Разработчики репозитория Python-пакетов PyPI (Python Package Index) сообщили о выявлении проблемы с безопасностью в реализации функции "Organization Team", позволяющей сформировать команду из нескольких разработчиков, совместно работающих над проектом в PyPI. Суть выявленных проблем в том, что привилегии, делегированные пользователю как участнику "Organization Team", сохранялись после удаления пользователя из состава организации. Уязвимость в PyPI была устранена спустя 2 часа после сообщения о наличии проблемы. Проведённый аудит не выявил несанкционированных действий, связанных с использованием не отозванных прав доступа...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63086
А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.
а нечего работать в спортлото
Почему? Руководству все равно. Значит такие нормы на предприятии.
Ему безразлично, но лишь потому что в случае взлома крайним станет кто-нибудь из его подчиненых. Поэтому надо бежать из такого заведения, от греха подальше
У меня для тебя хреновые новости, но ты уже почти взрослый и тебе пора узнать правду: сбежать оттуда сможет снова только начальник. У раба цепь слишком короткая.
> Почему? Руководству все равно. Значит такие нормы на предприятии.1) Потому что работать на помойке это как минимум не уважать себя.
2) Какой начальник - такой будет и коллектив.
3) Крайним потом окажется вовсе не начальник и сидеть придется не ему.
А может он всё это соберется монетанезировать.
а логи куда пишутся?
логи используем вместо паролей
беги!
Надеюсь не гос? Если гос, сообщай в роскомнадзор, а сам меняй работу.
а зачем ему это? если бы хотел уже давно бы сменил он работу, а так он сидит в тепленьком скорее всего
> если бы хотел уже давно бы сменил он работувылечился бы от рака, слетал на марс...
открою тебе, юнош, печальную истину: мир не собирается потакать твоим хотелкам.
Хочешь жрать (сегодня, а не когда у пятерочки кончится срок годности) - иди работай там, куда берут.А не хочешь - можешь сидеть в холодном месте и сосать х`йца.
Ну ты даёшь - там вся команда за счёт этого кормится.
> А у нас даже пароли в логи пишутся, начальник в курсе и ему всё равно.А иначе пришлось бы стикер с паролем к монитору клеить. Начальник мудр.
Успели получить CVE-индентификатор? :)
конечно успели - эти торгаши цифирками продавали их оптом впрок.
Именно поэтому так важен труд ментейнеров дистрибутивов. Особенно Debian, который имеет репозиторий с копиями исходников. Полная воспроизводимость и контроль сборки. Полагаться на такие pypi и crates не стоит.
Одна беда: контроль у них "собралось-запустилось".
Вы буквально пересказали моё же сообщение, но умудрились выставить в негативном ключе. В pypi и crates вообще-то нет воспроизводимости. В crates так вообще сборок нет.
Так что вы пытались сказать?
Ровно то, что и сказал: не надо делать вид, будто бы непосильный труд майнтайнеров устраняет упомянутые в теме и прочие подобные возможные проблемы.
Непосильный труд майнтайнеров поддерживает горение низа твоей спины.
> среди отправляемых данных присутствовало поле с содержимым Cookie "cargo_session", в котором находился сессионный ключНу и зачем? Не, вот серьезно. Кому и при каких обстоятельствах такое в башку взбрендило? "Дай-ка буду в сентри сессию отправлять, потому что -- а почему бы и нет?"
Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию. И как это вообще согласовывается с политикой безопасности. При том что это бекенд где можно напрямую своё хранилище использовать, а не куча мобильных клиентов с которых нужно собирать логи. Да и при любой возможности нужно sentry.io блокировать на устройстве.
> Вот вообще не понимаю кто придумал отправлять логи в стороннюю организацию.все кто держал логи в собственной - активно ищут работу.
(потому что не логать все на свете девляпсам просто не приходит в голову. А бездонная хранилка бывает... но где-то вот там, в облачках. А в непотусторонних организациях каждый диск стоит денежку.)
в облаках логи хранить денежек тоже стоит не малых. Я как то в Datadog логирование настраивал, потом счёт не хилый за логи был у заказчика, но они сами так захотели.ИМХО держать свою систему сбора логов проще и дешевле.
Тот же Sentry разворачивается в self-hosted варианте на изи. Правда, то как это выглядит - срамота, сколько же они в этом Sentry накрутили дичи, благо развернуть можно одним Docker Compose конфигом или Helm чартом и не смотреть туда, чтобы не портить себе нервы.
Не, ну если задача "хранить события безопасности 25 лет" по требованию ИБэ - то, пожалуй, дешевле самому. А вот если с ними периодически работать приходится - да еще ни дай б-г в привязке к метрикам\трейсам, да с разделением по командам\средам - уже дискуссионно.Периодически конечно в голову приходит мысль, что "а может не надо логгировать каждый чих с двух сторон каждой ноздри (И на всякий случАй - других отверстий - вдруг корреляция при чихании обнаружится?!)" - но каждый, каждый с-ка раз заканчивается это дело тем, что "шит - хаппенс!", а данных для анализа-то и нет.
Если периодически с ними работать, то нужно определиться за какой период держать активные логи доступными для анализа. Как только период определен, остальные логи можно складывать на холодное или ледяное S3 хранилище в облаке, там тарифы не такие дорогие за хранение.
Кому надо нужно было незаметно дать доступ куда надо, вот и сделали. А то, что не нашли случаев использования, так это они так говорят, стороннего аудита не было (и не будет).
Возможно потому, что там не по одному куки выбирали для отправки в лог (т.е. выборочно), а сразу весь массив? Лень - не всегда двигатель прогресса.
То есть Python Package Index привязывал права к пользователю? Тогда как следовало к организации. Сколько ещё подобных гениев создают ПО и одаряют им окружающих?
Эти ответят: "Что подвезли из того и собираем."
Ээээ... если взять какой-нибудь group membership в AD - то там членство в группах опредяляется атрибутом member группы... Но в атрибутах пользователя есть _вычисляемый_ memberof, который "вычисляется" не на лету, а при изменении member в группе - и да, для выписки kerberos ticket используется именно memberof пользователя (С нюансами в виде вложенности, но).
И да, с неконсистентностью member != memberof сталкивался лично - из группы пользователя удалили, а в memberof атрибуте пользователя членство есть и в тикете группа есть и права, сталбыть, тоже есть.
Так вся эта концепция слабоконтролируемых репозиториев пакетов для программистов - очень ненадёжная. А люди привыкают, проекты обрастают избыточными зависимостями, привязкой к интернету. Всё это очень неустойчиво выглядит для серьёзного применения (в долгосрочной перспективе).Питон - это язык для быстрого прототипирования, но он настолько распространился благодаря гуглу, что его умудрились затащить даже туда куда не следовало бы.
Пока за жопу не укусят, ничего не измениться. Пока не ломанули крейты в тихую, с последующим захватом всех проектов, ничего и не изменится.
Кстати, после той истории с хз, изменилось что нибудь?
Вряд ли. Из-за экономии "Из Дев прямо в Прод". DevOps же.
Да фигня, мы из без ДевШлёпсов 25 лет почти сразу в прод пишем с минимальным тестированием и всё нормально так пашет. Прод рад быстрой реакции, а мы смелые парни, не то, что местные зассыхи!
Не хочется выглядеть "пляшущим на костях", но "Вас же предупреждали" )
Я второй раз за неделю сталкиваюсь с ситуацией, когда человек сначала заявляет, что не хочет плясать на костях, а потом демонстрирует поведение, которое он, судя по всему, считает "пляской на костях". Что происходит? Майндконтроль со стороны инопланетян, и вы делаете не то, что хотите делать сами, а то, что хотят инопланетяне?
>Отмечается, что доступ к серверу мониторинга Sentry имели только отдельные участники команд, обслуживающих инфраструктуру проекта и репозиторий crates.io, которые и без того имеют привилегированный доступ к рабочим серверам crates.io.А Мандат от Всевышнего на непогрешимость у них есть? )
Больше, есть привилегии над привилегиями и имперсоналити от лица Системы и Сервера. Были случае. Конкретные продукты упоминать не буду. Хотя, наверно, и так скроют сообщение.
Не исключен случай, когда в адресном пространстве процесса размещена библиотечка, которая способна вызвать обработчик "сброса этого дампа". Так прозрачно и регулярно.