|
| 1.2, ыы (?), 21:24, 20/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –12 +/– | |
>если атакующий уже смог загрузить свой файл в каталог пользователя, имеющего возможность выполнить sudo, то атака уже может считаться успешно совершённой
странная логика у товарищей.
| | |
| 1.3, я (?), 21:44, 20/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Дополнения дают неограниченный доступ к компу жертвы. Sublime-text или Atom тащит дополнения в каждом из которых может быть зловред. А даже если сейчас нет, то произойдет то же, что и с Chrome - кто-то интегрирует зловред в обычный плагин и получит неограниченный доступ к компу.
| | |
| |
| |
| 3.58, Аноним (-), 20:01, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Штука в том, что почти все редакторы, используемые в программировании, так или иначе расчитаны на работу с плагинами и без них практически бесполезны.
| | |
| 3.63, IRASoldier (?), 15:55, 22/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Sublime Text - это редактор. "A sophisticated text editor for code, markup and prose".
| | |
|
| 2.46, Аноним (-), 14:37, 21/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Но в больших масштабах оно работать не будет, потому что расширения лежат в сторе, где их можно всегда проверить и откуда их можно удалить. А вот что делать с расширениями, которые подкладываются в userspace и выполняются редакторами без ведома пользователя - вот это не ясно.
| | |
|
| 1.4, я (?), 21:47, 20/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Разрабы популярных редакторов игнорируют проблемы пользователей. Там нет ни песочницы, ни проверки дополнений - ничего. Дескать открытый код решает все проблемы. Но как мы видели на примере Хрома, он ничего не решает.
| | |
| |
| 2.6, Аноним (-), 22:43, 20/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Там нет ни песочницы, ни проверки дополнений - ничего. Дескать открытый код решает все проблемы.
> Но как мы видели на примере Хрома, он ничего не решает.
Как мы видели на примере хрома, песочница и проверка дополнений и подавно ничего не решают.
| | |
| |
| 3.37, Аноним (-), 11:54, 21/03/2018 [^] [^^] [^^^] [ответить]
| –6 +/– |
Проблему решает только AppStore с тотальной премодерацией абсолютно всего. Это единственный путь, опенсорс уже давно доказал свою несостоятельность.
| | |
| |
| 4.54, Iaaa (ok), 17:49, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Лично я через апстор спокойно проводил сбор сетевой статистики.
Всего то надо было ее на неделю отключить, что бы проверяющий индус ничего не успел увидеть.
| | |
|
|
| 2.10, Аноним (-), 23:28, 20/03/2018 [^] [^^] [^^^] [ответить]
| +9 +/– |
Открытый код не решает проблемы отсутствия мозгов у пользователей.
| | |
| 2.12, Crazy Alex (ok), 23:33, 20/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Зато ниличие мозга проблемы вполне решает. Если вы, конечно, не джаваскриптер с лефтпадом, который тащит в рот всё подряд не глядя.
| | |
| |
| 3.38, Аноним (-), 11:58, 21/03/2018 [^] [^^] [^^^] [ответить]
| –5 +/– |
Просто ты со своей сишечкой устарел и у тебя бомбит от модных-молодежных хипстеров на js, за которыми будущее - а ты перед этим бессилен.
| | |
| |
| 4.39, Crazy Alex (ok), 12:07, 21/03/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
Расслабься, мне это первый раз сказали те, кто писал, кажется, на FoxPro. А потом - дельфишники, рельсовики... И этих переживу.
| | |
| |
| 5.50, _ (??), 16:05, 21/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>Расслабься, мне это первый раз сказали те, кто писал, кажется, на FoxPro.
>А потом - дельфишники, рельсовики... И этих переживу.
>Crazy Alex
Ай крассава! В форсунки! (С) :-)
| | |
| |
| 6.62, Аноним (-), 15:06, 22/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Так что все, ты проиграл эту эволюцию, проследуй за лисперами и кобольщиками.
Но пока не переписали еще и оставшуюся, совершенно незначительную часть прослойки между JS и пользователем (браузеры, графические стеки, дрова и ядра там всякие) на JS, старперы еще немного потрепыхаются.
| | |
|
|
|
|
|
| 1.8, Аноним (-), 23:06, 20/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– | |
обнаружена уязвимость в пайпе баша, при помощи которой можно выполнить абсолютно любой код. Демонстрация уязвимости:
echo "echo hacked" > exploit.txt
bash exploit.txt
| | |
| |
| |
| 3.20, ryoken (ok), 08:30, 21/03/2018 [^] [^^] [^^^] [ответить]
| +4 +/– |
 > sudo bash exploit.txt
> /FIXED
навеяло... "КАПИТАН Джек Воробей" :D
| | |
| 3.43, Аноним (-), 13:48, 21/03/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> sudo bash exploit.txt
$ sudo bash exploit.txt
[sudo] password for root: root
/FIXED
| | |
|
|
| 1.9, Аноним (-), 23:23, 20/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Так vim, например, с-под sudo (без -E опции) не подгружает пользовательские настройки и плагины. А зачем последние нужны под рутом я не представляю.
| | |
| |
| |
| 3.51, Аноним (-), 16:36, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> На бубунте подгружает.
Ты про vim под sudo (и зачем бы его так запускать?) или про sudoedit (который вовсе не под рутом редактор запускает)?
| | |
|
|
| 1.11, Аноним (-), 23:32, 20/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Исследователи говорят нам, мол, если вы поставите зловредный плагин, то вы в опасности. Спасибо, а то мы не знали.
| | |
| |
| 2.26, Andrey Mitrofanov (?), 09:32, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Исследователи говорят нам, мол, если вы поставите зловредный плагин, то вы в
> опасности. Спасибо, а то мы не знали.
Исследователи откровенно стебутся над пользователями [дистрибутивов] с открытым беспарольныс sudo на *.*
Уязвимость - в редакторе. Деньги - в бидоне. Смекаешь?
| | |
| |
| 3.53, Аноним (-), 17:16, 21/03/2018 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Исследователи откровенно стебутся над пользователями [дистрибутивов] с открытым беспарольныс sudo на *.*
Хороший стёб. Но я обычно стебусь ещё над пользователями sudo.
| | |
|
|
| 1.15, Аноним (-), 01:08, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> Для блокирования проблемы исследователи рекомендуют
не (мучать) мозг, а вместо суды использовать су.
/thread
| | |
| |
| 2.27, Andrey Mitrofanov (?), 09:37, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Для блокирования проблемы исследователи рекомендуют
> не (мучать) мозг, а вместо суды использовать су.
> /thread
Прааальна!
А sudoers с ALL=(ALL) NOPASSWD:ALL оставить тем, кто им _умеет пользоваться -- кракирам, "исследователям" безопасности и примкнувшим к ним дистрибутивам.
| | |
|
| 1.18, Тот_Самый_Анонимус (?), 07:00, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Плагинам не место в каталоге пользователя. Это как в винде программы у пользователей с пониженными правами программы могут устанавливаться в каталог пользователя, так и в линухе с плагинами. И то и другое — дыра в безопасности. Второе даже хуже: его не всегда запретишь средствами ОС.
| | |
| |
| 2.32, KonstantinB (ok), 11:05, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 В виме никто не мешает настроить runtimepath.
В емаксе никто не мешает настроить load-path.
| | |
|
| 1.21, John (??), 08:32, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Никогда не понимал одминов, которые разрешают sudo без пароля...
| | |
| |
| 2.23, Аноним (-), 09:27, 21/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
при чем здесь это?
команду sudo исполняет не редактор, а пользователь при запуске редактора. Даже при наличии пароля пользователь его введет, т.к. ему нужно что-либо отредактировать, и редактор запустится с root-правами.
| | |
|
| 1.29, Аноним (-), 10:03, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"Оценка влияния на безопасность плагинов к текстовым редакторам". А теперь тоже самое, но по-русски.
| | |
| |
| 2.31, Аноним (-), 10:36, 21/03/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
Наверное, следовало бы написать "Оценка влияния на безопасность текстовых редакторов плагинов к ним".
| | |
| 2.35, Andrey Mitrofanov (?), 11:36, 21/03/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> "Оценка влияния на безопасность плагинов к текстовым редакторам". А теперь тоже самое,
> но по-русски.
" бизапаснасть! шекели, шекели!! многа шекелей!!! а вот каму бизапаснасть71 "
| | |
|
| 1.30, Аноним (-), 10:33, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
Убунтологи, бойтесь, это, в первую очередь, касается вас! У вас же всё через sudo. Например, гентушники предпочитают su или, если на локальной консоли, то напрямую залогиниться рутом для выполнения админский действий.
| | |
| 1.34, Аноним (-), 11:33, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
а зачем вообще запускать эти редакторы из-под sudo? Если надо поправить какой-нибудь системный конфиг, то для этого есть nano.
| | |
| |
| 2.40, Crazy Alex (ok), 12:10, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
nano есть ровно для того, чтобы дожить до момента установки vim или хотя бы mc.
| | |
| 2.45, Аноним (-), 14:12, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Для этого есть sudoedit, вообще-то. Который запускает редактор из-под пользователя, а не из-под root.
| | |
|
| 1.44, Аноним (-), 14:06, 21/03/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
А зачем обязательно скрипты редакторов использовать? Может лучше сразу записать запуск трояна в .bashrc ?
Как вариант, троян форкается в background, ждёт запуска sudo и сам "переходит на следующий уровень" привелегий. Например, используя таймаут, пока не надо перевводить пароль при повторном запуске sudo.
| | |
| |
| 2.47, Аноним (-), 15:25, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Или можно сделать bash alias для sudo, чтоб вызывался свой sudo, который и какой нужно код запустит, и пароль заботливо сохранит, а может и сообщит его "куда следует".
| | |
| |
| 3.52, Аноним (-), 16:44, 21/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
Дык пацаны же сказали что троян надо обязательно в плагины к редактору вписывать
| | |
|
|
|
