Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Утечка токена для полного доступа к GitHub-репозиториям проекта Python"	+/–
Сообщение от opennews (?), 12-Июл-24, 10:10
Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен, предоставляющий доступ с правами администратора к репозиториям  Python, PyPI и Python Software Foundation на GitHub. Токен был найден в бинарном  файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=61531
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+12 +/–
Сообщение от randomize (?), 12-Июл-24, 10:10
Расскажите ему про .gitignore.
Ответить | Правка | Наверх | Cообщить модератору

	9. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (9), 12-Июл-24, 10:33
	И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш
	Ответить | Правка | Наверх | Cообщить модератору

	16. Скрыто модератором	+13 +/–
	Сообщение от Аноним (16), 12-Июл-24, 10:55
	чушь несете! какой gitignore! речь про docker-образ. мамкины программисты!
	Ответить | Правка | Наверх | Cообщить модератору

	34. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+9 +/–
	Сообщение от Xasd7 (?), 12-Июл-24, 12:16
	тока в Git токен не попал :-) а вот в бинарник попал — что нам напоминает правило: не нужно ВООБЩЕ в открытый доступ выкладывать то что скомпилировано на твоём лаптопе — выкладывай в паблик только то что скомпилировала общий сборочный конвеер  на сервере
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	51. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
	Сообщение от нах. (?), 12-Июл-24, 12:56
	Воот, теперь-то все как надо, теперь оно и в гит попадет. Потом конечно будет удалено, новым комитом.
	Ответить | Правка | Наверх | Cообщить модератору

	100. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+5 +/–
	Сообщение от Аноним (-), 12-Июл-24, 23:09
	> И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш В этой новости прекрасно все. Начиная от комита в гит левого мусора, которого там быть вообще не должно, через доступ к инфраструктуре от души, а вишенкой на торте - КТО это все организовал. Это оглущительный успех питон-фаундации, кадровой политики и пиара, супер-комбо все в 1.
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	114. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от mickvav (?), 13-Июл-24, 16:06
	Так токен же вроде в docker-образе нашли а не в гите, нет?
	Ответить | Правка | Наверх | Cообщить модератору

	134. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Бывалый Смузихлёб (ok), 16-Июл-24, 19:14
	> вишенкой на торте - КТО это все организовал ви таки имеете что-то против гомо-нигг после прочтения КоК'а !?
	Ответить | Правка | К родителю #100 | Наверх | Cообщить модератору

	104. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Илья (??), 13-Июл-24, 03:10
	Ты правда думаешь что питон-девелопер способен это понять?
	Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

	29. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+7 +/–
	Сообщение от Волк (?), 12-Июл-24, 11:49
	.dockerignore
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	92. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от анон (?), 12-Июл-24, 21:08
	Скорее про .dockerignore
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	101. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от hr (??), 12-Июл-24, 23:20
	на собесе расскажут
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

3. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+19 +/–
Сообщение от Аноним (3), 12-Июл-24, 10:12
> пост директора по инфраструктуре "смотрите, как я умею!"
Ответить | Правка | Наверх | Cообщить модератору

	36. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от Аноним (36), 12-Июл-24, 12:16
	Это... какой-то позор?
	Ответить | Правка | Наверх | Cообщить модератору

	58. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Вы забыли заполнить поле Name (?), 12-Июл-24, 14:29
	Позорище
	Ответить | Правка | Наверх | Cообщить модератору

5. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
Сообщение от Аноним (5), 12-Июл-24, 10:27
Смотрите как могу: > -B     : don't write .pyc files on import; also PYTHONDONTWRITEBYTECODE=x
Ответить | Правка | Наверх | Cообщить модератору

	26. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от нах. (?), 12-Июл-24, 11:22
	дрянная идея. Это контейнер который будет большинством обезьянок использоваться as-is. Вот то что байткод брался из хомяка горе-разработчика вместо компиляции в закрытом окружении докера - это конечно минус. Но ничуть бы не помогло от гения-директора обходящего защиту от роботов патамуштамагу. Он бы и руками не забыл добавить внутрь образа.
	Ответить | Правка | Наверх | Cообщить модератору

6. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
Сообщение от Аноним (6), 12-Июл-24, 10:28
> не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ В пакетном менеджере Nix этой проблемы нет: перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты. Любопытно, но так никто и не догнал Nix ни в этом, ни во всех остальных отношениях. Хотя Nix из далекого 2004.
Ответить | Правка | Наверх | Cообщить модератору

	13. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от mimocrocodile (?), 12-Июл-24, 10:47
	> перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты ты не поверишь, но в докере тоже сборщик не видит игнорируемые файлы
	Ответить | Правка | Наверх | Cообщить модератору

	22. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
	Сообщение от Аноним (6), 12-Июл-24, 11:15
	Видит. Другое дело, что у докера свой собственный .dockerignore, который конечно же никто не будет синхронизировать с .gitignore. Отсюда имеем, что имеем ("it's what it's").
	Ответить | Правка | Наверх | Cообщить модератору

	52. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (52), 12-Июл-24, 12:59
	А что его синхронизировать, если git поддерживает симлинки?
	Ответить | Правка | Наверх | Cообщить модератору

	111. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от 9392012938к8282 (?), 13-Июл-24, 09:16
	Docker не поддерживает dockerignore в подпапках. У gitignore больше синтаксиса (но можно ограничиться подмножеством обоих).
	Ответить | Правка | Наверх | Cообщить модератору

	14. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от Соль земли (?), 12-Июл-24, 10:48
	Люди не готовы к будущему.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	103. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (103), 13-Июл-24, 02:54
	Да во всех дистрах сто лет уже собирают пакеты (и, соответственно, ПО) в clean chroot. Причем, там chroot на стероидах. А тут опять какой-то стартап на армейской коленке освоил технологии "дидов" и выдаёт это за инновацию. Linux namespaces (bubblewrap, systemd-nspawn или что-нибудь ещё), хотя бы, к своей псевдоизоляции на симлинках прикрутитите, как у других, а потом выпендривайтесь, никсоё^Hводы. А то любая программа может прочитать и вызвать по абсолютному пути /nix/store/blablabla всё, что пожелает.
	Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

	107. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от morphe (?), 13-Июл-24, 04:38
	Там ровно это и имеется, при сборке пакета он не может обращаться к чему-либо кроме своих зависимостей Исключение - интернет, но в этом случае должен быть известен хеш полученного пакета, т.е чтобы curl вызвать нужно указать какой хеш будет у скачанного файла.
	Ответить | Правка | Наверх | Cообщить модератору

	118. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	–1 +/–
	Сообщение от Аноним (118), 14-Июл-24, 22:03
	> Там ровно это и имеется Там самый обычный, только костыльный, chroot без изоляции. > какой хеш find /nix -name \*curl
	Ответить | Правка | Наверх | Cообщить модератору

	119. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от morphe (?), 14-Июл-24, 23:22
	> Там самый обычный, только костыльный, chroot без изоляции. Да что ты такое несёшь Там и userns, и netns, и mountns, и seccomp, и монтируются в песочницу только зависимости, и доступа в песочницы не имеет никто кроме рута и nix демона. Доступ в интернет доступен только для сборки тех пакетов, для которых прописан конечный хеш, скачиваемый файл = пакет который для сборки дёргает curl, чтобы скачать файл нужно заранее прописать хеш файла который будет скачан.
	Ответить | Правка | Наверх | Cообщить модератору

7. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
Сообщение от Аноним (7), 12-Июл-24, 10:30
Анализ показывает что всем пофиг на эти токены и дыры типа выхода за границы буфера. Это только маленьких детей пугать.
Ответить | Правка | Наверх | Cообщить модератору

11. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
Сообщение от Соль земли (?), 12-Июл-24, 10:46
А зачем ".pyc" файлы в гит добавлять? 0_0
Ответить | Правка | Наверх | Cообщить модератору

	18. Скрыто модератором	+9 +/–
	Сообщение от Аноним (16), 12-Июл-24, 10:59
	ещё один! вы что-ли там совсем читать разучились? в какой гит? > Исследователи из компании JFrog обнаружили в составе Docker-образа "cabotage-app" токен ... по буквам "обнаружили в составе Docker-образа"!
	Ответить | Правка | Наверх | Cообщить модератору

	65. Скрыто модератором	+2 +/–
	Сообщение от Соль земли (?), 12-Июл-24, 15:04
	А докер образ создаётся CI/CD при выполнении пуша.
	Ответить | Правка | Наверх | Cообщить модератору

	112. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от Tron is Whistling (?), 13-Июл-24, 09:43
	> А зачем ".pyc" файлы в гит добавлять? 0_0 Перевод с питона на русский.
	Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
Сообщение от Аноним (12), 12-Июл-24, 10:46
> По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре. Жёваный стыд.
Ответить | Правка | Наверх | Cообщить модератору

	20. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+6 +/–
	Сообщение от нах. (?), 12-Июл-24, 11:13
	"а вы точно разработчик? Скажите что-нибудь на разработческом!" "- дайте мне токен с полным доступом ко ВСЕМУ!"
	Ответить | Правка | Наверх | Cообщить модератору

	53. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от anonymplusplus (?), 12-Июл-24, 13:25
	> "а вы точно разработчик? Скажите что-нибудь на разработческом!" дайте рута на прод
	Ответить | Правка | Наверх | Cообщить модератору

	59. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от Вы забыли заполнить поле Name (?), 12-Июл-24, 14:31
	Переписка из чатика python software foundation
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

	61. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от OpenEcho (?), 12-Июл-24, 14:42
	> "а вы точно разработчик? Скажите что-нибудь на разработческом!" "- дайте мне токен с полным доступом ко ВСЕМУ!" Эт только уровня принципалов, все что ниже, проще на "разработческом" - "Равиндра, игеде здесь у вас кинопка NEXT-NEXT... ?"
	Ответить | Правка | К родителю #20 | Наверх | Cообщить модератору

17. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+4 +/–
Сообщение от Tron is Whistling (?), 12-Июл-24, 10:56
- Docker-образ с токеном Девляпс-ляпс-ляпс.
Ответить | Правка | Наверх | Cообщить модератору

	19. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 11:12
	и один ключ от всех дверей - даже не под ковриком, а просто в замке всегда торчит. ну зато нигры-норкоманы очень важны для человечества. Про фрипластелин что-то не вижу только. Недоработочка.
	Ответить | Правка | Наверх | Cообщить модератору

	33. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+4 +/–
	Сообщение от Аноним (3), 12-Июл-24, 12:10
	Всё на месте https://durbin.ee/
	Ответить | Правка | Наверх | Cообщить модератору

	43. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 12:48
	> Всё на месте https://durbin.ee/ а, и точно, всьо. Этого - точно в директора!
	Ответить | Правка | Наверх | Cообщить модератору

21. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+5 +/–
Сообщение от Аноним (21), 12-Июл-24, 11:14
"и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ" Специалисты которых мы заслужили! Так победим! xD
Ответить | Правка | Наверх | Cообщить модератору

	24. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+4 +/–
	Сообщение от нах. (?), 12-Июл-24, 11:19
	не специалисты а цельные директора по инфраструктуре. Т.е. тот самый человек, который должен был первым йопнуть кулаком по столу со словами "какой на... общий ключ от всех дверей?! Вы что тут - совсем ухи поели?! Быстро накодить проверку чтоб такие ключи вообще сразу блокировались при попытке их создать."
	Ответить | Правка | Наверх | Cообщить модератору

	38. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от Аноним (38), 12-Июл-24, 12:21
	> не специалисты а цельные директора по инфраструктуре. > Т.е. тот самый человек где Вы видали вменямых топтунов?
	Ответить | Правка | Наверх | Cообщить модератору

	79. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (79), 12-Июл-24, 16:54
	ван Россум ушёл в Microsoft, вот результат
	Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

	84. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 18:46
	ну блин, у чувака - пенсия, дача, рыбалка... С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно что Опоссум от них сбежал нафиг.
	Ответить | Правка | Наверх | Cообщить модератору

	96. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (-), 12-Июл-24, 22:45
	> С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно > что Опоссум от них сбежал нафиг. Э нет! Напоссал и сбежал? Так не пойдет, так что - вот - брыкающегося и хрипящего его приволокли назад, объяснив что для него ад - уже начался: это гуано он будет разгребать вплоть до смерти или безумия, whichever comes 1st.
	Ответить | Правка | Наверх | Cообщить модератору

	95. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (-), 12-Июл-24, 22:43
	> Специалисты которых мы заслужили! Так победим! xD Извините, им лениво заморачиваться с приземленными вещами типа обработки ошибок или подчистки за собой в байткоде - или хотя-бы настройки .gitignore, чтоли, как это нормальные разработчики делают.
	Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

25. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
Сообщение от Аноним (25), 12-Июл-24, 11:19
В большой проект требуется директор по инфраструктуре. Требования к кандидату: - Уверенное знание Python - Опыт работы с контейнерами - Желание развиваться (будет плюсом)
Ответить | Правка | Наверх | Cообщить модератору

	27. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 11:25
	А квота для minorities у вас есть?!
	Ответить | Правка | Наверх | Cообщить модератору

	70. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (52), 12-Июл-24, 15:37
	Они и так проходят по квоте, у них один из ведущих разработчиков не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше на Boeing Defence Australia, о чём гордо упоминает в своём резюме.
	Ответить | Правка | Наверх | Cообщить модератору

	85. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от нах. (?), 12-Июл-24, 18:47
	> Они и так проходят по квоте, у них один из ведущих разработчиков > не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело > на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше > на Boeing Defence Australia, о чём гордо упоминает в своём резюме. а потом - е6анулось... а мы удивляемся, чего у них один токен от всех замков. Жги, Г-ди!
	Ответить | Правка | Наверх | Cообщить модератору

	32. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от Аноним (32), 12-Июл-24, 12:07
	Требования к гендеру?
	Ответить | Правка | К родителю #25 | Наверх | Cообщить модератору

28. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
Сообщение от n00by (ok), 12-Июл-24, 11:31
> разработчик не учёл, что упоминание токена прокэшировалось > в предкомпилированном файле с байткодом, который затем > попал в docker-образ. Как оно могло прокешироваться? Изменил исходник, значит и содержимое кеша должно измениться при запуске? Или он не проверял (не запускал)? Не проверял, потому что не изменял исходник вручную, а откатил коммит?
Ответить | Правка | Наверх | Cообщить модератору

	30. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от нах. (?), 12-Июл-24, 11:49
	может даже и запускал - в уже собранном докер-контейнере. А в образе спокойно лежал и пах старый бинарник. Что образ при сборке не компилился - ну на фоне существования "токена-от-ВСЕГО" - право же ж, такая мелочь. Некогда, некогда ждать пока он скомпилируется, девляп-ляп-ляп-ляп и в продакшн!
	Ответить | Правка | Наверх | Cообщить модератору

	80. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от n00by (ok), 12-Июл-24, 16:58
	Токен это нормально же. Во-первых, ныне 2к24. Во-вторых, это не os.system("sudo curl"), или как там оно делается на пихоне, "прокешировался". Печалит, что ни в 29a, ни в BHC уже не написать по этому поводу.
	Ответить | Правка | Наверх | Cообщить модератору

	41. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от Карлос Сношайтилис (ok), 12-Июл-24, 12:25
	Запуск не вызывает ребилд контейнера. Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на билд-сервере?
	Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

	49. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 12:54
	вообще-то должен бы был - но текущего контейнера. А образ где был (в дыркер хапе) там и лежит, всем на радость. > Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на > билд-сервере? ну это ж ах...еть удобно отлаживать, да?
	Ответить | Правка | Наверх | Cообщить модератору

	56. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
	Сообщение от Карлос Сношайтилис (ok), 12-Июл-24, 13:52
	Отлаживать удобно локально, а продовая сборка должна выполняться автоматически и не на машине разраба.
	Ответить | Правка | Наверх | Cообщить модератору

	78. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от n00by (ok), 12-Июл-24, 16:51
	Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно, а кеш не когерентен и исполняется чёрти че?
	Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

	86. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 18:50
	> Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей > или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно, > а кеш не когерентен и исполняется чёрти че? ему не надо исполняться. Надо просто кому-то неленивому посмотреть что там понакэшировалось. Такой нашелся. К сожалению, не сделал forced push пустого места с приветом blm и фрипластелинам с последующим gс, придется ждать следующего.
	Ответить | Правка | Наверх | Cообщить модератору

	89. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от n00by (ok), 12-Июл-24, 20:08
	>> Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей >> или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно, >> а кеш не когерентен и исполняется чёрти че? > ему не надо исполняться. Если ему не надо исполняться, зачем он тогда вообще нужен?) Об этом кто-то вообще подумал?)) > Надо просто кому-то неленивому посмотреть что там понакэшировалось. > Такой нашелся. Наверное, дело было примерно так: - Коллега, давайте таки поищем где-нибудь новый xz-троян! - Не думаю, коллега, что кто-то будет ходить по проторенным дорожкам! - Что же нам тогда делать? - А давайте поищем в самом неожиданном месте! - Гениальная идея! Предлагаю посмотреть .pyc файл! - Во, точно! нашёл! Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но бесполезный для них фейл. Это конспирология! ;)
	Ответить | Правка | Наверх | Cообщить модератору

	117. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 14-Июл-24, 20:30
	> Если ему не надо исполняться, зачем он тогда вообще нужен? это кэш, блжд. Оставшийся от предыдущего запуска. > - А давайте поищем в самом неожиданном месте! место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом типа файла и случайно залез в бинарники (или не налажал и не случайно, а просто имел время и вдохновение - машина железная, пусть греп потрудится). А оно там возьми и найдись! > Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но > бесполезный для них фейл. атака на supply chain чуть ли не всей цивилизации пакости - и вдруг - бесполезная?
	Ответить | Правка | Наверх | Cообщить модератору

	132. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от n00by (ok), 16-Июл-24, 05:51
	>> Если ему не надо исполняться, зачем он тогда вообще нужен? > это кэш, блжд. Оставшийся от предыдущего запуска. Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически. >> - А давайте поищем в самом неожиданном месте! > место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token > и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом > типа файла и случайно залез в бинарники (или не налажал и > не случайно, а просто имел время и вдохновение - машина железная, > пусть греп потрудится). А оно там возьми и найдись! Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется. :) А лажали те, кто оптимизировал поиск, исключая неподходящие типы. >> Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но >> бесполезный для них фейл. > атака на supply chain чуть ли не всей цивилизации пакости - и > вдруг - бесполезная? По сравнению с остальными, про которые не написали в новостях.)
	Ответить | Правка | Наверх | Cообщить модератору

	133. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 16-Июл-24, 08:23
	> Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически. потому что COPY allthishit.tar / а в нем целиком хомяк или вообще вся виртуалочка разработчика-директора, потому что таков путь. Причем если после этого в том же докерфайле зачем-то еще запустить скопированное - оно кэш  перегенерит, но в нижнем слое оригинал-то останется на память. > Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется. ну дыркер примерно так и работает, но оно в staging копируется, насколько я понимаю - без явного ADD или COPY его содержимое в образ не попадет ни при каких условиях.
	Ответить | Правка | Наверх | Cообщить модератору

31. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
Сообщение от Аноним (32), 12-Июл-24, 12:03
Пароли ненадёжно, говорили они. Нужно по ключам, токенам. Главная проблема паролей - записывание их на бумажки и создание намеренно мастер-паролей. А вот это вот, по недосмотру оказывается в коде, в данных.
Ответить | Правка | Наверх | Cообщить модератору

	48. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от нах. (?), 12-Июл-24, 12:52
	что значит "по недосмотру"? Оно и может быть только в коде или данных в этом коде, в том и принципиальное отличие от пароля, который должен бы быть только в голове, ну или хотя бы вот, на листочке приклеенном к монитору, как у меня.
	Ответить | Правка | Наверх | Cообщить модератору

	62. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от OpenEcho (?), 12-Июл-24, 14:49
	> Нужно по ключам, токенам. Да токены по большому счету только защита от паролей класса "маша", "12345678", т.к. народ неизлечим. Тоже самое что и с app-passwords от мелософта и гугли
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	66. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Соль земли (?), 12-Июл-24, 15:07
	А пароли по недосмотру оказываются в ps aux.
	Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

	87. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от нах. (?), 12-Июл-24, 18:52
	> А пароли по недосмотру оказываются в ps aux. там и токен окажется, не вижу никакой разницы.Тут вон уже насоветовали совать его в environment (лучше сразу в докерфайл - надежно, на века)
	Ответить | Правка | Наверх | Cообщить модератору

	121. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от aname (?), 15-Июл-24, 12:30
	> лучше сразу в докерфайл В каком- то смысле, тебя услышали
	Ответить | Правка | Наверх | Cообщить модератору

	126. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 15-Июл-24, 20:47
	>> лучше сразу в докерфайл > В каком- то смысле, тебя услышали да, но можно же было сделать - КРОСИВО! (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)
	Ответить | Правка | Наверх | Cообщить модератору

	131. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от aname (?), 15-Июл-24, 21:08
	>>> лучше сразу в докерфайл >> В каком- то смысле, тебя услышали > да, но можно же было сделать - КРОСИВО! > (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца) Может скоро и такое узреем
	Ответить | Правка | Наверх | Cообщить модератору

39. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	–1 +/–
Сообщение от Аноним (39), 12-Июл-24, 12:21
>Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом. Какого хрена вообще переменные окружения сохраняются в файл с прокешированным байткодом?
Ответить | Правка | Наверх | Cообщить модератору

	42. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от Карлос Сношайтилис (ok), 12-Июл-24, 12:28
	В новости шесть параграфов. Четвёртый - код, который отвечает на твой вопрос. Ты смог прочитать только три параграфа? Или сдался сразу после картинки?
	Ответить | Правка | Наверх | Cообщить модератору

	122. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от aname (?), 15-Июл-24, 12:30
	После заголовка
	Ответить | Правка | Наверх | Cообщить модератору

40. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
Сообщение от 111 (??), 12-Июл-24, 12:24
Что-то я не понял. Можно же указывать время жизни токена? Указал время жизни в месяц — и всё! Какие проблемы?
Ответить | Правка | Наверх | Cообщить модератору

	45. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
	Сообщение от нах. (?), 12-Июл-24, 12:50
	Как какие - через месяц же сломается все, вот какие!
	Ответить | Правка | Наверх | Cообщить модератору

	74. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от 111 (??), 12-Июл-24, 16:11
	что сломается?
	Ответить | Правка | Наверх | Cообщить модератору

	102. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Ахз (?), 13-Июл-24, 00:51
	всё, что не ясно ?
	Ответить | Правка | Наверх | Cообщить модератору

	120. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от 111 (??), 15-Июл-24, 09:11
	> всё, что не ясно ? У меня ничего не ломается. Всё работает.
	Ответить | Правка | Наверх | Cообщить модератору

50. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+6 +/–
Сообщение от Аноним (52), 12-Июл-24, 12:56
>обнаружили в составе Docker-образа "cabotage-app" Имели в виду sabotage, но клавишей промахнулись.
Ответить | Правка | Наверх | Cообщить модератору

54. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
Сообщение от Аноним (52), 12-Июл-24, 13:26
Виновник - саботажник, который должен быть с позором уволен. >Токен предоставлял доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa 1. Почему вообще такой токен был сгенерирован? Зачем этому токену доступ к пушу кода? > в процессе разработки инструментария cabotage-app5 на своей локальной системе столкнулся с ограничениями интенсивности доступа к API GitHub при выполнении функции автоматизированной загрузки файлов из GitHub, и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. 2. Виновник якобы тестировал свой недокод на особо важно проде особо важной организации с особо важными репозиториями. 3. Питоньи библиотеки для работы с GitHub API подхватывают токен автоматически из переменных окружения. Это сделано потому. что GitHub Actions ставит временный per-pipeline токен в переменную окружения, и он нужен почти всегда. Об этом знает каждый, кто работал с GitHub API и GitHub Actions из питона. Для того, чтобы предоставить токен, не нужно его хардкодить! Для предотвращения ситуации нужно изменить модель токенов. 1. Одно разрешение - один токен. 2. В начале каждого токена должно быть в человекочитаемом виде захардкожено, какое разрешение он предоставляет. Предложение: 4 ASCII-символа на тип, потом вертикальная черта, потом сам токен. 3. либы получают не один токен, а ворох токенов. 4. Либы должны парсить начало токена и для каждый операции использовать нужный токен из набора 5. при генерации токена с вогрошом разрешений ... гитхаб должен отдавать конкатенацию индивидуальнох токенов, разделённых разделителями. Должно быть разрешено отправлять эту конкатенацию в качестве токена, бэкенд разделит и разберётся, какой из токенов подходит. Предложение - для конкатенации использовать двоеточие в качестве разделителя. При этом отправка таких токенов на бэкенд deprecated с самого начала, с жёсткой датой, когда это перестанет быть допустимо. 6. либы тоже должны уметь разделять контакенацию на ворох токенов, только для них это не deprecated, а штатный режим работы. 7. либы должны предоставлять API для сбора и разбора колбасы их токенов. 8. должен предоставляться CLI-инструмент для сбора и разбора колбасы их токенов. 9. Старые токены становятся deprecated, и очень вскоре после создания нового механизма инвалидируются. При этом переход на временные сардельки не требует изменений со стороны софта - только перегенерации токенов. А теперь как это помешает засунуть весь ворох. Ответ - никак. От высокопоставленного саботажника не защитит ничего в принципе. Зато честному долбоящеру, которому до ужаса лень генерить новый токен, будет меньше стимулов засовывать универсальный высокопривелигированный токен (который теперь будет колбасой) в свой код, легче его разрезать инструментом и засунуть только нужный подтокен.
Ответить | Правка | Наверх | Cообщить модератору

	75. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 12-Июл-24, 16:17
	> Виновник - саботажник, который должен быть с позором уволен. не саботажник, а директор. Сам кого хочешь уволит! > 1. Почему вообще такой токен был сгенерирован? Зачем этому токену доступ к это вопрос который директору задавать нельзя. > 3. Питоньи библиотеки для работы с GitHub API подхватывают токен автоматически из > переменных окружения. Это сделано потому. что GitHub Actions ставит временный per-pipeline они в дыркер автоматически не передаются. А документацию директору читать некогда. > Для предотвращения ситуации нужно изменить модель токенов. тебя не назначат директором, не волнуйся так.
	Ответить | Правка | Наверх | Cообщить модератору

55. Скрыто модератором	+2 +/–
Сообщение от Аноним (55), 12-Июл-24, 13:47
Python - всё? Новость сделала мой день.
Ответить | Правка | Наверх | Cообщить модератору

57. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
Сообщение от Аноним (57), 12-Июл-24, 13:55
вы понимаете что произошло, питон полностью скомпрометирован, его теперь только в помойку.
Ответить | Правка | Наверх | Cообщить модератору

	63. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от OpenEcho (?), 12-Июл-24, 14:51
	И сколько тогда реальных программистов останется?
	Ответить | Правка | Наверх | Cообщить модератору

	67. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
	Сообщение от Аноним (67), 12-Июл-24, 15:16
	А какая связь? Столько же и останется, сколько было, реальных-то.
	Ответить | Правка | Наверх | Cообщить модератору

	72. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от OpenEcho (?), 12-Июл-24, 15:50
	> А какая связь? Столько же и останется, сколько было, реальных-то. :))) 10-0
	Ответить | Правка | Наверх | Cообщить модератору

	76. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от нах. (?), 12-Июл-24, 16:18
	> А какая связь? Столько же и останется, сколько было, реальных-то. ну, а кодить тогда кто будет?! Реальные - заняты. Кто пиццей торгует, кто чем. Самые ленивые - в нвидии, драйвер для линукса пилют.
	Ответить | Правка | К родителю #67 | Наверх | Cообщить модератору

	81. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (79), 12-Июл-24, 17:04
	>его теперь только в помойку соображающие люди это давно поняли, поэтому 70% корпорат. приложений - на Java
	Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

	108. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (108), 13-Июл-24, 04:41
	java разработчики точно такие же питонисты, даже ещё в большем неадеквате. Вот пример https://en.wikipedia.org/wiki/Log4Shell
	Ответить | Правка | Наверх | Cообщить модератору

	123. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от aname (?), 15-Июл-24, 12:33
	Там тоже нашли токен от всех реп?
	Ответить | Правка | Наверх | Cообщить модератору

	125. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (108), 15-Июл-24, 17:22
	Чукча не читатель? Там токен от всего прода
	Ответить | Правка | Наверх | Cообщить модератору

	127. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 15-Июл-24, 20:49
	> Чукча не читатель? Там токен от всего прода только у дура4ков которые логают нефильтрованный юзеринпут.
	Ответить | Правка | Наверх | Cообщить модератору

60. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+5 +/–
Сообщение от Вы забыли заполнить поле Name (?), 12-Июл-24, 14:33
Чему вы не рады? Каждый мог поправить питон как надо. Вы упустили свой шанс, вот и беситесь.
Ответить | Правка | Наверх | Cообщить модератору

64. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
Сообщение от Аноним (67), 12-Июл-24, 14:58
> удалён 11 июня 2024 года И зачем? Как теперь получать "доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa"?
Ответить | Правка | Наверх | Cообщить модератору

68. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+2 +/–
Сообщение от penetrator (?), 12-Июл-24, 15:19
> упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ docker упрощает деплоймент, ога )) очердной костыль и точка отказа
Ответить | Правка | Наверх | Cообщить модератору

69. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+3 +/–
Сообщение от crypt (ok), 12-Июл-24, 15:35
> Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа а жаль. типичный современный айти. разработчики, которые не знают, как на низком уровне работает их язык, дыркер... вот нашелся бы какой хакер на них.
Ответить | Правка | Наверх | Cообщить модератору

	128. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 15-Июл-24, 20:50
	>> Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа > а жаль. типичный современный айти. разработчики, которые не знают, как на низком дык. они и провели аудит активностей. ничего не аудитится, потому что аудитлог стерт. Все хорошо и просто прекрасно. > уровне работает их язык, дыркер... вот нашелся бы какой хакер на > них. главное чтоб нашедшиеся не передрались
	Ответить | Правка | Наверх | Cообщить модератору

71. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
Сообщение от Аноним (71), 12-Июл-24, 15:47
>Python, PyPI, Python Software Foundation Попытался представить себе последствия если бы токен нашли blackhat. Индустрию долбануло бы. На сей раз пронесло. Зато теперь плохие ребята знают еще одно место где надо искать.
Ответить | Правка | Наверх | Cообщить модератору

	73. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+4 +/–
	Сообщение от Аноним (73), 12-Июл-24, 16:06
	>На сей раз пронесло. С чего ты решил, что пронесло? Как-то не очень верится в честное слово этих товарищей после такого эпичного обсера своих штанов. Кто же в этом признается, может они сейчас чтобы не наводить панику по тихому делают аудит?! Если все же пронесло - промолчат, а если нет - запасается попкорном.
	Ответить | Правка | Наверх | Cообщить модератору

	129. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 15-Июл-24, 20:51
	>>На сей раз пронесло. > С чего ты решил, что пронесло? да, я вот тоже хорошо информированный оптимист. > в этом признается, может они сейчас чтобы не наводить панику по > тихому делают аудит?! Если все же пронесло - промолчат, а если Как будто они - умеют?! Тебя б так пронесло, подумал Мюллер.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от Аноним (79), 12-Июл-24, 16:50
	то ли ещё будет ...
	Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

	82. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
	Сообщение от n00by (ok), 12-Июл-24, 17:12
	> На сей раз пронесло. Тебя бы так пронесло, подумал Борман (ц)
	Ответить | Правка | К родителю #71 | Наверх | Cообщить модератору

93. Скрыто модератором	+/–
Сообщение от Аноним (-), 12-Июл-24, 22:40
> Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" > с прокэшированным скомпилированным байткодом. Да куда питонистам байткод изучать? У них там полет мысли, высокие концепции, не до этого им. Вот прототипов бы скорей-быстрей! > занимает в организации Python Software > Foundation пост директора по инфраструктуре. Какой ЯП такая и инфраструктура с директорами. > Токен предоставлял доступ с правами администратора ко всем репозиториям > и организациям проекта Все правильно сделал. А потом питонисты удивляются что их считают, как бы это сказать, не гроссмейстерами, чтоли.
Ответить | Правка | Наверх | Cообщить модератору

105. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	–2 +/–
Сообщение от Mim (ok), 13-Июл-24, 03:25
Я просто оставлю это здесь. https://mastodon.social/@EWDurbin/110531653383028239 > python, infra, cloud, etc. got a smol project you'd like to get whipped? contractin@durbin.ee
Ответить | Правка | Наверх | Cообщить модератору

106. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+1 +/–
Сообщение от Аноним (108), 13-Июл-24, 04:37
>  Автор кода пояснил, что в процессе разработки инструментария cabotage-app5 Вот, сам признался что занимался саботажем, все бы так
Ответить | Правка | Наверх | Cообщить модератору

110. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
Сообщение от Ыеуз0 (?), 13-Июл-24, 07:20
Я думал, что такая нацеленность на результат ещё не везде со стороны молодых, да ранних (в основном молодых, как мне кажется). Ан нет. Условное "дайте мне рута, разбираться некогда, надо работать в локере на питоне и джанге" процветает уже везде.
Ответить | Правка | Наверх | Cообщить модератору

	115. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от нах. (?), 13-Июл-24, 20:50
	это эджизм. Давайте тебя заканселим!
	Ответить | Правка | Наверх | Cообщить модератору

	124. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
	Сообщение от aname (?), 15-Июл-24, 12:34
	А вы токен для этого предъявите
	Ответить | Правка | Наверх | Cообщить модератору

113. "Утечка токена для полного доступа к GitHub-репозиториям прое..."	+/–
Сообщение от Аноним (113), 13-Июл-24, 14:25
И ни слова извинений и посыпания головы пеплом. Ваще пофиг. Главное в конце написать какое мы прекрасное комунити.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема