Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Уязвимости в Node.js и libuv, opennews (ok), 16-Фев-24, (0) [смотреть все] Эта платформа такая же серверная , как Java или Python Да, так сложилось, что , vvm13 (ok), 00:08 , 17-Фев-24, (24) –4 // Эксперды уже не понимают что такое хромиум, V8 и электрон, Аноним (25), 01:06 , 17-Фев-24, (25) +5 Вам пора на переобучение переподготовку , мяя (?), 01:39 , 17-Фев-24, (26) +4 // А в чем он не прав А вот к экспертам вопросы Зачем шуметь без аргументов, Аноним (27), 02:07 , 17-Фев-24, (27) –2 // У него каша в голове и не приведённый в порядок поток сознания Он пытается сказа, мяя (?), 21:45 , 18-Фев-24, (58) Не только Ещё исполбзуют как запускалку сборщика Webpack, Vite js , когда соби, Golangdev (?), 05:19 , 17-Фев-24, (33) +4 Да, что-то действительно есть И JavaFX можно не качать , Golangdev (?), 05:23 , 17-Фев-24, (34) Нода сама по себе весьма удобна как очень гибкая запускалка разных скриптов почт, Бывалый Смузихлёб (??), 13:04 , 17-Фев-24, (41) +1 // Twised с 2002 года существует , Пряник (?), 17:09 , 19-Фев-24, (59) Вот тебе бабушка и джаваскрипт , Вы забыли заполнить поле Name (?), 03:38 , 17-Фев-24, (28) –2 кто специалист, откуда у nodejs elevated privileges возьмутся обычный процесс п, Роман (??), 05:07 , 17-Фев-24, (32)   // Хакер в столовой , Аноним (38), 13:01 , 17-Фев-24, (38)   а как вот ты думаешь - у программ на единственноверных сях - откуда привиллегии, похъ (?), 13:28 , 17-Фев-24, (43) –1   // нода в 99 случаев я видел что на ноде пишут, скажем так, скрипты общего назнач, Роман (??), 06:37 , 18-Фев-24, (47)   // нет, это твой личный способ костылепердолинга В большинстве случаев совершенно н, похъ (?), 09:14 , 18-Фев-24, (50)   Сбавьте тон и тыканье, выглядит так себе Вы тут что-то проецируете, рзверните м, Роман (??), 10:19 , 18-Фев-24, (52)   Спасибо за новость Почистил от хлама pkg autoremove удалила Node js из системы, iZEN (ok), 08:52 , 17-Фев-24, (35) –1 // выколол себе глазыньки чтоб греха не видать Молодец, наш кружок скопцов одобряэ, похъ (?), 13:01 , 17-Фев-24, (39) Устанавливать ноду чтобы удалять нодуПохоже, у любителей бздей есть какая-то оче, Бывалый Смузихлёб (??), 13:22 , 17-Фев-24, (42) // Так ведь это build dependencies собирать пакеты из портов, да Редкий линуксо, iZEN (ok), 13:38 , 17-Фев-24, (44) // даром греть воздух а потом ныть что buld deps ужастные и небезопастные ПОСЛЕ то, похъ (?), 14:37 , 17-Фев-24, (45) Ну, тру-линуксоиды надеются на дядю-дистрибутора Вот у него всё классно получае, iZEN (ok), 13:14 , 18-Фев-24, (54) Ну как будто ты не надеешься и каждый мэйкфайл сам написал, а не от такого же дя, похъ (?), 17:45 , 18-Фев-24, (56) +1 Сам придумал 8212 сам объяснил Порт ноды к тому времени уже будет другой, iZEN (ok), 20:35 , 18-Фев-24, (57) А если целевая поменяет - то, вот чудеса-то - ноду можно было бы не пересобирать, похъ (?), 17:30 , 19-Фев-24, (62) А чего её греть node устанавливается пакетом из локального репозитория, если во, iZEN (ok), 14:54 , 20-Фев-24, (63) Уязвимости в Node.js и libuv, Пряник (?), 17:11 , 19-Фев-24, (60) полагаю поэтому они и выбирают FreeBSD, совпадает с их наклонностью или даже нак, Роман (??), 06:43 , 18-Фев-24, (48) +1 // ну да, ну да - разделение на STABLE CURRENT RELENG - это ведь не за двадцать лет, похъ (?), 08:50 , 18-Фев-24, (49) Грусть в том что так и клиенты не заплатят, вроде не бездельники и могли бы жить, Роман (??), 10:09 , 18-Фев-24, (51) не могли бы - или надо было сразу выбирать что угодно но не платформу с открытым, похъ (?), 13:22 , 18-Фев-24, (55) Да, в районе раздела Фряхи на Реддите, в том срезе сообщества, при таких вводных, Роман (??), 14:13 , 23-Фев-24, (64) - маска обрабатывается как последний элемент путиМда, вот тут сразу понимаеш, Tron is Whistling (?), 10:38 , 18-Фев-24, (53) Новость скорее про libuv На nodejs пофиг Особенно, когда Deno и Bun есть , Пряник (?), 17:14 , 19-Фев-24, (61) –1 24,28,32,35,53,61

Сообщения

[Сортировка по времени | RSS]

32. "Уязвимости в Node.js и libuv"	+/–
Сообщение от Роман (??), 17-Фев-24, 05:07
кто специалист, откуда у nodejs elevated privileges возьмутся? обычный процесс под обычным юзером > On Linux, Node.js ignores certain environment variables if those may have been set by an unprivileged user while the process is running with elevated privileges with the only exception of CAP_NET_BIND_SERVICE. Due to a bug in the implementation of this exception, Node.js incorrectly applies this exception even when certain other capabilities have been set. This allows unprivileged users to inject code that inherits the process's elevated privileges.
Ответить | Правка | Наверх | Cообщить модератору

	38. "Уязвимости в Node.js и libuv"	+/–
	Сообщение от Аноним (38), 17-Фев-24, 13:01
	Хакер в столовой....
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Уязвимости в Node.js и libuv"	–1 +/–
	Сообщение от похъ (?), 17-Фев-24, 13:28
	а как вот ты думаешь - у программ на единственноверных сях  - откуда привиллегии берутся? Вот с нодой - все то же самое. Это просто еще один нескучный язык программирования.
	Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

	47. "Уязвимости в Node.js и libuv"	+/–
	Сообщение от Роман (??), 18-Фев-24, 06:37
	нода в 99% случаев (я видел что на ноде пишут, скажем так, скрипты общего назначения, а не веб сервисы) сидит в докере с его port mappings, либо работает как вебсервис [без нужды в биндингах на порты ниже 1024] за прокси, еще и желательно с набором плюшек вида SystemCallFilter=@system-service SystemCallErrorNumber=EPERM LockPersonality=yes NoNewPrivileges=yes PrivateTmp=yes ProtectProc=invisible и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу.
	Ответить | Правка | Наверх | Cообщить модератору

	50. "Уязвимости в Node.js и libuv"	+/–
	Сообщение от похъ (?), 18-Фев-24, 09:14
	> нода в 99% случаев (я видел что на ноде пишут, скажем так, нет, это твой личный способ костылепердолинга. В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете в swarm и в результате в докере у вас мини-операционная система, с костыльными заменами планировщику и иниту, которая чаще всего даже правильно останавливаться по docker stop не обучена) И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким способом, и чаще всего никто не потрудится специально для тебя писать их на другом нескучном языке когда уже есть проект на ноде. > и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу. причем тут твоя любовь к пердолингу я не пойму? И что бы тебе и bin/ls не запускать так же, от него вреда может внезапно оказаться куда больше.
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Уязвимости в Node.js и libuv"	+/–
	Сообщение от Роман (??), 18-Фев-24, 10:19
	>> нода в 99% случаев (я видел что на ноде пишут, скажем так, > нет, это твой личный способ костылепердолинга. Сбавьте тон и тыканье, выглядит так себе. > В большинстве случаев совершенно ненужный и вредный (потому что вы не умеете > в swarm и в результате в докере у вас мини-операционная система, > с костыльными заменами планировщику и иниту, которая чаще всего даже правильно > останавливаться по docker stop не обучена) Вы тут что-то проецируете, рзверните мысль внятно. > И внезапно даже вебсервисам нужны фоновые процессы по крону или еще каким > способом, и чаще всего никто не потрудится специально для тебя писать > их на другом нескучном языке когда уже есть проект на ноде. Скрипты общего назначения, тут вы уловили верно, кроме момента про "ради меня". >> и т.д. сверху. Добавляются еще ReadOnlyPaths, ReadWritePaths по вкусу. > причем тут твоя любовь к пердолингу я не пойму? > И что бы тебе и bin/ls не запускать так же, от него > вреда может внезапно оказаться куда больше. Не уверен что вы сейчас все ещё про запуск сервисов, а не о чем то своём.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема