В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57108
Нет, это уязвимость в уязвимости. Иными словами, NPM - это уязвимость в чистом виде.
раз сумели выделить в чистом виде, значит пора опасность CVE выражать в mili/micro/nanoNPM
JavaScript и все что с ним связано - большая уязвимость современного мира.
Обезьяна с гранатой остается обезьяной с гранатой, а конкретная модель гранаты вовсе не означает что надо стоять рядом. JS виноват только тем что порог вхождения низкий, обезьян с гранатами простота бабаха привлекает.
Вот вам смешно, а нам приходится с этим работать.
А вы лучше сделайте.
Зачем ты работаешь с тем, что не приносит удовольствия? Ради денег? – Глупо.
Какие альтернативы?
Gemini, gopher.
Если Вы изначально работаете с проектом, которое на это дерьмо завязан, ангуляр, реакт и прочее говноподелия, то Вам остаётся только жёстко анально страдать!
А так не использовать это дерьмо и его производные говноподелия, использовать чистый JS и только там где он нужен а не для построения всего интерфейса!
> чистый JS и только там где он нуженСейчас очень мало таких вэбсайтов. Опенннет один из немногих где JS используется по делу, без сторонних библиотек, включая в код всего один небольшой файлик. Смузихлёбы заполонили интернет, они стягивают библиотеки, которые весят десятки мегабайт ради простых вещей, реализуемых десятком строчек кода на ванильном JS. Зато модно-молодёжно.
Это я знаю. из-за таких смузихлёбов и адептов гугл метериал-дизайна мне всё труднее и труднее находить работу в вебе, потомучто я принципиально не хочу работать с этим дерьмом и продолжаю делать вэб интерфейс по сторинке как на опеннете или вот https://dns.he.net отличном бесплатном DNS-севисе, и постепенно ухожу с вэба пробуя что-то другое.
Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к годам десяти даже самые тупые мальчики догоняю ют, что ссать против ветра — тупая затея. Но нет, не перевелись ещё богатыри на руси…
Раз вы подрались в анальное рабство и получаете удовольствие -это не значит, что другим в кайф
Ты можешь просто имитировать стоны и ахи.
Но подмахивать-то не забывай!Кайф на самом деле должен получать-то - рабовладелец.
Он его и получит. Причем независимо от твоего желания. Некоторые, впрочем, привыкают и даже удовольствие тоже получают.
Всё, что не нравится очередному шизу с опеннета — не нужно и рабство, обязательно анальное почему-то. Выйди ты уже из шкафа, легче жить будет.
> Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к
> годам десяти даже самые тупые мальчики догоняю ют, что ссать против
> ветра — тупая затея. Но нет, не перевелись ещё богатыри на
> руси…Труднее найти != Не могу найти.
Мир IT далеко не из одного вэба состоит.
И если Вам понравилось анальное рабство и Вы даже получать от него удовольствие стали - то я поздравляю Вас - наслаждайтесь!
Но это не делает Вас умным и не означает что все должны выбирать Ваш путь!
> Мир IT далеко не из одного вэба состоитДа, это так. Но ты упорно продолжаешь искать работу там, гже ангуляры с js. Поди пойми тебя, зачем ты в помойке копаешься в поисках пропитания. Мог бы, например, клауд настраивать калифорнийским стартапам. Никакого js, ангуляров и прочей ссанины. Для стартапа 200-300USD в час платить вообще не проблема, всё одно деньги не их, а инвесторов. Дольше 2-3 месяцев там делать нечего, настроил, научил и всё работает. Сама работа тоже не пыльная, большая часть кода написана, осталось только сложить из этого лего решение под их задачи. Получил бабки, попрощался, следующий окучил. После 3-4 таких стартапов у тебя кода будет на все случаи их примитивной жизни, сиди и копипасти одно и то же. Хочешь архитектурные паттерны обкатать — пожалуйста. Хочешь экспериментировать на чужом коде за чужие деньги — пожалуйста. Хочешь работать 2 часа в день и биллить за 8? На здоровье, никто проверить сколько ты реально работаешь не сможет, да и не будет. Пока ты на-гора выдаёшь хоть какой-то результат, за тобой будут бегать и уговаривать поработать. Но нет, тебе принципы и гугл чинят препоны в поисках работы.
Подкатили богатые "могу работать для удовольствия, а не денег".
А обязательно, чтобы было противопоставление?
Никогда не работал ради только денег. ЧЯДНТ?
да все так, красиво врешь.
А ты, полагаю, со свечкой стоял? ;)
Это ложная дихотомия. Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время? И сделать это проще простого. Для этого достаточно не работать за зарплату. Никогда не думал, почему контракторы и консультанты получают в разы — а порой и на порядки — больше зарплатного быдла? Быдлу рассказывают, что им — консультантам — приходится самостоятельно платить свои налоги, оплачивать медстраховку и отпуск. И скромно умалчивают, сколько реально это всё стоит. Но я тебе расскажу по секрету. Налогов надо платить столько же, сколько и любому работнику, тут с этим строго. Разница лишь в том, что у зарплатного быдла их вычитает сразу из зарплаты добрый бухгалтер (тоже на зарплате), а я для этого нанимаю за стольник злого бухгалтера-контрактора, которого хлебом не корми, только дай налогооблагаемую базу урезать. Медстраховку мне, как и любому гражданину, предоставляет провинция. Тут, конечно, сразу видны минусы — в неё не входят одна пара бесплатных очков, пять массажей и пять часов консультаций психолога (в год, разумеется). За всё это я плачу из своего кармана. Ну и отпуск, конечно, тоже только за свой счёт. Правда, отпуск у меня не три недели в год (и не больше двух недель подряд, так уж заведено в этой стране), а три месяца летом и по две недели после каждого контракта — отдохнуть, подвести итоги, порефлексировать, подумать, провести время с семьёй. Так что если Джон Сэлэри получает полтину в час и через силу кодит какую-то хрень, то я вынужден просто брать три сотни, заменять Джона скриптом на баше и потом ещё слушать эти «вы бы не хотели у нас поработать на постоянной основе? У нас бенефиты!» на дебрифинге. Одна радость от всего этого — можно не работать с тем, что не нравится и говорить «я не буду этого делать» без каких-либо негативных последствий.
> Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время?Снова подъехали пони, пукающие бабочками.
Ок, допустим, все стали работать в удовольствие.Есть ли люди, которым в удовольствие вывозить твой мусор и чистить говнопроводы?
А ведь без этого малоприятного труда "работающие в удовольствие" захлебнутся в собственных отходах.
И в чем проблема?
> И в чем проблема?Проблема в проблемах. Если бы не проблемы, то и проблема была бы не проблема. А так из-за проблем проблема.
> Вот вам смешно, а нам приходится с этим работать.Тебя фожысты к батарее наручниками приковали, запретив смену места под угрозой расстрела?
Почему запретив? В юрьев-то день- можно. И наручники отстегнут. Ключ - новому хозяину передадут.Проблема что по ту сторону бетонной стены - точно такая же по сути камера. Даже окошко точно так же на север, а не на восток, к примеру.
А так сменил место, да.
Сочувствую.
Погодите-погодите, у меня дежавю, или такое уже делали когда-то (несколько лет назад)?
Когда такое было?
> Когда такое было?Вот именно, никогда такого не было... и вот опять!
Чем больше людей использует инструмент, тем попсовее он. Npm как и гитхаб давно превратились в помойки.
Но в Гитхабе по моему меньше уязвимостей.
Они там есть, просто мы о них не знаем... Они лучше спрятаны...
Ага, только недавно опять эпичный cve был :)
Кажется, количество проблем в мире npm и js превзошло даже непревзойдённый php. Ну что ж, снимаю шляпу
Чет логики там немного, а уязвимостей пруд пруди.
А мне понравилось! Прикольно же!
Думаете уязвимость? Или кто надо для себя лазеечку оставил, в простонародье бэкдор...
npm куплен гитхабом, гитхаб куплен майкрософтом. А почему-то всё купленное или сотрудничающее с майкрософтом превращается в тыкву. Пакетные менеджеры уже себя полностью дискредетировали, ставить регулярные обновления (они же убирают RCE в блокноте, это же очень надо!) стало опасно. Надеюсь сообщество всё ближе и ближе подходит к пониманию необходимости сначала читать код библиотеки, а потом её пинить или встраивать в свой проект (если она на MIT - копипастить авторов, если она на GPL - кланяться и раскрывать свой код и вместо нормальной организации своего проекта хитрить как Qt или intellij idea, где вы им обязаны контрибьютить, если трогаете GPL, а они вашу работу продают аля вариант дуальной лицензии, если это zlib - переименовывать папку на *-modified, чтобы указать версию со своими изменениями, если же это CC0\Public Domain - просто радоваться жизни).
[колхозный фронтенд.ogg], извините.
Идея не нова. Помнится, когда компьютеры были большими, ходила байка, что недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".
> недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".Ну они и свиньи :)
Теперь можно подписать на рассылку GNOME )