Ответить | Правка | Наверх | Cообщить модератору

2. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +4 +/
Сообщение от Аноним (2), 09-Мрт-21, 10:10 
А я думал, чего у меня в последнее время периодически файерфокс баговал, когда я заходил на discourse с логином через гитхаб (файерфокс тупо пустую страницу показывал) и приходилось сбрасывать куки браузера.
Ответить | Правка | Наверх | Cообщить модератору

3. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +1 +/
Сообщение от t28 (?), 09-Мрт-21, 10:15 
Вы попали в пресловутые "0.001% от всех аутентифицированных сеансов".
Ответить | Правка | Наверх | Cообщить модератору

4. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +2 +/
Сообщение от Аноним (2), 09-Мрт-21, 10:29 
Я че-то сомневаюсь, что они раскрыли истинные проценты (кто себе будет репутацию руинить), потому что делать это мне приходилось раз 5
Ответить | Правка | Наверх | Cообщить модератору

7. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Нанобот (ok), 09-Мрт-21, 12:37 
А я думаю, истинные проценты никто не считал и число 0.001% взято с потолка
Ответить | Правка | Наверх | Cообщить модератору

8. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от shithub (?), 09-Мрт-21, 12:43 
Мы сбрасывали-то не 0001%, а все подряд ;-)

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

5. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +4 +/
Сообщение от Анонимemail (5), 09-Мрт-21, 10:51 
С утра захожу на GitHub и вижу, что я не авторизован — подумал, что проблемы с хранилищем cookies в Chromium. Оказалось иначе.
Ответить | Правка | Наверх | Cообщить модератору

6. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  –2 +/
Сообщение от Иваня (?), 09-Мрт-21, 11:22 
То-то я думал, а что это у меня авторизация на GitHub слетела, а оно вон оно что. Молодцы, хвалю.
Ответить | Правка | Наверх | Cообщить модератору

9. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  –4 +/
Сообщение от Аноним (-), 09-Мрт-21, 13:11 
Все эти вещи начали происходить после покупки ГитХаба Майкрософтом.

Майкрософт - это деградация.

Ответить | Правка | Наверх | Cообщить модератору

10. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +1 +/
Сообщение от Урри (ok), 09-Мрт-21, 13:23 
Исправление дыр - деградация? Аноним, ты в своем уме?
Ответить | Правка | Наверх | Cообщить модератору

11. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +1 +/
Сообщение от Ilya Indigo (ok), 09-Мрт-21, 13:44 
> Вызывающие проблему изменения были внесены 8 февраля...
Ответить | Правка | Наверх | Cообщить модератору

15. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +1 +/
Сообщение от Аноним (15), 09-Мрт-21, 15:53 
Кстати деграднула UI которая стала тупить и тормозить, неизвестно чего они туда понапихали и каких зондов но раньше летало и это еще без жабаскрипта.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

18. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  –2 +/
Сообщение от Dzen Python (ok), 09-Мрт-21, 22:33 
Ну зато все стильно-модно-молодежно. И гендерно нейтрально. И расово толерантно.
Ответить | Правка | Наверх | Cообщить модератору

27. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (-), 11-Мрт-21, 19:21 
Визуально, как-раз таки, ничего не поменялось. Такое впечатление что специально сделаны тормоза, ну не верю я что дизигнеры на столько деграданты, либо конечно мстят за невыплату зп
Ответить | Правка | Наверх | Cообщить модератору

28. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Последний из могикан (?), 15-Мрт-21, 20:11 
Белый консервативный шовинист
Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

24. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (24), 10-Мрт-21, 21:23 
> но раньше летало и это еще без жабаскрипта

Там вроде всегда js был.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

12. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (2), 09-Мрт-21, 14:05 
Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним84701 (ok), 09-Мрт-21, 14:17 
> Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?

С этим там успешно справлялись и сами, еще до покупки.
Я уже и не помню когда та же менюшка выбора бранча/тега, работала не то что без ЖС (а были, были времена!), но хотя бы не требовала последней-предпоследней версии хромолисы.


Ответить | Правка | Наверх | Cообщить модератору

14. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (2), 09-Мрт-21, 15:34 
А почему у вас не последняя версия хромолисы?
Ответить | Правка | Наверх | Cообщить модератору

20. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (20), 10-Мрт-21, 04:50 
Некоторые, например, сидят на ESR.
Ответить | Правка | Наверх | Cообщить модератору

21. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  –1 +/
Сообщение от Аноним (2), 10-Мрт-21, 10:45 
Больно?
Ответить | Правка | Наверх | Cообщить модератору

23. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от пох. (?), 10-Мрт-21, 16:52 
Кстати, очень забавно что чуть ли не половина кода небезызвестного плагина (опять сломали, между нами) занимается вовсе не починкой шитхаба, а отламыванием бесконечных csp подлянок этого самого шитхаба, изо всех сил старающегося заблокировать расширениям такую возможность. Кажется, потому и сломалось - там опять еще более улучшили csp.

И, если ты проспал, без js (без особого, шитхабовского js с тормозными перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем, а не только выбор версии. Воистину, достижение для сайта, чья единственная задача - просто показывать текст исходника. И чяяяяятик, конечно, но если он сломается, никто из  нас, полагаю, не заметит.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

25. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним84701 (ok), 11-Мрт-21, 00:12 
> И, если ты проспал, без js (без особого, шитхабовского js с тормозными
> перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем,
> а не только выбор версии.

Да нет, все "норм" -- вместо описания/комментария, времени и автора коммита показывает только серые прямоугольники (на фоне загрузки 1.18 MB данных без JS-скриптов, для простой странички мелкого проекта -- очешуительная экономия, однако!), но кликнуть на ссылку и увидеть код все еще можно.

С другой стороны, я и не знаю уже, как оно "должно работать" на самом деле -- подозреваю, что даже в последнем FF-ESR, без скрипторезки, оно показывается ущербно.

Ответить | Правка | Наверх | Cообщить модератору

26. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от пох. (?), 11-Мрт-21, 00:22 
кот можно, дифф - уже нет.

Серые прямоугольники, если что, еще тоже надо загрузить и отрисовать.

P.S. если у тебя совсем древняя, 52я мурзилалтс - найди плагин justoff, и добавь или замени там в исходнике симанку на мурзилу - увидишь, где. Полагаю, починитсо. Не забудь проверить консоль на тему вони про csp, если есть - выключи на..й.

Ответить | Правка | Наверх | Cообщить модератору

16. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (16), 09-Мрт-21, 16:59 
Правильно не так. Всякие iPony и Fracta1L'ы сначала на гавнокодили ошибку а потом вызывали нормальных людей её исправить.
Ответить | Правка | Наверх | Cообщить модератору

22. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от пох. (?), 10-Мрт-21, 16:22 
Но по вызову явилась индусская бригада, сбросила всем сессии и отчиталась о невиданном успехе в борьбе с безопастностью.

Ответить | Правка | Наверх | Cообщить модератору

17. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (17), 09-Мрт-21, 20:32 
Ну и зря.
Ответить | Правка | Наверх | Cообщить модератору

19. "GitHub устранил уязвимость, приводившую к подмене сеанса пол..."  +/
Сообщение от Аноним (19), 09-Мрт-21, 23:27 
Лучше бы не устранял.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру