|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от opennews (??) on 26-Мрт-16, 11:25 | ||
Инцидент (https://www.opennet.dev/opennews/art.shtml?num=44104) с нарушением работы многих известных проектов после удаления модуля из NPM-репозитория, привёл к обсуждению незащищённости NPM от атак, инициированных со стороны разработчиков модулей. В том числе раскрыты (http://blog.npmjs.org/post/141702881055/package-install-scri...) данные об незащищённости (https://www.kb.cert.org/vuls/id/319816) инфраструктуры NPM к атаке по | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 11:25 | ||
коммитим репо -> обновляемся -> проверяем что пришло | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
21. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +8 +/– | |
Сообщение от rshadow (ok) on 26-Мрт-16, 18:00 | ||
Тут все проще. "Дистрибутив" жидко обкакался. И пытается все свалить на разработчиков. | ||
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору |
40. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 27-Мрт-16, 19:40 | ||
Какой дистрибутив? Вернее дистрибутив чего? | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
4. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –3 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 12:23 | ||
Все правильно, проекту пора "взрослеть". | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
6. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +27 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 12:58 | ||
Что уж там..., проекту пора "умирать". | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
16. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +5 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 16:33 | ||
нпму в текущем виде действительно надо умереть как можно скорее, иначе ничего нового не родится | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
36. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +1 +/– | |
Сообщение от Аноним (??) on 27-Мрт-16, 14:06 | ||
На яваскрипте сложно писать большие проекты, поэтому вместо взрослоты - хипстота. И даже пример десятилетий успешной работы других пакетных манеджеров не помог. | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
7. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +1 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 13:40 | ||
>Использование семантического версионирования по умолчанию не привязывающего приложение к конкретным версиям модулей | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 13:48 | ||
У них там CouchDB без привилегий, можно заливать все что угодно и любых размеров. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
9. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +10 +/– | |
Сообщение от конь on 26-Мрт-16, 13:49 | ||
если бы не жил в пещере, знал бы что это, на данный момент, распространенная практика не только в js сообществе. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
10. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –1 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 14:23 | ||
Ну не знаю, у нас в Java мире везде надо версии указывать. Без них не работает. | ||
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору |
13. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +10 +/– | |
Сообщение от _ (??) on 26-Мрт-16, 14:49 | ||
мда.. в Java где всё идет через коммерческий mavencentral и где тебе с "непонятного" источника прилетают скомпилированные классы, - это не лучший пример для подражания в подобных ситуациях. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
20. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от mine (ok) on 26-Мрт-16, 17:35 | ||
> cargo в Rust, более совершенен, да там semver, на все пакеты приходят в исходниках на машину, все пакеты хостятся на гитхабе(публичный ревью). | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
22. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +3 +/– | |
Сообщение от _ (??) on 26-Мрт-16, 19:27 | ||
Я сильно не знаком с NPM, хоть и пользовался им, но непонятна ситуация с владельцами NPM, которые могут на свое усмотрение, где-то у себя поменять привязку пакета "foo" с оригинального на платный(с трояном, от сп.служб и т.д) и это до загрузки не проверить. | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
30. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 27-Мрт-16, 01:59 | ||
> cargo индекс, виден всем (на гитхабе) и человек может понять перед загрузкой, кто, когда и где стоит за таким-то пакетом перед загрузкой его через cargo! | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
37. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –1 +/– | |
Сообщение от Аноним (??) on 27-Мрт-16, 14:07 | ||
> Я сильно не знаком с NPM, хоть и пользовался им, | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
45. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от anonimous on 28-Мрт-16, 12:15 | ||
Т.е. владельцам NPM ты не доверяешь, а владельцам Гитхаба -- всем сердцем и душой? | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
47. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +3 +/– | |
Сообщение от anonimous on 28-Мрт-16, 12:31 | ||
> но непонятна ситуация с владельцами NPM | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
31. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от angra (ok) on 27-Мрт-16, 03:10 | ||
Любопытно, как при таком подходе решается ситуация конфликта версий. Вот некая программа требует десяток модулей конкретной версии, каждый из этих модулей тоже требует конкретных версий других модулей. И есть какой-нибудь очень часто используемый модуль, ну типа isarray или leftpad из предыдущей новости. И вот у тебя в программе есть пятьдесят модулей, каждый из которых привязан к разной версии некого isarray. Что происходит в таком случае? Вопрос хранения и загрузки с сервера решит какой-нибудь vcs, но что происходит в момент исполнения программы? В память загружается пятьдесят разных версий модуля? | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
48. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Очередной аноним on 29-Мрт-16, 08:48 | ||
Не знаю как в "голой" яве (раньше часто в саму jar-ку приложения сразу библиотеки нужных версий всовывали), а вот в Weblogic'е (наверное и в других серверах приложений тоже) есть старое банальное понятие "разделяемой библиотеки" (shared library). Такая библиотека имеет номер версии. А в приложениях (в дескрипторе развертывания), которые потом деплоятся на сервер приложений и используют эту библиотеку, ты указываешь номер требуемой версии, причем можешь указать "строго этот номер версии" или "начиная с этого номера и выше". На сервере приложений крутится несколько нужных версий одной и той же shared library. При деплое приложения сервер подсовывает нужную версию в зависимости от того что указано в дескрипторе развертывания этого приложения (ну или ошибку, если нет нужной версии) | ||
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору |
50. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Клыкастый (ok) on 31-Мрт-16, 14:54 | ||
это одна из причин по которой жабасофт считается (и является) убогим говном. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
11. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –3 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 14:42 | ||
Развитие QA, DevOps, и т.д. и переход из в JS-разработчики делают своё дело | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
14. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –1 +/– | |
Сообщение от Crazy Alex (ok) on 26-Мрт-16, 15:57 | ||
О да, прибивать гвоздями к минорной версии - лучше, конечно. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
24. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +1 +/– | |
Сообщение от Wladmis (ok) on 26-Мрт-16, 21:52 | ||
> О да, прибивать гвоздями к минорной версии - лучше, конечно. | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
29. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +1 +/– | |
Сообщение от Crazy Alex (ok) on 27-Мрт-16, 00:23 | ||
Я просто этот Java мир видел вблизи - там обычно именно миноры гвоздями и прибивают, хотя Maven очень гибок в это плане. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
12. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 14:49 | ||
О, ну неужели они всё-таки это заметили? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
15. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +6 +/– | |
Сообщение от Crazy Alex (ok) on 26-Мрт-16, 15:58 | ||
Ну вот обязательно надо было собрать все мыслимые грабли? На чужом примере учиться - никак? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
39. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +2 +/– | |
Сообщение от Michael Shigorin (ok) on 27-Мрт-16, 17:27 | ||
> Ну вот обязательно надо было собрать все мыслимые грабли? | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
19. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 16:41 | ||
Кто то говорил, что на js меньше ошибок на кол-во кода. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
27. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –1 +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 22:25 | ||
> Кто то говорил, что на js меньше ошибок на кол-во кода. | ||
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору |
25. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +2 +/– | |
Сообщение от kleem_head on 26-Мрт-16, 21:57 | ||
народ, хорош шлак изливать. все такие маркетологи, а кто код писать будет? ну хоть кто-то может вектор для исправления ситуации дать? а то пока все работали вопросов как-то ни кто не задавал, зато теперь реквиумы и оды у всех прут. противно. блин. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
28. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 26-Мрт-16, 23:03 | ||
проще некуда: запилить новый нпм с ссл, гитом, подписями и без шавок у руля. | ||
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору |
32. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | –1 +/– | |
Сообщение от Аноним (??) on 27-Мрт-16, 03:33 | ||
> ссл | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
34. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Наме on 27-Мрт-16, 10:04 | ||
Храните свои подписи в блокчейне и будет вам счастье. | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
38. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +1 +/– | |
Сообщение от Аноним (??) on 27-Мрт-16, 14:23 | ||
Счастья будет много. В биткоине более 30Гб уже. | ||
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору |
46. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +2 +/– | |
Сообщение от agent_007 (ok) on 28-Мрт-16, 12:23 | ||
> Кто будет проверять соответсвие подписи и личности автора? | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
44. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 28-Мрт-16, 10:38 | ||
> проще некуда: запилить новый нпм с ссл, гитом, подписями и без шавок у руля. | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
49. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 30-Мрт-16, 09:41 | ||
> ... на питоне... | ||
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору |
26. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +1 +/– | |
Сообщение от Вася (??) on 26-Мрт-16, 22:21 | ||
пора на http://jspm.io/ сваливать | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
43. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Аноним (??) on 28-Мрт-16, 08:16 | ||
> npm install systemjs | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
35. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от BlackRaven86 (ok) on 27-Мрт-16, 13:11 | ||
> Включить по умолчанию shrinkwrap для организации привязки проекта к конкретной версии модуля | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
41. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +/– | |
Сообщение от Anonimous on 27-Мрт-16, 22:01 | ||
Легко и просто: захерачиваешь node_modules в свн/гит и никаких тебе ужасов с npm install. Раз в несколько месяцев обновляешься, ну или когда нужно добавить новый модуль. И волосы твои мягкие и шелковистые. | ||
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору |
42. "Незащищённость NPM к атакам по внедрению вредоносных модулей..." | +2 +/– | |
Сообщение от Anonimous on 27-Мрт-16, 22:05 | ||
+ независишь от интернета/авторов, выпиливающих свои модули/политиков, блокирующих гитхаб | ||
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |