The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Утечка токена для полного доступа к GitHub-репозиториям проекта Python

12.07.2024 09:48

Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.

По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa. Проблемный Docker-образ с токеном был опубликован в каталоге Docker Hub третьего марта 2023 года, а удалён 11 июня 2024 года т.е. 16 месяцев находится в открытом доступе. 28 июня токен был отозван.

Примечательно, что в доступных исходных текстах, на базе которых был сгенерирован проблемный файл с байткодом, упоминание токена отсутствует. Автор кода пояснил, что в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ.


    def _fetch_github_file(
   -    github_repository="owner/repo", ref="main", access_token=None, filename="Dockerfile"
   +    github_repository="owner/repo",
   +    ref="main",
   +    access_token="0d6a9bb5af126f73350a2afc058492765446aaad",
   +    filename="Dockerfile",
    ):

Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа с использованием раскрытого токена. С учётом того, что с 2017 года GitHub является первичной площадкой для разработки CPython, попадание токена в руки злоумышленника могло бы привести к полной компрометации инфраструктуры, используемой для разработки Python и репозитория PyPI, и возможности совершения попыток интеграции бэкдоров в CPython и пакетный менеджер PyPI.

Инцидент показывает важность анализа утечек не только в исходном коде, файлах конфигурации и переменных окружения, но и в бинарных файлах. В контексте Python пользователям также рекомендуется обращать внимание на наличие в загружаемых проектах pyc-файлов со скомпилированным байткодом, так как данные файлы могут содержать скрытые модификации, отсутствующие в исходном коде.

  1. Главная ссылка к новости (https://jfrog.com/blog/leaked-...)
  2. OpenNews: Утечка токенов пользователей платформы Hugging Face Spaces
  3. OpenNews: GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения
  4. OpenNews: Анализ утечек конфиденциальных данных через репозитории на GitHub
  5. OpenNews: В каталоге PyPI выявлены вредоносные библиотеки, использующие CDN PyPI для скрытия канала связи
  6. OpenNews: 67% публичных серверов Apache Superset используют ключ доступа из примера настроек
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/61531-python
Ключевые слова: python
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (113) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, randomize (?), 10:10, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Расскажите ему про .gitignore.
     
     
  • 2.9, Аноним (9), 10:33, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш
     
     
  • 3.16, Аноним (16), 10:55, 12/07/2024 Скрыто ботом-модератором     [к модератору]
  • +13 +/
     
  • 3.34, Xasd7 (?), 12:16, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +9 +/
    тока в Git токен не попал :-)

    а вот в бинарник попал — что нам напоминает правило:

    не нужно ВООБЩЕ в открытый доступ выкладывать то что скомпилировано на твоём лаптопе — выкладывай в паблик только то что скомпилировала общий сборочный конвеер  на сервере

     
     
  • 4.51, нах. (?), 12:56, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Воот, теперь-то все как надо, теперь оно и в гит попадет. Потом конечно будет удалено, новым комитом.

     
  • 3.100, Аноним (-), 23:09, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш

    В этой новости прекрасно все. Начиная от комита в гит левого мусора, которого там быть вообще не должно, через доступ к инфраструктуре от души, а вишенкой на торте - КТО это все организовал. Это оглущительный успех питон-фаундации, кадровой политики и пиара, супер-комбо все в 1.

     
     
  • 4.114, mickvav (?), 16:06, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Так токен же вроде в docker-образе нашли а не в гите, нет?
     
  • 4.134, Бывалый Смузихлёб (ok), 19:14, 16/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > вишенкой на торте - КТО это все организовал

    ви таки имеете что-то против гомо-нигг после прочтения КоК'а !?

     
  • 3.104, Илья (??), 03:10, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Ты правда думаешь что питон-девелопер способен это понять?
     
  • 2.29, Волк (?), 11:49, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +7 +/
    .dockerignore
     
  • 2.92, анон (?), 21:08, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее про .dockerignore
     
  • 2.101, hr (??), 23:20, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    на собесе расскажут
     

  • 1.3, Аноним (3), 10:12, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +19 +/
    > пост директора по инфраструктуре

    "смотрите, как я умею!"

     
     
  • 2.36, Аноним (36), 12:16, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это... какой-то позор?
     
     
  • 3.58, Вы забыли заполнить поле Name (?), 14:29, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Позорище
     

  • 1.5, Аноним (5), 10:27, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Смотрите как могу:

    > -B     : don't write .pyc files on import; also PYTHONDONTWRITEBYTECODE=x

     
     
  • 2.26, нах. (?), 11:22, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    дрянная идея. Это контейнер который будет большинством обезьянок использоваться as-is.

    Вот то что байткод брался из хомяка горе-разработчика вместо компиляции в закрытом окружении докера - это конечно минус.
    Но ничуть бы не помогло от гения-директора обходящего защиту от роботов патамуштамагу. Он бы и руками не забыл добавить внутрь образа.

     

  • 1.6, Аноним (6), 10:28, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ

    В пакетном менеджере Nix этой проблемы нет: перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты. Любопытно, но так никто и не догнал Nix ни в этом, ни во всех остальных отношениях. Хотя Nix из далекого 2004.

     
     
  • 2.13, mimocrocodile (?), 10:47, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты

    ты не поверишь, но в докере тоже сборщик не видит игнорируемые файлы

     
     
  • 3.22, Аноним (6), 11:15, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Видит. Другое дело, что у докера свой собственный .dockerignore, который конечно же никто не будет синхронизировать с .gitignore. Отсюда имеем, что имеем ("it's what it's").
     
     
  • 4.52, Аноним (52), 12:59, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А что его синхронизировать, если git поддерживает симлинки?
     
     
  • 5.111, 9392012938к8282 (?), 09:16, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Docker не поддерживает dockerignore в подпапках. У gitignore больше синтаксиса (но можно ограничиться подмножеством обоих).
     
  • 2.14, Соль земли (?), 10:48, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Люди не готовы к будущему.
     
  • 2.103, Аноним (103), 02:54, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Да во всех дистрах сто лет уже собирают пакеты (и, соответственно, ПО) в clean chroot. Причем, там chroot на стероидах. А тут опять какой-то стартап на армейской коленке освоил технологии "дидов" и выдаёт это за инновацию. Linux namespaces (bubblewrap, systemd-nspawn или что-нибудь ещё), хотя бы, к своей псевдоизоляции на симлинках прикрутитите, как у других, а потом выпендривайтесь, никсоё^Hводы. А то любая программа может прочитать и вызвать по абсолютному пути /nix/store/blablabla всё, что пожелает.
     
     
  • 3.107, morphe (?), 04:38, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Там ровно это и имеется, при сборке пакета он не может обращаться к чему-либо кроме своих зависимостей

    Исключение - интернет, но в этом случае должен быть известен хеш полученного пакета, т.е чтобы curl вызвать нужно указать какой хеш будет у скачанного файла.

     
     
  • 4.118, Аноним (118), 22:03, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Там ровно это и имеется

    Там самый обычный, только костыльный, chroot без изоляции.

    > какой хеш

    find /nix -name \*curl


     
     
  • 5.119, morphe (?), 23:22, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Там самый обычный, только костыльный, chroot без изоляции.

    Да что ты такое несёшь

    Там и userns, и netns, и mountns, и seccomp, и монтируются в песочницу только зависимости, и доступа в песочницы не имеет никто кроме рута и nix демона.

    Доступ в интернет доступен только для сборки тех пакетов, для которых прописан конечный хеш, скачиваемый файл = пакет который для сборки дёргает curl, чтобы скачать файл нужно заранее прописать хеш файла который будет скачан.

     

  • 1.7, Аноним (7), 10:30, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Анализ показывает что всем пофиг на эти токены и дыры типа выхода за границы буфера. Это только маленьких детей пугать.
     
  • 1.11, Соль земли (?), 10:46, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А зачем ".pyc" файлы в гит добавлять? 0_0
     
     
  • 2.18, Аноним (16), 10:59, 12/07/2024 Скрыто ботом-модератором     [к модератору]
  • +9 +/
     
     
  • 3.65, Соль земли (?), 15:04, 12/07/2024 Скрыто ботом-модератором     [к модератору]
  • +2 +/
     
  • 2.112, Tron is Whistling (?), 09:43, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А зачем ".pyc" файлы в гит добавлять? 0_0

    Перевод с питона на русский.

     

  • 1.12, Аноним (12), 10:46, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре.

    Жёваный стыд.

     
     
  • 2.20, нах. (?), 11:13, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +6 +/
    "а вы точно разработчик? Скажите что-нибудь на разработческом!"
    "- дайте мне токен с полным доступом ко ВСЕМУ!"

     
     
  • 3.53, anonymplusplus (?), 13:25, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > "а вы точно разработчик? Скажите что-нибудь на разработческом!"

    дайте рута на прод

     
  • 3.59, Вы забыли заполнить поле Name (?), 14:31, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переписка из чатика python software foundation
     
  • 3.61, OpenEcho (?), 14:42, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > "а вы точно разработчик? Скажите что-нибудь на разработческом!"

    "- дайте мне токен с полным доступом ко ВСЕМУ!"

    Эт только уровня принципалов, все что ниже, проще на "разработческом"
    - "Равиндра, игеде здесь у вас кинопка NEXT-NEXT... ?"

     

  • 1.17, Tron is Whistling (?), 10:56, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    - Docker-образ с токеном
    Девляпс-ляпс-ляпс.
     
     
  • 2.19, нах. (?), 11:12, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    и один ключ от всех дверей - даже не под ковриком, а просто в замке всегда торчит.

    ну зато нигры-норкоманы очень важны для человечества. Про фрипластелин что-то не вижу только. Недоработочка.

     
     
  • 3.33, Аноним (3), 12:10, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Всё на месте https://durbin.ee/
     
     
  • 4.43, нах. (?), 12:48, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Всё на месте https://durbin.ee/

    а, и точно, всьо.
    Этого - точно в директора!

     

  • 1.21, Аноним (21), 11:14, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    "и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ"

    Специалисты которых мы заслужили! Так победим! xD

     
     
  • 2.24, нах. (?), 11:19, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    не специалисты а цельные директора по инфраструктуре.
    Т.е. тот самый человек, который должен был первым йопнуть кулаком по столу со словами "какой на... общий ключ от всех дверей?! Вы что тут - совсем ухи поели?! Быстро накодить проверку чтоб такие ключи вообще сразу блокировались при попытке их создать."

     
     
  • 3.38, Аноним (38), 12:21, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > не специалисты а цельные директора по инфраструктуре.
    > Т.е. тот самый человек

    где Вы видали вменямых топтунов?

     
  • 3.79, Аноним (79), 16:54, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ван Россум ушёл в Microsoft, вот результат
     
     
  • 4.84, нах. (?), 18:46, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    ну блин, у чувака - пенсия, дача, рыбалка...

    С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно что Опоссум от них сбежал нафиг.

     
     
  • 5.96, Аноним (-), 22:45, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно
    > что Опоссум от них сбежал нафиг.

    Э нет! Напоссал и сбежал? Так не пойдет, так что - вот - брыкающегося и хрипящего его приволокли назад, объяснив что для него ад - уже начался: это гуано он будет разгребать вплоть до смерти или безумия, whichever comes 1st.

     
  • 2.95, Аноним (-), 22:43, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Специалисты которых мы заслужили! Так победим! xD

    Извините, им лениво заморачиваться с приземленными вещами типа обработки ошибок или подчистки за собой в байткоде - или хотя-бы настройки .gitignore, чтоли, как это нормальные разработчики делают.

     

  • 1.25, Аноним (25), 11:19, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    В большой проект требуется директор по инфраструктуре. Требования к кандидату:
    - Уверенное знание Python
    - Опыт работы с контейнерами
    - Желание развиваться (будет плюсом)
     
     
  • 2.27, нах. (?), 11:25, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А квота для minorities у вас есть?!

     
     
  • 3.70, Аноним (52), 15:37, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Они и так проходят по квоте, у них один из ведущих разработчиков не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше на Boeing Defence Australia, о чём гордо упоминает в своём резюме.
     
     
  • 4.85, нах. (?), 18:47, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Они и так проходят по квоте, у них один из ведущих разработчиков
    > не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело
    > на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше
    > на Boeing Defence Australia, о чём гордо упоминает в своём резюме.

    а потом - е6анулось... а мы удивляемся, чего у них один токен от всех замков.

    Жги, Г-ди!

     
  • 2.32, Аноним (32), 12:07, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Требования к гендеру?
     

  • 1.28, n00by (ok), 11:31, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > разработчик не учёл, что упоминание токена прокэшировалось
    > в предкомпилированном файле с байткодом, который затем
    > попал в docker-образ.

    Как оно могло прокешироваться? Изменил исходник, значит и содержимое кеша должно измениться при запуске? Или он не проверял (не запускал)? Не проверял, потому что не изменял исходник вручную, а откатил коммит?

     
     
  • 2.30, нах. (?), 11:49, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    может даже и запускал - в уже собранном докер-контейнере.
    А в образе спокойно лежал и пах старый бинарник.

    Что образ при сборке не компилился - ну на фоне существования "токена-от-ВСЕГО" - право же ж, такая мелочь. Некогда, некогда ждать пока он скомпилируется, девляп-ляп-ляп-ляп и в продакшн!

     
     
  • 3.80, n00by (ok), 16:58, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Токен это нормально же. Во-первых, ныне 2к24. Во-вторых, это не os.system("sudo curl"), или как там оно делается на пихоне, "прокешировался". Печалит, что ни в 29a, ни в BHC уже не написать по этому поводу.
     
  • 2.41, Карлос Сношайтилис (ok), 12:25, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Запуск не вызывает ребилд контейнера.

    Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на билд-сервере?

     
     
  • 3.49, нах. (?), 12:54, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    вообще-то должен бы был - но текущего контейнера. А образ где был (в дыркер хапе) там и лежит, всем на радость.

    > Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на
    > билд-сервере?

    ну это ж ах...еть удобно отлаживать, да?

      

     
     
  • 4.56, Карлос Сношайтилис (ok), 13:52, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отлаживать удобно локально, а продовая сборка должна выполняться автоматически и не на машине разраба.
     
  • 3.78, n00by (ok), 16:51, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно, а кеш не когерентен и исполняется чёрти че?
     
     
  • 4.86, нах. (?), 18:50, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей
    > или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно,
    > а кеш не когерентен и исполняется чёрти че?

    ему не надо исполняться. Надо просто кому-то неленивому посмотреть что там понакэшировалось. Такой нашелся. К сожалению, не сделал forced push пустого места с приветом blm и фрипластелинам с последующим gс, придется ждать следующего.

     
     
  • 5.89, n00by (ok), 20:08, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Если ему не надо исполняться, зачем он тогда вообще нужен Об этом кто-то вообщ... большой текст свёрнут, показать
     
     
  • 6.117, нах. (?), 20:30, 14/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Если ему не надо исполняться, зачем он тогда вообще нужен?

    это кэш, блжд. Оставшийся от предыдущего запуска.

    > - А давайте поищем в самом неожиданном месте!

    место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом типа файла и случайно залез в бинарники (или не налажал и не случайно, а просто имел время и вдохновение - машина железная, пусть греп потрудится). А оно там возьми и найдись!


    > Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но
    > бесполезный для них фейл.

    атака на supply chain чуть ли не всей цивилизации пакости - и вдруг - бесполезная?

     
     
  • 7.132, n00by (ok), 05:51, 16/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос не что , а зачем Зачем что-то оставшееся копируется куда-то, ещё и ... большой текст свёрнут, показать
     
     
  • 8.133, нах. (?), 08:23, 16/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    потому что COPY allthishit tar а в нем целиком хомяк или вообще вся виртуалочк... текст свёрнут, показать
     

  • 1.31, Аноним (32), 12:03, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Пароли ненадёжно, говорили они. Нужно по ключам, токенам.
    Главная проблема паролей - записывание их на бумажки и создание намеренно мастер-паролей. А вот это вот, по недосмотру оказывается в коде, в данных.
     
     
  • 2.48, нах. (?), 12:52, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    что значит "по недосмотру"? Оно и может быть только в коде или данных в этом коде, в том и принципиальное отличие от пароля, который должен бы быть только в голове, ну или хотя бы вот, на листочке приклеенном к монитору, как у меня.

     
  • 2.62, OpenEcho (?), 14:49, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужно по ключам, токенам.

    Да токены по большому счету только защита от паролей класса "маша", "12345678", т.к. народ неизлечим. Тоже самое что и с app-passwords от мелософта и гугли

     
  • 2.66, Соль земли (?), 15:07, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А пароли по недосмотру оказываются в ps aux.
     
     
  • 3.87, нах. (?), 18:52, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А пароли по недосмотру оказываются в ps aux.

    там и токен окажется, не вижу никакой разницы.Тут вон уже насоветовали совать его в environment
    (лучше сразу в докерфайл - надежно, на века)

     
     
  • 4.121, aname (?), 12:30, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > лучше сразу в докерфайл

    В каком- то смысле, тебя услышали

     
     
  • 5.126, нах. (?), 20:47, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> лучше сразу в докерфайл
    > В каком- то смысле, тебя услышали

    да, но можно же было сделать - КРОСИВО!
    (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)

     
     
  • 6.131, aname (?), 21:08, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>> лучше сразу в докерфайл
    >> В каком- то смысле, тебя услышали
    > да, но можно же было сделать - КРОСИВО!
    > (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)

    Может скоро и такое узреем

     

  • 1.39, Аноним (39), 12:21, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.

    Какого хрена вообще переменные окружения сохраняются в файл с прокешированным байткодом?

     
     
  • 2.42, Карлос Сношайтилис (ok), 12:28, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В новости шесть параграфов.
    Четвёртый - код, который отвечает на твой вопрос.

    Ты смог прочитать только три параграфа? Или сдался сразу после картинки?

     
     
  • 3.122, aname (?), 12:30, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    После заголовка
     

  • 1.40, 111 (??), 12:24, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то я не понял. Можно же указывать время жизни токена? Указал время жизни в месяц — и всё! Какие проблемы?
     
     
  • 2.45, нах. (?), 12:50, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Как какие - через месяц же сломается все, вот какие!
     
     
  • 3.74, 111 (??), 16:11, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    что сломается?
     
     
  • 4.102, Ахз (?), 00:51, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    всё, что не ясно ?
     
     
  • 5.120, 111 (??), 09:11, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > всё, что не ясно ?

    У меня ничего не ломается. Всё работает.

     

  • 1.50, Аноним (52), 12:56, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    >обнаружили в составе Docker-образа "cabotage-app"

    Имели в виду sabotage, но клавишей промахнулись.

     
  • 1.54, Аноним (52), 13:26, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Виновник - саботажник, который должен быть с позором уволен 1 Почему вообще та... большой текст свёрнут, показать
     
     
  • 2.75, нах. (?), 16:17, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Виновник - саботажник, который должен быть с позором уволен.

    не саботажник, а директор. Сам кого хочешь уволит!

    > 1. Почему вообще такой токен был сгенерирован? Зачем этому токену доступ к

    это вопрос который директору задавать нельзя.

    > 3. Питоньи библиотеки для работы с GitHub API подхватывают токен автоматически из
    > переменных окружения. Это сделано потому. что GitHub Actions ставит временный per-pipeline

    они в дыркер автоматически не передаются. А документацию директору читать некогда.

    > Для предотвращения ситуации нужно изменить модель токенов.

    тебя не назначат директором, не волнуйся так.

     

  • 1.55, Аноним (55), 13:47, 12/07/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +2 +/
     
  • 1.57, Аноним (57), 13:55, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    вы понимаете что произошло, питон полностью скомпрометирован, его теперь только в помойку.
     
     
  • 2.63, OpenEcho (?), 14:51, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    И сколько тогда реальных программистов останется?
     
     
  • 3.67, Аноним (67), 15:16, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А какая связь? Столько же и останется, сколько было, реальных-то.
     
     
  • 4.72, OpenEcho (?), 15:50, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > А какая связь? Столько же и останется, сколько было, реальных-то.

    :))) 10-0

     
  • 4.76, нах. (?), 16:18, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А какая связь? Столько же и останется, сколько было, реальных-то.

    ну, а кодить тогда кто будет?!

    Реальные - заняты. Кто пиццей торгует, кто чем. Самые ленивые - в нвидии, драйвер для линукса пилют.


     
  • 2.81, Аноним (79), 17:04, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >его теперь только в помойку

    соображающие люди это давно поняли, поэтому 70% корпорат. приложений - на Java

     
     
  • 3.108, Аноним (108), 04:41, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    java разработчики точно такие же питонисты, даже ещё в большем неадеквате. Вот пример

    https://en.wikipedia.org/wiki/Log4Shell

     
     
  • 4.123, aname (?), 12:33, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Там тоже нашли токен от всех реп?
     
     
  • 5.125, Аноним (108), 17:22, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    Чукча не читатель? Там токен от всего прода
     
     
  • 6.127, нах. (?), 20:49, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    > Чукча не читатель? Там токен от всего прода

    только у дура4ков которые логают нефильтрованный юзеринпут.


     

  • 1.60, Вы забыли заполнить поле Name (?), 14:33, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Чему вы не рады? Каждый мог поправить питон как надо. Вы упустили свой шанс, вот и беситесь.
     
  • 1.64, Аноним (67), 14:58, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > удалён 11 июня 2024 года

    И зачем? Как теперь получать "доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa"?

     
  • 1.68, penetrator (?), 15:19, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ

    docker упрощает деплоймент, ога ))

    очердной костыль и точка отказа

     
  • 1.69, crypt (ok), 15:35, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа

    а жаль. типичный современный айти. разработчики, которые не знают, как на низком уровне работает их язык, дыркер... вот нашелся бы какой хакер на них.

     
     
  • 2.128, нах. (?), 20:50, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >> Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа
    > а жаль. типичный современный айти. разработчики, которые не знают, как на низком

    дык. они и провели аудит активностей. ничего не аудитится, потому что аудитлог стерт. Все хорошо и просто прекрасно.

    > уровне работает их язык, дыркер... вот нашелся бы какой хакер на
    > них.

    главное чтоб нашедшиеся не передрались


     

  • 1.71, Аноним (71), 15:47, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Python, PyPI, Python Software Foundation

    Попытался представить себе последствия если бы токен нашли blackhat. Индустрию долбануло бы.

    На сей раз пронесло. Зато теперь плохие ребята знают еще одно место где надо искать.

     
     
  • 2.73, Аноним (73), 16:06, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >На сей раз пронесло.

    С чего ты решил, что пронесло? Как-то не очень верится в честное слово этих товарищей после такого эпичного обсера своих штанов. Кто же в этом признается, может они сейчас чтобы не наводить панику по тихому делают аудит?! Если все же пронесло - промолчат, а если нет - запасается попкорном.

     
     
  • 3.129, нах. (?), 20:51, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    >>На сей раз пронесло.
    > С чего ты решил, что пронесло?

    да, я вот тоже хорошо информированный оптимист.

    > в этом признается, может они сейчас чтобы не наводить панику по
    > тихому делают аудит?! Если все же пронесло - промолчат, а если

    Как будто они - умеют?!

    Тебя б так пронесло, подумал Мюллер.


     
  • 2.77, Аноним (79), 16:50, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    то ли ещё будет ...
     
  • 2.82, n00by (ok), 17:12, 12/07/2024 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На сей раз пронесло.

    Тебя бы так пронесло, подумал Борман (ц)

     

  • 1.93, Аноним (-), 22:40, 12/07/2024 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +/
     
  • 1.105, Mim (ok), 03:25, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я просто оставлю это здесь.

    https://mastodon.social/@EWDurbin/110531653383028239
    > python, infra, cloud, etc. got a smol project you'd like to get whipped? contractin@durbin.ee

     
  • 1.106, Аноним (108), 04:37, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >  Автор кода пояснил, что в процессе разработки инструментария cabotage-app5

    Вот, сам признался что занимался саботажем, все бы так

     
  • 1.110, Ыеуз0 (?), 07:20, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я думал, что такая нацеленность на результат ещё не везде со стороны молодых, да ранних (в основном молодых, как мне кажется). Ан нет. Условное "дайте мне рута, разбираться некогда, надо работать в локере на питоне и джанге" процветает уже везде.
     
     
  • 2.115, нах. (?), 20:50, 13/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    это эджизм. Давайте тебя заканселим!
     
     
  • 3.124, aname (?), 12:34, 15/07/2024 [^] [^^] [^^^] [ответить]  
  • +/
    А вы токен для этого предъявите
     

  • 1.113, Аноним (113), 14:25, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И ни слова извинений и посыпания головы пеплом. Ваще пофиг. Главное в конце написать какое мы прекрасное комунити.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру