Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО, opennews (ok), 05-Ноя-21, (0) [смотреть все] Шо, опять , Шарп (ok), 00:25 , 05-Ноя-21, (1) +13 // Не опять, а снова , Аноним (6), 01:17 , 05-Ноя-21, (6) +10 // А зачем так часто качают , tty0 (?), 03:14 , 05-Ноя-21, (8) +2 // в этом вся смакушка современной разработки на жыэс и тд, ET (?), 06:41 , 05-Ноя-21, (13) +11 почему только JS на всём, что делает в CI CD clean build проблема больше в дур, лютый жабби__ (?), 17:45 , 05-Ноя-21, (89) +1 Потому что дево-псята не парятся с настройкой билдов и для них не проблема выкач, OramahMaalhur (ok), 12:36 , 05-Ноя-21, (61) +3 Даже макака научилась использовать кэш пакетов одна строчка конфига А ты до си, Аноним (67), 13:34 , 05-Ноя-21, (67) –6 Какая Пойду пропишу, ананоша (?), 14:16 , 05-Ноя-21, (71) Стабильность - признак качества и зрелости платформы , Ag (ok), 00:45 , 06-Ноя-21, (102) Угу Никогда такого не было, вот вдруг опять Единственное, что радует - платформ, Dzen Python (ok), 13:05 , 05-Ноя-21, (63) –2 А не думали сделать наконец двухфакторную авторизацию в npm репозитории , Аноним (2), 00:41 , 05-Ноя-21, (2) +3 // Привет Гугл, и тебе хорошего дня Даешь уникальную идентификацию по IMEI, OpenEcho (?), 00:52 , 05-Ноя-21, (4) –2 // Зачем IMEI, если есть универсальная двухфакторная аутентификация U2F , Аноним (51), 12:06 , 05-Ноя-21, (51) +2 // Ну спросите у Гугла, согласен ли он с вами Он готов конечно поиграться с секъю, OpenEcho (?), 17:07 , 05-Ноя-21, (85) Не пользуюсь ничем таким у Гугла, для чего есть двухфакторная аутентификация По, Аноним (86), 17:21 , 05-Ноя-21, (86) Обычно сервисы поддерживающие двухфакторку просят указать номер телефона чтобы в, Kuromi (ok), 01:52 , 08-Ноя-21, (114) namecheap и так уже знает все про клиента, достаточно один раз засветить карту и, OpenEcho (?), 08:55 , 08-Ноя-21, (117) Идентификация И Спам Вот сейчас в одном магазине в котором порой отовариваюсь м, Kuromi (ok), 17:57 , 08-Ноя-21, (122) И здесь напрашивается старый как мир вопрос Что делать Все идет к тому, что т, OpenEcho (?), 20:05 , 08-Ноя-21, (123) А не пробовали какое-никакое ревью устраивать при публикации , Аноним (5), 01:15 , 05-Ноя-21, (5) // Ревью нужно делать не при публикации, а при использовании у себя, вы же не запус, Аноним (7), 02:16 , 05-Ноя-21, (7) +1 // Он пользуется npm, а значит да, запускает , tty0 (?), 03:15 , 05-Ноя-21, (9) +5 Ну как бы вся суть JavaScript в запускании левого кода из интернета Видимо, мно, Аноним (33), 11:04 , 05-Ноя-21, (33) +1 Ух ты, уважаю Впервые встречаю человека, который ядро линукса каждый раз ревьюв, Аноним (5), 11:30 , 05-Ноя-21, (38) +13 Да ещё и гугл капчу и паспортные данные, а вдрух , жорик (?), 08:08 , 05-Ноя-21, (18) –4 // Открой для себя FreeOTP от redhat Никаких SIM кард не нужно и тем болеене нужно, fghj (?), 14:41 , 05-Ноя-21, (75) +1 // мы считаем что нет никакой проблемы просто не прое ть свой пароль - если ты не , пох. (?), 18:02 , 05-Ноя-21, (90) –3 Это какой-то бред про сферического коня в вакууме Если вернутся в реальный мир,, Аноним (2), 20:38 , 05-Ноя-21, (95) +3 потому что разработчики полные дол е ысовершенно не надо Надо хакнуть дерьмол, пох. (?), 21:58 , 05-Ноя-21, (101) +1 как разработчик - не могу пройти мимо и не заметить дол е ы - одна точка лишня, Елпидифор Разумберг (?), 11:05 , 07-Ноя-21, (113) И ещё раз про аппаратные ключи GPG за копейки https habr com en post 507010 , Аноним (86), 21:35 , 05-Ноя-21, (99) спасибо, конечно, но мне неинтересно читать про страдания и подвиги кр c зиков, пох. (?), 21:50 , 05-Ноя-21, (100) А я спаял себе эту OpenPGP-карту Кстати, ты пользуешься XMPP Ты интересный, я б, Аноним (103), 00:54 , 06-Ноя-21, (103) gt оверквотинг удален Насчет генераторов с ПИН не скажу, а вот WebAuthn токены, Kuromi (ok), 01:59 , 08-Ноя-21, (115) Ну то есть опять одна херня Я и говорю - тут уже хошь не хошь, поверишь в загово, пох. (?), 11:02 , 08-Ноя-21, (118) Да, СМС нынче это серебрянная пулька на самом деле нет Мне сразу вспоминает, Kuromi (ok), 17:51 , 08-Ноя-21, (121) Привязка к версии, но не к подписанному верифицируемому хешу определённого пакет, Аноним (10), 03:16 , 05-Ноя-21, (10) +5 // Прекрасный совет, гениальный как юзеры опеннета Надо привязаться к подписанному , Урри (ok), 11:35 , 05-Ноя-21, (39) +3   // А теперь подумай Чем это хуже от привязки к версии Только защитит от подмены и, Аноним (10), 11:43 , 05-Ноя-21, (43)   // Я об этом и пишу - обновляешься, запускаешь, проверяешь что работает, даже автот, Урри (ok), 12:10 , 05-Ноя-21, (53)   Почему нельзя весь миллион существующих пакетов зафиксировать Вроде, все только, Аноним (10), 12:16 , 05-Ноя-21, (57)   Какое расхождение, ты о чем Автор сам майнер закодил или у автора акк угнали, ка, Урри (ok), 13:10 , 05-Ноя-21, (64) –1   Расхождение ожидаемых хэшей с имеющимися, про попытке установить всплывёт Если , Аноним (10), 13:25 , 05-Ноя-21, (66) –1   Всё правильно он говорит Фиксируемая версия А обновление и так прилетит от Dep, Аноним (67), 13:46 , 05-Ноя-21, (68)   А люди действительно пользуются пакетами для разборки аргументов командной строк, Аноним (11), 05:43 , 05-Ноя-21, (11) –3 // Так это еще по серьезке Классика npm провалов же leftpad, там весь пакет свод, Аноним (14), 06:41 , 05-Ноя-21, (14) +4 // Ааааа 8230 Ооокей 8230 аццкая сотона 8230 ну его нахер, не 8230 ну ты э, Аноним (11), 11:19 , 05-Ноя-21, (37) а прикинь тебе ктото миус поставил и прада ты кого то обидел сильно , СССР (?), 08:04 , 05-Ноя-21, (17) –2 // Дело не в обиде Он рассуждает как вредитель и нуб, таких людей с их ручным разб, Аноним (10), 08:58 , 05-Ноя-21, (21) +11 // Да, да, да, товарищ демагог, а качество Ваших библиотечных разборов, конечно, на, _hide_ (ok), 10:06 , 05-Ноя-21, (26) –4 Именно Это дорого, это излишне сложно, это подвержено ошибкам, это выглядит не , Аноним (10), 10:26 , 05-Ноя-21, (27) +5 А вот пакеты с бэкдорами и червями это конечно решение Умудрится написать коряв, Аноним (11), 10:50 , 05-Ноя-21, (28) –5 У пользователей тоже есть стандарты Кривые NIH-велосипеды им не отвечают , Аноним (10), 10:59 , 05-Ноя-21, (31) +2 меня мало волнует, является ли какая нибудь функция в программе NIH-велосипедом, макпыф (ok), 11:52 , 05-Ноя-21, (47) +1 Я не часто встречаю ситуацию зависимость ради зависимости Обычно эта зависимо, Аноним (10), 11:57 , 05-Ноя-21, (50) +1 Если вам нужен какой то сложный и серьезный функционал - ок Если надо пробелы с, макпыф (ok), 12:14 , 05-Ноя-21, (54) Столкнулись товарищи сдал проект и забыл с теми, кто пишут вещи работающие 20-, _hide_ (ok), 23:32 , 06-Ноя-21, (112) А у вас на работе нету стандарта, что программы должны не просто работать, а раб, Урри (ok), 11:42 , 05-Ноя-21, (42) +2 О да Тебе сложно массив разобрать Ты хоть hello world без библиотек, туторалов, Аноним (11), 10:54 , 05-Ноя-21, (29) –3 Ты либо теоретик, либо я не знаю чем это оправдать , Аноним (10), 10:57 , 05-Ноя-21, (30) +4 Давай ещё начнём пипками меряться тут Ты мне свой код покажи а я тебе свой ск, Аноним (11), 11:14 , 05-Ноя-21, (34) –2 https code woboq org userspace glibc posix getopt c htmlМоя длиннее, толще, на, Урри (ok), 12:14 , 05-Ноя-21, (55) ambig_set alloca n_options Хотелось бы уточнить ещё и глубину в байтах , n00by (ok), 14:04 , 05-Ноя-21, (69) когда количество стороннего кода больше чем собственного - как такую ситуацию об, Sw00p aka Jerom (?), 11:44 , 05-Ноя-21, (44) –1 Как нормальное состояние любого программного продукта , Урри (ok), 12:15 , 05-Ноя-21, (56) –1 проклинаю как пользователь тебя и таких как ты т к из за этого мне приходится с, макпыф (ok), 11:48 , 05-Ноя-21, (45) Понимаю, удобный и функциональный софт кому-то тоже не нравится, вам подавай спе, Аноним (10), 11:53 , 05-Ноя-21, (48) –1 Мне надо что софт хорошо делал то, для чего я его поставил , макпыф (ok), 11:54 , 05-Ноя-21, (49) +2 конечно, их же тысячегласс проверил вот особенно невменяемую gnu getopt , пох. (?), 18:05 , 05-Ноя-21, (91) –2 Нужно мчс звать у него пригорела 8230 сейчас будет холивару разводить, про вел, Аноним (11), 11:01 , 05-Ноя-21, (32) Функция getopt из unistd h стандартизирована, если не ошибаюсь, где-то в самом, Урри (ok), 11:39 , 05-Ноя-21, (40) +4 Зачем же тогда придумали boost program_options, gflags, cxxopts, тысячи их , Аноним (41), 11:41 , 05-Ноя-21, (41) +2 // У приплюснутых свой путь , Аноним (59), 12:18 , 05-Ноя-21, (59) +1 // Причем правильный Думай как плюснутый, делай как плюснутый, будь плюснутым , Урри (ok), 13:14 , 05-Ноя-21, (65) Это вам так кажется Для коммерческой разработки плюсы выбирают редко , Аноним (59), 14:09 , 05-Ноя-21, (70) –1 Толще не могли , Урри (ok), 14:18 , 05-Ноя-21, (72) +2 Отчего же, могу с ники суть те же лефтпадщики - на любой чих, например, файл п, Аноним (97), 20:45 , 05-Ноя-21, (97) –1 Фрагмент драйвера, удаляющий тело руткита code staticbool carantine_file const , n00by (ok), 08:09 , 06-Ноя-21, (106) getootlong тоже не просто так придумали, Roman (??), 16:14 , 05-Ноя-21, (83) –1 Это называется 171 стандарты 187 Но вам, с деревьев, не понять, вы выше это, Онаним (?), 00:49 , 10-Ноя-21, (128) Опять Без нарушений традицией Значит всё как обычно Радуюсь , kusb (?), 08:03 , 05-Ноя-21, (16) +2 Если подобное вытворяют любители, то на что тогда способны профессионалы 12930, Аноним (19), 08:36 , 05-Ноя-21, (19) +1 // Профессионалы порядочные люди, сами используют нпм, поэтому и не гадят, ананоша (?), 14:20 , 05-Ноя-21, (73) +2 Получил контроль на пакетом, но не смог опубликовать новую версию Я думаю, что , Аноним (22), 09:22 , 05-Ноя-21, (22) +1 никогда такого не было и вот опять, миллионы глаз чуть не ослепли от соринки хо, Аноним (-), 09:51 , 05-Ноя-21, (23) +1 // Будет Просто раст нафик пока не впал , FractaL (ok), 14:58 , 05-Ноя-21, (77) –1 Откуда такая уверенность , Аноноша (?), 17:40 , 05-Ноя-21, (88) Автор точно уверен что npm поддерживает опцию resolutions , Аноним (24), 10:03 , 05-Ноя-21, (24) // По первой ссылке человек там говорил только про yarn , Аноним (24), 10:05 , 05-Ноя-21, (25) mpv Risitas_hysterical_laugh_UHD8K_upscale_120FPS_3D_DolbyAtmos7 1_DBRip_loop mk, InuYasha (??), 11:14 , 05-Ноя-21, (35) // Даже здесь вас учить надо mpv --loop-file inf Risitas_hysterical_laugh_UHD8K_, Урри (ok), 12:18 , 05-Ноя-21, (58) +1 Он сейчас Петра смешит , шайтан (?), 14:59 , 06-Ноя-21, (107) 28 апреля 2021 года Хохотун скончался в Севилье на 65-м году жизни в результате , Аноним (51), 18:52 , 06-Ноя-21, (111) // Что не мешает ему оставаться нашим добрым мемом , InuYasha (??), 13:26 , 08-Ноя-21, (119) какие то странные хакеры - то исключение для стран СНГ делают, то криво пакеты с, макпыф (ok), 11:15 , 05-Ноя-21, (36) +1 // В первую очередь из-за геополитики Во-вторых, из-за законов В-третьих, некотор, Аноним (51), 12:10 , 05-Ноя-21, (52) +1 Уважаемые анонимы, а не подскажет кто такое вот интересное Есть ли в npm какой-т, Урри (ok), 11:48 , 05-Ноя-21, (46) +2 // Флажок на сервере раздающем пакеты должен стоять Если да то тогда зачем раздават, шайтан (?), 15:04 , 06-Ноя-21, (109) Да, есть Даже 2 Скомпроментирован и устарелВ данном случае версию пакета нахрен, Онаним (?), 00:41 , 10-Ноя-21, (126) Что не так с этими разработчиками, что они постоянно теряют контроль над своими , Аноним (76), 14:47 , 05-Ноя-21, (76) // интеллектуальная импотенция, однако, Alexey (??), 18:50 , 05-Ноя-21, (92) +1 Люди,сэр , шайтан (?), 15:01 , 06-Ноя-21, (108) только, аккаунтами, Онаним (?), 00:47 , 10-Ноя-21, (127) Это ккой такой rc У меня в репозитории есть rc rpm -qip rc Rc is a command , adolfus (ok), 15:58 , 05-Ноя-21, (82) –2 // s rpm npm , Аноним (98), 21:26 , 05-Ноя-21, (98) Тоже кривое , макпыф (ok), 17:27 , 05-Ноя-21, (87) Сто раз подумай, прежде чем пользовать нпм, Аноним12345 (?), 16:14 , 06-Ноя-21, (110) Поэтому я не устанавливаю обычно пакеты с pypi ну кроме гуглаговскового говна, , Аноним (116), 08:17 , 08-Ноя-21, (116) –1 То ли этим людям деньги важнее развития человечества, то ли они готовы откатить , Рмшъ (?), 16:22 , 08-Ноя-21, (120) // Они помогают понять недостатки npm Ну раз ты так веришь в людей, то в следующий, Аноноша (?), 04:18 , 09-Ноя-21, (124) npm, google о каком еще развитии человечества речь , Аноним (-), 15:14 , 09-Ноя-21, (125) 1,2,10,11,16,19,22,23,24,35,36,46,76,82,87,110,116,120

Сообщения

[Сортировка по времени | RSS]

	39. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	+3 +/–
	Сообщение от Урри (ok), 05-Ноя-21, 11:35
	Прекрасный совет, гениальный как юзеры опеннета. Надо привязаться к подписанному верифицируемому хешу версии с троянами и чтобы ни одно обновление безопасности или исправление ошибок ни в коем случае не прилетело.
	Ответить | Правка | Наверх | Cообщить модератору

	43. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	+/–
	Сообщение от Аноним (10), 05-Ноя-21, 11:43
	А теперь подумай. Чем это хуже от привязки к версии? Только защитит от подмены или левого пакета, это не хуже. Расхождение сразу привлечёт внимание опять же. Обновление чекнешь и поменяешь хэш, не сахарный.
	Ответить | Правка | Наверх | Cообщить модератору

	53. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	+/–
	Сообщение от Урри (ok), 05-Ноя-21, 12:10
	Я об этом и пишу - обновляешься, запускаешь, проверяешь что работает, даже автотесты пробегает, замораживаешь хеши. А через неделю срабатывает временной триггер, и твоя система начинает майнить. Трояна находят, оперативно исправляют (он в лефтпаде, который твой хелловорлд использует через 50 пакето-зависимостей). Весь мир тут же излечивается, а ты дальше майнишь, ибо ни сном ни ухом, что вот этот вот один из миллиона существующих пакетов у тебя таки используется. Прекрасный план, мистер Фикс. Так держать.
	Ответить | Правка | Наверх | Cообщить модератору

	57. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	+/–
	Сообщение от Аноним (10), 05-Ноя-21, 12:16
	Почему нельзя весь миллион существующих пакетов зафиксировать? Вроде, все только так и делают. Ну, те, кто не хочет майнеров себе пропускать, во всяком случае. А при первом расхождении всё обнаруживается.
	Ответить | Правка | Наверх | Cообщить модератору

	64. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	–1 +/–
	Сообщение от Урри (ok), 05-Ноя-21, 13:10
	Какое расхождение, ты о чем? Автор сам майнер закодил или у автора акк угнали, как в новости - в коде "if date > 1.1.2022 майним" . Никаких расхождений, код не менялся, все прекрасно. И майнер с тобою теперь навсегда. -- Пример, между прочим, не из головы. В несколько бородатее времена я сам так кодил (молод был, глуп, мне очень были нужны деньги - простите меня пожалуйста): апликуха под айос, чтобы пройти индусоревью, молча ждала две недели и только после этого времени (индусы обычно за неделю справлялись) начинала показывать рекламу.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	–1 +/–
	Сообщение от Аноним (10), 05-Ноя-21, 13:25
	Расхождение ожидаемых хэшей с имеющимися, про попытке установить всплывёт. Если удалили, тоже (стоят задаться вопросом конечно, куда дели).
	Ответить | Правка | Наверх | Cообщить модератору

	68. "В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внед..."	+/–
	Сообщение от Аноним (67), 05-Ноя-21, 13:46
	Всё правильно он говорит. Фиксируемая версия. А обновление и так прилетит от DependaBot и Snyk ботов, которые мониторят все уязвимости. Это на случай "в зафиксированной версии обнаружилась уязвимость". Или ты как эти уязвимости собираешься обнаруживать? По статьям на opennet?
	Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема