1.1, ИмяХ (?), 10:41, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Как же хорошо, что ещё остались люди, которые перед установкой приложений полностью читают их исходные коды, благодаря чему обеспечивают безопасность.
| |
|
|
|
4.27, Аноним (27), 12:23, 13/05/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
А что это? Чем является 30 мб блоб (3 мб в сжатом виде)? Это такая же компиляция софта как и что угодно ещё. Для сравнения, у хрома около-гигабайтный блоб. Хром -- приложение? Какого размера должен быть блоб, чтобы стать приложением?
| |
4.45, Аноним (-), 16:33, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
Нет, но вообще пробэкдорить кернел эффективнее чем приложения. Ведь оно все их запросы выполняет.
| |
|
3.41, Аноним (-), 15:40, 13/05/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Я комиты между версиями читаю, как минимум в интересующих меня местах. А так там куча роботов, анализаторов, ревью при мерже несколькими мордами и все такое...
| |
|
|
1.3, Аноним (27), 10:48, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Как можно додуматься отдавать предпочтение внешнему пакету вместо внутреннего? Наверно же не просто так он там лежит. Или у них там нет разделения откуда и что скачивать, лишь бы самое свежее урвать?
| |
|
2.36, НяшМяш (ok), 13:11, 13/05/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Чтобы так не подставляться, можно делать локальный форк со своим скоупом, например leftpad превращается в @vasyan/leftpad. И в локальном .npmrc можно вписать что-то типа @vasyan:registry=https://npm.pkg.github.com . Работает даже с приватными репозиториями, надо только auth token сгенерировать. Подменить имя гитхаб пользователя будет явно посложнее.
| |
2.56, другое Имя (?), 20:21, 15/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
А как можно додуматься до функции json_last_error_msg() в PHP? Вот я думаю, что это всё какая-то определённая порода кодакОв (программистами их назвать ни в коем случае нельзя) придумывает.
| |
|
1.4, Жироватт (ok), 10:48, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Признание виновными во всем и сразу русских хакеров через: 3... 2... 1... признано!
Загрузка сообщений от прикормленных "экспердов" по безопасности - 32% завершено
Создание медийного скандала с привлечением политики - 1% завершено.
---
А теперь следует задать серьёзный вопрос: а что, в NPM оказалось действительно возможным смешение репозиториев и пакет public:AAA и local:AAA теперь одно и то же?
Нет, требую пояснительную бригаду в студию, какой в этом практический смысл?
| |
|
2.5, Аноним (5), 10:58, 13/05/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
>А теперь следует задать серьёзный вопрос: а что, в NPM оказалось действительно возможным смешение репозиториев и пакет public:AAA и local:AAA теперь одно и то же?
если внимательно подумать, то окажется что все системы управления пакетами так и работают - важно в первую очередь название пакета и его версия, а репозиторий как правило не указывается, хоть обычно и есть такая возможность.
| |
|
3.10, Жироватт (ok), 11:22, 13/05/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
В обслуживаемых специально обученными мейнтейнерами репозиториях, допустим, привязка пакета ААА к репозиторию bb или cc действительно нужна скорее для бэклога - узнать откуда установлен пакет.
Другое дело, что ЕМНИП во всех виденных мной реализациях есть так или иначе механизм приоритета репозиториев и маскировок. Ну т.е.
- при обновлении при одинаковом приоритете bb:AAA v0.1 до cc:AAA v0.2 обычно спрашивается, мол, стоит ли обновлять с заменой репов
- если реп bb стоит по приоритету выше сс, то для обновления нужно специально указывать смену репа
- если реп bb маскирует пересечение с сс, то пакет cc:ААА не будет виден за bb:AAA хоть там на десять мажорок выше версия.
Все равно не понимаю, почему у паблик-помойки нету даже такого?
Ну там хотя бы чтобы внутренние репы маскировали паблик, я не заикаюсь даже про веса приоритетов.
| |
|
2.23, Аноним (23), 12:15, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
Ты так говоришь как будто твои русские хакеры святые и непогрешимые.
| |
|
3.29, Аноним (29), 12:26, 13/05/2022 [^] [^^] [^^^] [ответить]
| +3 +/– |
Дадада, решили ломануть как раз те компании, которые решили остаться в России.
А вообще, откуда в России хакеры? Там же только дикие russkies в ushankas с balalaikas.
| |
|
4.42, Аноним (-), 15:42, 13/05/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
Даже орк может стрелять, не из лука как эльф так из арбалета.
| |
|
|
|
1.6, Аноним (6), 10:59, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ] | +2 +/– | Судя по всему, это был пентестер, а подстановка была запланированной проверкой ... большой текст свёрнут, показать | |
|
2.17, Жироватт (ok), 11:30, 13/05/2022 [^] [^^] [^^^] [ответить]
| +4 +/– |
Выглядит так, как будто это умышленное прикрытие провального внедрения вредоноса.
С другой стороны, в современном мире сказанное правильными людьми "Это не карманная кража кошелька, это проверка кражестойкости карманов случайного респондента" пойманными за руку, на ура срабатывает.
| |
|
3.19, Аноним (19), 11:40, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
> Выглядит так, как будто это умышленное прикрытие провального внедрения вредоноса.
> С другой стороны, в современном мире сказанное правильными людьми "Это не карманная
> кража кошелька, это проверка кражестойкости карманов случайного респондента" пойманными
> за руку, на ура срабатывает.
С другой стороны, опеннет без сравнения опы с пальцем и додумывания "как оно там все на самом деле" после чтения заголока - не опеннет.
>> In a direct message, Code White CEO David Elze said the company intern created and posted the packages as part of a legitimate penetration-testing exercise explicitly authorized by the companies affected.
>> | |
|
4.22, Жироватт (ok), 11:54, 13/05/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
> “We do not disclose the names of our clients but specifically, I can confirm that we're legally contracted by the affected companies and were acting on their behalf to simulate these realistic attack scenarios,” Elze said.
...или просто взял на себя ответственность, чтобы потушить никому не нужный скандал там, где раздувать его не захотели?
Обычно, как замечено выше, в самой новости, такие proof-of помечаются в коде или безобидными заглушками, или специальными комментариями, но никак не обфусцированной малварью.
| |
|
|
|
1.9, Ты (?), 11:19, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
конец опенсорцу? кто теперь поверит честному слову? это показывает, кто фирмы вынуждены будут либо делать свои версии нужного ПО, что приведёт к фрагментации, либо должны будут оплачивать аудит каждого нового тарбала. и даже в рамках одной организации может найтись шпион, который всроит бэкдор.
| |
|
2.11, Ты (?), 11:23, 13/05/2022 [^] [^^] [^^^] [ответить]
| –1 +/– |
> конец опенсорцу? кто теперь поверит честному слову? это показывает, кто фирмы вынуждены
> будут либо делать свои версии нужного ПО, что приведёт к фрагментации,
> либо должны будут оплачивать аудит каждого нового тарбала. и даже в
> рамках одной организации может найтись шпион, который всроит бэкдор.
и лёгким движением ноги, такие рапы как у питона, ноды, го, Dlang могут быть рассадником довольно просто
| |
2.14, Жироватт (ok), 11:24, 13/05/2022 [^] [^^] [^^^] [ответить]
| +2 +/– |
Скорее приведет к патовой ситуции хакера и солонки.
Ну и да, расширение круга недоверенных систем с сопутствующими механизмами и накладными расходами
| |
2.18, Ты (?), 11:33, 13/05/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
> фирмы вынуждены будут либо делать свои версии нужного ПО
объявляю 10 лет велосипедостроения! скорее всего всё так теперь и будет
| |
2.20, test (??), 11:53, 13/05/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
А в чем проблема ?
Либо юзай и проверяй сам, либо плати за саппорт и поддержку.
| |
2.33, arisu (ok), 12:53, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
> конец опенсорцу? кто теперь поверит честному слову?
ужасно! как же мы теперь проживём без того, чтобы корпорасты использовали наш код? шеф, всё пропало, код убирают, корпорасты убегают!
| |
|
3.40, Ты (?), 15:39, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
>> конец опенсорцу? кто теперь поверит честному слову?
> ужасно! как же мы теперь проживём без того, чтобы корпорасты использовали наш
> код? шеф, всё пропало, код убирают, корпорасты убегают!
а свободным кодерам легче что ли?
| |
|
|
|
|
3.25, Аноним (23), 12:16, 13/05/2022 [^] [^^] [^^^] [ответить]
| –3 +/– |
Лефтпад не зловред это чисто чтобы ты бы в курсе, для твоего общего развития.
| |
|
4.34, Аноним (34), 12:59, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
Контекст дискуссии не зловред это чисто чтобы ты бы в курсе, для твоего общего развития.
Но для одаренных: не все пакеты в пару строк, как leftpad, чтобы повально отказываться от всего и писать свои велосипеды.
| |
|
|
|
1.21, Аноним (21), 11:53, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– |
> ldtzstxwzpntxqn и lznfjbhurpjsqmr
немецкая народная традиция - первой на клавиатуру кидают кошку, что получилось - так и называют пакет
| |
|
2.24, Аноним (26), 12:15, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
> немецкая народная традиция
шифровальная машина Энигма.
Может, это шифротекст для агентов.
| |
2.28, Анонзо (?), 12:23, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
Кошка постоянно приземляется сначала на клавишу l и делает после этого ещё 14 ударов по другим клавишам.
| |
|
|
4.32, Аноним (27), 12:39, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
I в 2 раза жирнее l, не говоря уж о том, что на шрифтах с засечками они совсем разные.
| |
|
3.31, Жироватт (ok), 12:39, 13/05/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты бы поаккуратнее был бы, кошка только вчера получила звание штандартенфюрера.
| |
|
|
1.35, YetAnotherOnanym (ok), 13:06, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
> пакеты с теми же именами и более новыми номерами версий
> пакетный менеджер npm считает более приоритетным публичный репозиторий и загружает подготовленный атакующим пакет
Любители обмазываться свеженьким должны страдать
| |
1.37, Аноним (37), 14:33, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
> Компания Code White заявила, что атака была проведена её сотрудником в рамках согласованной симуляции атаки на инфраструктуру клиентов.
Верим.
Npm уже унизили все кто может.
| |
1.43, Аноним (43), 15:47, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Когда же наконец до людей начнет доходить важность умения написать код на стандартной библиотеке без использования сторонних фреймворков и библиотек?
| |
|
2.46, Аноним (46), 16:38, 13/05/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Напомни кто за это заплатит? Если ты мне оплатишь я только за.
| |
2.49, b (?), 20:56, 13/05/2022 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот только пока ты будешь писать все потенциальные клиенты умрут от старости, а их останки начнут выставлять археологи в музеях.
| |
|
1.44, Аноним (44), 15:52, 13/05/2022 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
>Компания Code White заявила, что атака была проведена её сотрудником в рамках согласованной симуляции атаки на инфраструктуру клиентов. В ходе эксперимента были имитированы действия реальных злоумышленников для проверки эффективности работы внедрённых мер защиты.
Что-то это напоминает "Рязанский сахар" 1999 г.
| |
|
2.50, b (?), 21:01, 13/05/2022 [^] [^^] [^^^] [ответить]
| +/– |
Это обычная практика аудита безопасности. Нанимается несколько комманд и они пытаются ломать (заранее предупретив узкий круг людей из руководства и ознакомив их с планом) компанию по всем областям - от социальной инженерии, цепочее доставок, сетей, до физического вламывания в серверную/офис. Полет фантазии ограничен только суммой вознаграждения.
| |
|
|