GitHub заблокировал SSH-ключи пользователей Git-клиентов, использующих для генерации ключей JavaScript-библиотеку keypair. Например, под блокировку попали ключи Git-клиента GitKraken. Уязвимость приводит к формированию предсказуемых RSA-ключей из-за ошибки, существенно снижающей качество энтропии при генерации случайной последовательности для ключей. Проблема устранена в выпусках keypair 1.0.4 и в GitKraken 8.0.1...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=55956
Почему github был заблокирован ssh?
Да вы шо, это жи JS нашъ любименькой, это вам не сишные дырени.
какой нахрен жс, раст и опеннет -- уан лав
Язык не фиксит ошибки в алгоритмах
а я думал до киви доведёт
Кракена заблочила годзилла. Какая прелесть.
главное что бы смузи был свеж и CI/CD настроен, остальное — пустое
Самое смешное, что смузихлёбы и девпопсы зарабатывают в разы больше гордых опеннетовских труе-сисадминов 🤣
их всех ждёт 9й круг ада
Самое грустное, что для вас показателем "успеха" является фаллометрия в заработке.
Хотя смотреть в чужой карман вообще не прилично. И до вас таких никогда не дойдет разница между работать и зарабатывать. Ибо толком не умеете ни в первое ни во второе.
> Самое грустное, что для вас показателем "успеха" является фаллометрия в заработке.
> Хотя смотреть в чужой карман вообще не прилично. И до вас таких
> никогда не дойдет разница между работать и зарабатывать. Ибо толком не
> умеете ни в первое ни во второе.Лол, а что ещё является мерилом успеха? Или, как обычно бывает в таких случаях, о ненужности деняк говорит тот, у кого их нет? Работаешь хорошо, держишь руку на пульсе IT - ты в тренде, ты при деньгах. Цепляешься за мёртвые технологии, ненавидишь новое и поливаешь грязью всех вокруг - ты аутсайдер, линуксоид, человек с задворок айтишного дурдома.
удивительно как вы тут линукс приплели в негативном контексте
> удивительно как вы тут линукс приплели в негативном контекстеПросто жизненный опыт. Девопсики не боготворят Linux и не поют дифирамбы Свободному Программному Обеспечению, а просто используют его, как инструмент для зарабатывания денег. Визги же про Философию летят как раз от маргиналов из среды малоимущих.
Хмм... В моем окружении - наборот, деферамбы СПО поют те, кто зарабатывает с его помощью сильно выше среднего.
>Девопсики не боготворят Linux и не поют дифирамбы Свободному Программному Обеспечению, а просто используют его, как инструмент для зарабатывания денег.Когда пользовать будет нечего, схлопнитесь и будете дрожать за корочки с барского стола корпораций.
Помяните мое слово. Видел таких.
>Просто жизненный опыт.
> Помяните мое слово. Видел таких.Хохотал в голос. Что вы видели? Вам же лет 15, судя по максимализму.
Вы мне льстите. Хохотун.
>Лол, а что ещё является мерилом успеха?Скромность.
>Цепляешься за мёртвые технологии, ненавидишь новое и поливаешь грязью всех вокруг - ты аутсайдер, линуксоид, человек с задворок айтишного дурдома.
Когда вы добьете пингвина, я посмотрю на чем вы будете прокачивать свой "успех".
>>Лол, а что ещё является мерилом успеха?
> Скромность.Благодарю, поржал.
Скромность, лояльность, патриотизм - крайне важные черты наемного работника или контрактора.
Пока "большие дяди" и "дерзкие парни" имеют смелость грести бабло, скромному остается посасывать свою скромность.
Вы так ничего и не поняли. Ну дык а куда...поржал же. А ржут известно кто. А известно кто в стойле да в плуге. Парадокс.
>>>Лол, а что ещё является мерилом успеха?
>> Скромность.
> Благодарю, поржал.
> Скромность, лояльность, патриотизм - крайне важные черты наемного работника или контрактора.
> Пока "большие дяди" и "дерзкие парни" имеют смелость грести бабло, скромному остается
> посасывать свою скромность.Нет-нет, пусть скромничают. Пусть скромно стоят вокруг огромного денежного пирога, бормоча про скромность, идеалы и свободку, пока мы вкупе с толпой веб-прогрммистов и девопсов без лишней скромности будем его кушац. Нам же больше достанется.
>Пусть скромно стоят вокруг огромного денежного пирога,
>пока мы вкупе с толпой веб-прогрммистов и девопсов без лишней скромности будем его кушац. Нам же больше достанется.Ты каких таких пирогов наелся, что так разжирел?
Давай ты что-нибудь действительно стоящее, зажигательное придумаешь?
Или для тебя доход пусть даже в 10к в месяц - это мрия твоего "нескромного" пирога?
Как же больно вам ребятушки падать придется. О реалии жизни. Ваши хрусталезные мячты о розовых понях разрушатся о реалии прагматичности бузинесса, на который вы сейчас так бодро эррегируете.
Да и вообще, всякий деятель проповедующий принцип: "а после нас хоть потоп" оканчивает свой путь печально и бесславно. Да.Кстате, а бемеве то в кредитец, али ипотекой перебился?)
> Как же больно вам ребятушки падать придетсяДальше не читал. Давайте там, занимайтесь вангованиями и воспоминаниями о будущем, а нам, успешным айтишникам, не мешайте, вам ещё сегодня ведро пересобирать.
Не читал, потому что "не в бровь, но в глаз", про кредитики то. Понимаю.
Мое ведро в порядке. Спасибо. А если надо, дело 15 минут.
> Лол, а что ещё является мерилом успеха?Успешность, очевидно.
Если что звать меня Пабло Эскобар и заработок мой сотни тысяч песо в наносекунду.
Это и есть мерило успеха. Если ты зарабатываешь копейки, а смузихлебы разъезжают на новеньких BMW...Значит это и есть реальная оценка твоего труда, оценка его нужности и значимости. Конечно, всё сложнее, но общий принцип такой.
У Вас бемеве - мерило "успеха"?
Мне Вас жаль.
> У Вас бемеве - мерило "успеха"?
> Мне Вас жаль.Предлагаю поиграть в игру "Найди в каментах неудачника без машины". Вы проиграли.
Господин на самом деле водит какой-нибудь "аурус" и неудачник в таком случае только ты.
Да какой я господин! Простой сельский житель. Могу и на уазике покататься и с доярками в преферанс! Проще, проще надо быть! Человека можно вывести из колхоза, а вот колхоз из человека...
Отсюда все это поклонение "вещам". Вещи приходят и уходят, люди остаются.
Я неудачник без машины. У меня вообще нет какого-либо движимого и недвижимого имущества. Вы выйграли!)
> имущества. Вы выйграли!)Выйграл войн у андройда.
>Выйграл войн у андройда.я на диэте ― и пью воду.
А нах она мне нужна, если у меня мотоцикл есть?
> Это и есть мерило успеха. Если ты зарабатываешь копейки, а смузихлебы разъезжают на новеньких BMW...для вас исполняется "Новая песня о жопе"!
> 14 560 просмотров
> 22 апр. 2k18 г.
> 2k18Имперскую Инквизицию, срочно. У нас тут очередной попаданец из M201.
Предлагаю татуировать им на лбу даты их рождения в православном формате)
Авось запомнят, как правильно.
>> 14 560 просмотров
>> 22 апр. 2k18 г.так автор то ли чайку с не той заваркой хлебнул, то ли бельишко не в ту прачечную отдал. Успел напоследок еще извиниться перед Кадыровым, но не помогло.
После чего волшебным образом еще и канал в ютубе и прочие социалочки самозаблокировались по жалобам неведомых правообладателей, архив mp3 с kroogi.ru исчез вместе с прежним сайтом, а восстановить уже было некому.
А это ремейк. Оригинал кажется 2014го года.
Весьма и весьма неплохо. Эдакий российский вариант "cancel culture". Одобрям-с.
> Одобрям-с.А потом такой "Товарищ Ста... многоуважаемый Рамзан Ахматович! Произошла чудовищная ошибка!"
Все правильно о них спели.
> И до вас таких никогда не дойдет разница между работать и зарабатывать.Работать -- значит делать то, что нужно другим. Может быть то, что нужно работодателю, может быть то, что нужно клиентам. Если ты делаешь что-то для себя -- то это не работа, а хобби: это то, что ты можешь делать или не делать, это то, что никак не влияет на общество, это твои личные заморочки.
А если ты работаешь на других, и они не платят тебе денег, то есть ты не зарабатываешь, значит твоя работа не нужна им. Если у них денег нет, платить тебе, то это значит, что их деятельность не оплачивается и, значит, бесполезна для общества (или, по-крайней мере, общество считает, что бесполезна и недостойна оплаты), и ты, своими неоплачиваемыми трудами, помогаешь людям быть бесполезными для общества. Это не обязательно плохо, но очень часто это именно так.
> Работать -- значит делать то, что нужно другим. Может быть то, чтоработать - от слова раб. Другим. Не тебе. Именно.
> нужно работодателю, может быть то, что нужно клиентам. Если ты делаешь
> что-то для себя -- то это не работа, а хобби: этоКрестьянин в Непале (высоко в горах, где пока еще не вся земля принадлежит латифундистам) немного удивлен. Он думал, его хобби - бомжей иностранных за три копейки в сарае ночевать (дело не в копейках ведь, а что иногда прикольные попадаются. Только блох потом в сарае хрен выведешь.) а эта пахота в поле - как-то не так называется.
> А если ты работаешь на других, и они не платят тебе денег,
> то есть ты не зарабатываешь, значит твоя работа не нужна им.необязательно. Возможно они просто уверены в надежности кандалов. Необязательно физических - куда ты, раб, сбежишь - тебя ж любой свободный может оприходовать любым способом.
> Если у них денег нет, платить тебе, то это значит, что
> их деятельность не оплачивается и, значит, бесполезна для общества (или, по-крайнейтоже необязательно. Общество считает что можно и не платить, и так ведь раб работает.
> Самое смешное, что смузихлёбы и девпопсы зарабатывают в разы больше гордых опеннетовских
> труе-сисадминов 🤣Очень в тему статейка
http://itpravda.com/2019/09/11/ua-devs-money-come-first/
>> Самое смешное, что смузихлёбы и девпопсы зарабатывают в разы больше гордых опеннетовских
>> труе-сисадминов 🤣
> Очень в тему статейка
> http://itpravda.com/2019/09/11/ua-devs-money-come-first/А каким боком тут шумеры? Мы про Россию говорим.
Не только, инфа +/- справедлива по всем странам СНГ.
> Не только, инфа +/- справедлива по всем странам СНГ.Нет. Давно уже пора заметить, что страны СНГ пошли по своим путям и "В России всё как на Украине" уже давны-давно не так.
> Не только, инфа +/- справедлива по всем странам СНГ.что, реально везде такой вот п-ц, что вы готовы в 9(не 8!) часовое офисное рабство в подвале, похер на свободный график и условия, тем более не надо интересных проектов, просто дайте денег?
А жить будете когда-нибудь, потом... только не будете, конечно. Живые убитые живут ровно пока приносят выгоду хозяевам. Потом они становятся просто убитыми.Или проблема все же в том что к@клы ускакали к хозяевам подобрее, благо был безвиз, а местные рабовладельцы остались с таким сбродом и скотьем, которое убьется за лишнюю гривну, потому что она на самом деле не лишняя, а единственная, и вариант только подаяния просить?
>> Самое смешное, что смузихлёбы и девпопсы зарабатывают в разы больше гордых опеннетовских
>> труе-сисадминов 🤣
> Очень в тему статейка
> http://itpravda.com/2019/09/11/ua-devs-money-come-first/В тему тем что не открывается, бесконечно редиректя на капчу? Да, очень в тему, у вас девляпсов все так и работает.
Типикал.
И правильно сделал. Неосиляторов даже ssh ключей надо вообще в ссылку. Уже совсем мозги пропили и используют опаскрипт для этого.
Нет, GitHub, я не буду использовать недоhttp или твой бастард-cli.
И правильно делаешь. Нормальные люди этот трэш не пользуют. Но и ключи опаскриптом не генерируют.
Критичность этого околонулевая.
Сгенерировать только один ссх только для одного репозитория, только для двух функций (получить/отправить), ессесно без пароля, лишь бы не тразаться с полноценным 2фа.
Потенциальный подбор моего на 97% пустого ссх для одного репозитория защищен жпж подписью и откатом в случае чего.
А как уязвимые ключи сдетектировали? Не исчерпывающей генерацией всех уязвимых ключей ли?
Недооценённый вопрос.
А вот это, правильный вопрос детектив. Ответа на него мы никогда не получим.
Они тупо заблокировали все ключи добавленные гиткракеном определённых версий и чтобы не опкекаться публично какие-то еще типа потенциальные.
> GitHub заблокировал SSH-ключиКто кем заблокирован? Кто на ком стоял?
>для генерации ключей JavaScript-библиотекуССЗБ!
На bitbucket RSA/DSA вообще загнобили, да и правильно сделали.
Только ECDSA! только хардкор!
Если почитать описание на https://nvd.nist.gov/vuln/detail/CVE-2021-41117 то сразу видно, что скриптовые языки не тянут
However, in a nodeJS execution environment, the `window` object is not defined, so it goes down a much less secure solution, also of which has a bug in it. It does look like the library tries to use node's CSPRNG when possible unfortunately, it looks like the `crypto` object is null because a variable was declared with the same name, and set to `null`. So the node CSPRNG path is never taken.
Это раз
А два, The double `String.fromCharCode` is almost certainly unintentional and the source of weak seeding
Проблема то не в том что функцию два раза вызвали, а в том, что string засунули на вход параметру byte и скриптовый езык радостно это скушал.
/**
* Puts a byte in this buffer.
*
* @param b the byte to put.
*/
util.ByteBuffer.prototype.putByte = function(b) {
this.data += String.fromCharCode(b);
};
В статически типизированных языках это решается типизацией. В динамически типизированных это решается покрытием тестами. Тут как видим нет ни того ни другого, отсюда и результат.
Это же так безопасно по сравнению с паролем — говорили они.
> Это же так безопасно по сравнению с паролем — говорили они.ну вот же ж - безопастно. Херак и твой доступ больше не доступ и твоя континьюс дизинтэгрейшн превратилась в тыкву. Иди разбирайся, в чем ты в очередной раз провинился перед шитхабом и как теперь вернуть доступы.
Ну или новую работу искать, в макдональдсе, вроде, были еще места. (войти не возьмут, волчий билет-с, "он уронил прод!")
> Hi, I'm Julian wave
> I'm a software engineer with a focus on Node.js, React, Deno and Electron.Кажется после описания все ясно, какие могут быть к нему вопросы?