https://www.opennet.me/openforum/vsluhforumID3/133757.html В корректирующих обновлениях платформы GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 и 3.9.15, предназначенной для развёртывания на собственном оборудовании обособленного окружения для совместной разработки на основе технологий GitHub, выявлена уязвимость (CVE-2024-4985), позволяющая получить доступ с правами администратора без прохождения аутентификации. Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, в которых включено шифрование сообщений от провайдеров идентификации ("encrypted assertions"). По умолчанию данный режим отключён, но преподносится как дополнительная возможность для усиления безопасности, активируемая в настройках "Settings/Authentication/Require encrypted assertions"...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61220<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#26 Sun, 26 May 2024 09:13:33 GMT &gt; Ни разу не видел, чтобы в работе использовали житхаб es. <br><br>Заметно, по тому как вы его называние, устоящийся акторим - GHE. А ES что то с Испанией было бы связано.<br>Администрирую несколько GHE и GitLab и GitLab инстансов. С GHE всегда сложности, т.к. он установлен официальным способом через образы для VM. А GitLab в Docker развернут, гораздо проще обновлять, бекапить и т.д.<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#25 Wed, 22 May 2024 18:04:34 GMT Надо по заповедям бородатого жиртреста делать:<br><br>Шли семидесятые годы, и Ричард Столлман начал замечать изменения в своем любимом заповеднике. Первое нашествие произошло, когда Официально Санкционированным Пользователям стали назначаться пароли, а все неавторизованные пользователи не допускались к системе. Как истинный хакер, РМС презирал пароли, и он гордился тем фактом, что компьютеры, которые он обслуживал, не имели никаких паролей. Но департамент компьютерной науки в МТИ (которым управляли другие люди, не имевшие отношения к лаборатории ИИ) решил установить на его машине систему безопасности.<br><br>Столлман поднял целую кампанию, чтобы отменить эту практику. Он призывал людей использовать пароль в виде пустой строки &#8212; &#171;возврат каретки&#187; вместо целого слова. Так что когда машина спрашивала у вас пароль, вам было достаточно нажать RETURN, и вы могли войти в систему. Столлман также сумел взломать код системы шифрации и сумел расшифровать файл, в котором лежали пароли. Он начал рассылать пользова https://www.opennet.me/openforum/vsluhforumID3/133757.html#24 Wed, 22 May 2024 16:46:49 GMT Спасибо, понятно где аноним доселе работал (точнее где никогда не работал).<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#23 Wed, 22 May 2024 14:50:29 GMT Неа. Просто вебня, она такая вебня, что надёжно не сделает никогда. Ну вот так дано в природе.<br><br>Причина в ценах и востребованности. В ущерб безопасности лабают продукты, т.к. тогда хомка приносит сам деньги, иногда даже неосознанно.<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#22 Wed, 22 May 2024 13:26:10 GMT &gt; Все это в умелых руках решает массу проблем, в основном организационных, но <br>&gt; и технических тоже. В руках неумелых никаких не решает и добавляет <br>&gt; оверхед на всех уровнях.<br><br>да что ж такое, не прошло и полдня, и опять чьи-то "неумелые" руки<br><br>Fluent Bit насчитывает более 10 миллиардов внедрений и применяется для обработки и сбора логов и метрик во многих компаниях и облачных платформах, например, среди пользователей отмечаются Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В течение марта было загружено 13 млн Docker-образов с Fluent Bit. По данным компании Tenable, выявившей уязвимости, многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime, и для обработки обращений к подобным API используется Fluent Bit.<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#21 Wed, 22 May 2024 13:23:50 GMT массой там даже и не пахнет, при том одно лечим, другое калечим, так еще и платим по барски за этот банкет<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#20 Tue, 21 May 2024 21:40:45 GMT Все это в умелых руках решает массу проблем, в основном организационных, но и технических тоже. В руках неумелых никаких не решает и добавляет оверхед на всех уровнях.<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#19 Tue, 21 May 2024 13:53:21 GMT Clouds - это надежно, scale on demand )))<br><br>SSO - это централизованный надежный способ аутенфикации )))<br><br>Docker - безопасность, изоляция и отличное управление ресурсами )))<br><br>Не не, никакого оверхеда и усложнения технического решения, все просто тяп-ляп и в продакшен )))<br> https://www.opennet.me/openforum/vsluhforumID3/133757.html#18 Tue, 21 May 2024 13:43:19 GMT Напомню, кличка первой собачки или фамилия по матери, тоже до сих пор для безопаски юзера используется...<br>