forum.opennet.ru - "В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub" (76)

"В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub"	+/–
Сообщение от opennews (??), 06-Сен-25, 10:03
Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=63831
Ответить \| Правка \| Cообщить модератору

Оглавление

Как новорится, ССЗБ Нечего в проприетарном не селфхост облаке хранить критичные, Аноним (4), 10:18 , 06-Сен-25, (4) –7

Дядя Петя, ты дундук с Что мешает взломать твое не проприетарное селфхостед об, Аноним (-), 10:30 , 06-Сен-25, (7) +8

А что, на self hosted запрещается использовать git daemon , Аноним (26), 14:33 , 06-Сен-25, (26)
Отсутствие неподконтрольного тебе обработчика, КО (?), 15:30 , 06-Сен-25, (31) –1
Если команда небольшая удобнее просто использовать Fossil вместо папок GitHub вс, ffirefox (?), 16:52 , 06-Сен-25, (38)

Угу, отрвился хлебом - пеки сам, Анон666 (?), 12:21 , 06-Сен-25, (22) +3

Никогда такого не было и вот опять , Андрей (??), 10:25 , 06-Сен-25, (6)

Ага Если учетку мейнтенера сломают, то могут сделать плохие вещи Кто бы мог поду, Аноним (-), 10:33 , 06-Сен-25, (8) +7

Gitlab это скорее клон github Нормальную конкуренцию может составить radicle xyz, Аноним (32), 15:52 , 06-Сен-25, (32) –2

Это ты про п2п штуку для нетакусиков Нормальные люди такой дичью не страдают Ты , Аноним (-), 15:58 , 06-Сен-25, (34) –2
Что у вас с логикой Конкуренцию продукту А может составить продукт Б, который л, Анон666 (?), 17:55 , 06-Сен-25, (48)

Системы непрерывной интеграции троянов всё заинтегрировали нормально , Tron is Whistling (?), 10:33 , 06-Сен-25, (9) +2

Ваши предложения Передевать код на дискетках как диды Кричать вася не трогай фа, Аноним (-), 10:38 , 06-Сен-25, (11) +1

да лучше на дискетах, сто процентов безопасно, 27730 (?), 10:43 , 06-Сен-25, (12)

Особенно, если она размагнитится по пути , Аноним (16), 11:29 , 06-Сен-25, (16) +1

Два чая этому господину , Да ну нах (?), 11:42 , 06-Сен-25, (18) –1
Мои дискеты не размагнитились за 35 лет Что у тебя там за путь или дискеты , Ананоним (?), 15:09 , 06-Сен-25, (30)

Сказочник, блинДаже для того, что бы донести из дома до универа писали минимум н, Эксконтрибутор FreeBSD (?), 16:13 , 06-Сен-25, (35)

Твоя сказка про твои дискеты и путь выглядит для меня как купил колонки в магаз, Ананоним (?), 17:07 , 06-Сен-25, (40) –1

Знаешь в чем твоя проблема У тебя не было дискет, ты в те времена еще не родился, Эксконтрибутор FreeBSD (?), 17:13 , 06-Сен-25, (41)

Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации , Ананоним (?), 17:30 , 06-Сен-25, (42) –3

Размагнитится - вряд ли А вот сектора у трёхдюймовок бились только в путь , Аноним (49), 18:10 , 06-Сен-25, (49)

Кстати был случай, у нас упал интернет и мы пушили на флешку file протокол , Аноним (32), 15:55 , 06-Сен-25, (33) +1

это понятно, голь на выдумки хитра и эту страну не победить хехе попробуйте п, 0xdeadbee (?), 07:19 , 07-Сен-25, (75) –1

щас он спросит у чатгпт, как настроить сдван , Аноним (81), 11:05 , 07-Сен-25, (81)

а правда что на каждый SDWAN накладывается обременение в виде vendor lock , 0xdeadbee (-), 18:23 , 07-Сен-25, (89)

Если бизнес-процесс - два студента, пилящих курсач - флешка и file протокол в, mickvav (?), 14:27 , 07-Сен-25, (83)

ок но все же дождемся ответа анона, который пушил через флэшку 28 - оверкилл и, 0xdeadbee (-), 18:18 , 07-Сен-25, (88)

Зачем до каменного века скатываться Может достаточно просто не доверять свою чу, localhostadmin (ok), 10:46 , 06-Сен-25, (14)

Сомнительные люди тут кто Мейнтенеры, учетки которых взломали Значит надо обходи, Аноним (-), 10:51 , 06-Сен-25, (15) +3

Ты хоть новость читал Очевидно, что разрабы Github Actions Security, localhostadmin (ok), 11:52 , 06-Сен-25, (19) –2

Разрабы GitHub actions security просто добавили отправку секретов на деревню дед, Ангним (?), 12:02 , 06-Сен-25, (20)
Нет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна т, PROgrm_JARvis (ok), 14:44 , 06-Сен-25, (28) +1

Но зачем в это углубляться Увидели название гитхаб, вспомнили что ими владеют ма, Аноним (-), 14:49 , 06-Сен-25, (29) +10

Никаких предложений говорю ж - нормально всё заинтегрировали, очень удобная шту, Tron is Whistling (?), 11:34 , 06-Сен-25, (17)

Скажите, а мой репозиторий не скомпрометировали Как проверить , Аноним (21), 12:10 , 06-Сен-25, (21)
А что, двухфакторная авторизация не помогла , Anonymus (?), 16:43 , 06-Сен-25, (36) +1

В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной По, Tron is Whistling (?), 17:00 , 06-Сен-25, (39) –1

Чел, второй фактор - это отдельный девайс По твоему заявлению выше очевидно, ты , Аноним (43), 17:36 , 06-Сен-25, (43)

ты и не понимаешь Тотп и все там , Аноним (44), 17:43 , 06-Сен-25, (44) +1
Что пароль что второй фактор OTP храню в Keepass На одном устройстве В одном п, Аноним (47), 17:53 , 06-Сен-25, (47)

Но весьма уменьшает безопасность От 50 баксов до Неужели дорого , Аноним (-), 18:26 , 06-Сен-25, (51)
Все стараются увеличить безопасность, но наш брат непобедим У тебя уже есть моби, Аноним (43), 18:45 , 06-Сен-25, (54)

Как TOTP увеличит безопасность Если пароль утек с сервера, то утечет и секрет Ч, Аноним (49), 21:36 , 06-Сен-25, (68) –2

Нет Оба утекут только у тех, кто хранит их на одном устройстве Что непонятного, Аноним (43), 22:34 , 06-Сен-25, (72)

Так все хранят Только я - в зашифрованной базе KPXC, и браузер в песочнице А ты, Аноним (77), 08:51 , 07-Сен-25, (77) –1

Нет, только альтернативно одаренные, которые не понимают, у чем суть двуфакторки, Аноним (43), 15:03 , 07-Сен-25, (84)

И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно, нейм (?), 07:49 , 07-Сен-25, (76)

Конечно приведу у тебя сперли один фактор пароль ломанули телефон , но второй , Аноним (43), 15:24 , 07-Сен-25, (86)

Это в HOTP требуется синхронизация счётчика C между клиентом и сервером http, Аноним (49), 18:28 , 06-Сен-25, (52)

Круть Но это все как-то противоречит тому факту, что в двуфакторке вторым факто, Аноним (43), 18:50 , 06-Сен-25, (55)

В вебе, в двухфакторках используется TOTP При регистрации настройке передаётся , Аноним (49), 19:03 , 06-Сен-25, (56) –1

https github com keepassxreboot keepassxc pull 1206, Аноним (49), 19:07 , 06-Сен-25, (57)
Ты вообще не понял, о чем я тебе говорю Ну валяй - делай из двуфакторки однофак, Аноним (43), 20:50 , 06-Сен-25, (63)

Да не помогут тебе даже две корзины, если на той стороне - фишинговый ресурс, на, Tron is Whistling (?), 20:57 , 06-Сен-25, (66) +1
Ну валяй, подключай к Стиму телефон Только и пароль куки, и TOTP-секрет будут н, Аноним (49), 21:27 , 06-Сен-25, (67) –1

Ты адекватный вообще Я тебе в третий раз повторяю смысл 2FA в том, чтобы НЕ хр, Аноним (43), 22:37 , 06-Сен-25, (73)

Мало кто предлагает 2FA Например, второй пароль, который явно более надежен, че, Аноним (77), 09:03 , 07-Сен-25, (78) –1

Ты сам себе противоречишь TOTP на втором девайсе - это и есть второй фактор Чи, Аноним (43), 15:14 , 07-Сен-25, (85)

идея второго фактора в интернете безполезна, куда безопаснее записанный на бумаж, Аноним (81), 11:11 , 07-Сен-25, (82)

Бгг, ты просто пользователей не видел D, Tron is Whistling (?), 20:47 , 06-Сен-25, (62)

171 Принужденные 187 всегда при любых условиях будут делать всё, что угодно,, Аноним (46), 17:50 , 06-Сен-25, (46)

Я не зря написал - в том виде, в котором оно сейчас строится Вообще там, где н, Tron is Whistling (?), 20:55 , 06-Сен-25, (64) +1

То есть не провокация, а профанация, простите , Tron is Whistling (?), 20:56 , 06-Сен-25, (65) +1
Проблемы страны вечных NATов Откровения про шамира и сколько паролей автоматичес, Аноним (46), 05:48 , 07-Сен-25, (74) –1

Всё правильно сделал Он же не бесплатно эту библиотеку разрабатывал Лицензия я, Аноним (45), 17:49 , 06-Сен-25, (45)

Ст 273 УК РФ, Аноним (49), 18:20 , 06-Сен-25, (50) –1

И какое отношение понятия папуасов имеют к серверам Github , Эксконтрибутор FreeBSD (?), 18:29 , 06-Сен-25, (53) –1

А ты сам-то с какого раёна будешь , Аноним (49), 19:14 , 06-Сен-25, (58)

Это неприменимо принимая лицензию на программу включая зависимые библиотеки в, Аноним (59), 19:20 , 06-Сен-25, (59)

У УК приоритет выше Сам себя не запустит И делает ровно то, о чём заявляет Неза, Аноним (49), 19:30 , 06-Сен-25, (60) –1

Что же тогда Bear не сидят поголовно, не видим массовых судов над ними Та ли, Аноним (69), 22:26 , 06-Сен-25, (69)

Потому что никто не призвал их к ответу Потому что все малодушно и трусливо счи, Аноним (77), 09:31 , 07-Сен-25, (79)

Скрыто модератором, Аноним (87), 17:53 , 07-Сен-25, (87)

Разработчики обязаны соблюдать законы нашей Вилкой страны Вы согласны в этом, и, Аноним (61), 19:51 , 06-Сен-25, (61)

Они там с ума посходили UUID v4 - случайный, для его генерации библиотека, тем , Аноним (69), 22:29 , 06-Сен-25, (70)

Сообщения [Сортировка по времени | RSS]

4. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –7 +/–

Сообщение от Аноним (4), 06-Сен-25, 10:18

> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub.
Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.

Ответить | Правка | Наверх | Cообщить модератору

7. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +8 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:30

Дядя Петя, ты дундук? (с)
>  Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
Что мешает взломать твое не проприетарное селфхостед облако?
Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд?
А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.

Ответить | Правка | Наверх | Cообщить модератору

26. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (26), 06-Сен-25, 14:33

>"Новая Папка (1)", "Новая Папка (2)" и тд
А что, на self hosted запрещается использовать git daemon?

Ответить | Правка | Наверх | Cообщить модератору

31. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от КО (?), 06-Сен-25, 15:30

Отсутствие неподконтрольного тебе обработчика

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от ffirefox (?), 06-Сен-25, 16:52

Если команда небольшая удобнее просто использовать Fossil вместо папок.
GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +3 +/–

Сообщение от Анон666 (?), 06-Сен-25, 12:21

Угу, отрвился хлебом - пеки сам

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Андрей (??), 06-Сен-25, 10:25

Никогда такого не было и вот опять ?

Ответить | Правка | Наверх | Cообщить модератору

8. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +7 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:33

Ага.
Если учетку мейнтенера сломают, то могут сделать плохие вещи.
Кто бы мог подумать?!!
ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены
docs.gitlab.com/user/project/quick_actions/
docs.gitea.com/usage/actions/comparison

Ответить | Правка | Наверх | Cообщить модератору

32. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от Аноним (32), 06-Сен-25, 15:52

Gitlab это скорее клон github
Нормальную конкуренцию может составить radicle.xyz

Ответить | Правка | Наверх | Cообщить модератору

34. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от Аноним (-), 06-Сен-25, 15:58

> Нормальную конкуренцию может составить radicle.xyz
Это ты про п2п штуку для нетакусиков?
Нормальные люди такой дичью не страдают.
Ты бы еще даркнет предложил)

Ответить | Правка | Наверх | Cообщить модератору

48. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Анон666 (?), 06-Сен-25, 17:55

Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества.
То что вы говорите, это _разнообразие_, а не конкуренция.
По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

9. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +2 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 10:33

Системы непрерывной интеграции троянов всё заинтегрировали нормально.

Ответить | Правка | Наверх | Cообщить модератору

11. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:38

Ваши предложения?
Передевать код на дискетках как диды?
Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"?
Не делать автотесты перед мерджом?

Ответить | Правка | Наверх | Cообщить модератору

12. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 27730 (?), 06-Сен-25, 10:43

да лучше на дискетах, сто процентов безопасно

Ответить | Правка | Наверх | Cообщить модератору

16. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (16), 06-Сен-25, 11:29

Особенно, если она размагнитится по пути.

Ответить | Правка | Наверх | Cообщить модератору

18. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Да ну нах (?), 06-Сен-25, 11:42

Два чая этому господину!

Ответить | Правка | Наверх | Cообщить модератору

30. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Ананоним (?), 06-Сен-25, 15:09

Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

35. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 16:13

Сказочник, блин
Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига
Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась

Ответить | Правка | Наверх | Cообщить модератору

40. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Ананоним (?), 06-Сен-25, 17:07

Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.

Ответить | Правка | Наверх | Cообщить модератору

41. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 17:13

Знаешь в чем твоя проблема?
У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности

Ответить | Правка | Наверх | Cообщить модератору

42. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –3 +/–

Сообщение от Ананоним (?), 06-Сен-25, 17:30

> Знаешь в чем твоя проблема?
> У тебя не было дискет, ты в те времена еще не родился,
> а теперь тут рассказываешь сказки об их надежности
Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации.

Ответить | Правка | Наверх | Cообщить модератору

49. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 18:10

Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

33. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (32), 06-Сен-25, 15:55

Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

75. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от 0xdeadbee (?), 07-Сен-25, 07:19

это понятно, "голь на выдумки хитра и эту страну не победить". хехе.
попробуйте посчитать убытки от торможения бизнес-процессов,
и сопоставить их с расходми на
1) у провайдера взять /29
2) второй канал, второй провайдер, тоже /29.
100 Mbit/sec достаточно. даже 32 Mbit/sec достаточно.
3) настроить два фаерволла с SNAT, чтобы каждый был постоянно подключен
к двум провайдерам, умел определять состояние каналов, балансировать исходящий траф
и выводить дохлый канал из работы.

Ответить | Правка | Наверх | Cообщить модератору

81. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (81), 07-Сен-25, 11:05

> настроить два фаерволла
щас он спросит у чатгпт, как настроить сдван :)

Ответить | Правка | Наверх | Cообщить модератору

89. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 0xdeadbee (-), 07-Сен-25, 18:23

а правда что на каждый SDWAN накладывается обременение в виде vendor lock ?

Ответить | Правка | Наверх | Cообщить модератору

83. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от mickvav (?), 07-Сен-25, 14:27

Если бизнес-процесс - два студента, пилящих курсач - флешка и file:// протокол вполне себе норм решение, если сети _вообще_ нет. Да, потеряется час-два времени недоджунов за неделю работы. Не критично.
Если есть хотя бы ethernet - то кабель между компами + статические айпишники + ssh протокол уже уделают флешку натаком проекте.
Ваши /28 + второй канал + настройка всего этого осмысленны если это _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. Если инфраструктура в облаке - то нафига вот-это-все, если при отрубании интернета в офисе каждый за пару минут раздает себе интернетик с телефончика? Ну разве что у вас офис на 1000 человек и интернетики с телефончиков перегружают сотового оператора и все лежит...

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

88. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 0xdeadbee (-), 07-Сен-25, 18:18

> Если бизнес-процесс - два студента, пилящих курсач
ок. но все же дождемся ответа анона, который пушил через флэшку.
> Ваши /28 + второй канал + настройка всего этого осмысленны если это
/28 - оверкилл и оверпрайс. /29 достаточно для разумных применений.
> _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой.
> Если инфраструктура в облаке - то нафига вот-это-все,
для фанатов облаков приготовлен отдельный филиал ИТшного ада.
надеюсь, кое-кто (из МТС облаков например) уже там.
кстати для фанатов циски и микротиков - тоже.
> при отрубании
> интернета в офисе каждый за пару минут раздает себе интернетик с
> телефончика
1) спрашивается - почему они изначально не раздавали сами себе ?
и перенастраивать ничего не надо.
2) с мобильными интернетами в некоторых местах этой страны сейчас проблемы.
фанаты облаков отрываются от земли и витают в облаках, как обычно.

Ответить | Правка | Наверх | Cообщить модератору

14. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от localhostadmin (ok), 06-Сен-25, 10:46

Зачем до каменного века скатываться? Может достаточно просто не доверять свою чувствительную инфу сомнительным людям?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

15. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +3 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:51

Сомнительные люди тут кто?
Мейнтенеры, учетки которых взломали?
Значит надо обходиться без мейнтенеров и писать все в одну персону.
А чтобы твою учетку тоже не взломали, не доверять код интернету, и хранить его на подкроватном сервере.

Ответить | Правка | Наверх | Cообщить модератору

19. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от localhostadmin (ok), 06-Сен-25, 11:52

>> Сомнительные люди тут кто?
Ты хоть новость читал? Очевидно, что разрабы Github Actions Security

Ответить | Правка | Наверх | Cообщить модератору

20. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Ангним (?), 06-Сен-25, 12:02

Разрабы GitHub actions security просто добавили отправку секретов на деревню дедушке. А вот сам этот экшен добавляли сломанные учётки мэинтейнеров.

Ответить | Правка | Наверх | Cообщить модератору

28. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от PROgrm_JARvis (ok), 06-Сен-25, 14:44

> разрабы Github Actions Security
Нет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна так назвали.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

29. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +10 +/–

Сообщение от Аноним (-), 06-Сен-25, 14:49

Но зачем в это углубляться?
Увидели название гитхаб, вспомнили что ими владеют майкрософт...
Всё этого достаточно чтобы полторы извилины уже отключились, во рту начала собираться пена и с праведным гневом пошли писать глупые комментарии.

Ответить | Правка | Наверх | Cообщить модератору

17. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 11:34

Никаких предложений: говорю ж - нормально всё заинтегрировали, очень удобная штука.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

21. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (21), 06-Сен-25, 12:10

Скажите, а мой репозиторий не скомпрометировали? Как проверить?

Ответить | Правка | Наверх | Cообщить модератору

36. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Anonymus (?), 06-Сен-25, 16:43

>Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
А что, двухфакторная авторизация не помогла?

Ответить | Правка | Наверх | Cообщить модератору

39. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 17:00

В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной. Поэтому принужденные к этой фигне реально будут хранить оба фактора в одном менеджере паролей и вкопировать не глядя.

Ответить | Правка | Наверх | Cообщить модератору

43. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 17:36

> хранить оба фактора в одном менеджере паролей
Чел, второй фактор - это отдельный девайс.
> В том виде, в котором она сейчас реализуется
По твоему заявлению выше очевидно, ты не понимаешь, как она реализуется.

Ответить | Правка | Наверх | Cообщить модератору

44. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (44), 06-Сен-25, 17:43

ты и не понимаешь. Тотп и все там

Ответить | Правка | Наверх | Cообщить модератору

47. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (47), 06-Сен-25, 17:53

Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно. Были бы дешёвые физические устройства для OTP пользовался бы ими

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

51. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (-), 06-Сен-25, 18:26

> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно.
Но весьма уменьшает безопасность.
> Были бы дешёвые физические устройства для OTP пользовался бы ими
От 50 баксов до ...
Неужели дорого?

Ответить | Правка | Наверх | Cообщить модератору

54. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 18:45

> Что пароль что второй фактор OTP храню [...] На одном устройстве.
Все стараются увеличить безопасность, но наш брат непобедим!
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве.
У тебя уже есть мобильный смартфон.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

68. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от Аноним (49), 06-Сен-25, 21:36

> стараются увеличить безопасность
Как TOTP увеличит безопасность?
Если пароль утек с сервера, то утечет и секрет. Через ту же дыру.
Если пароль утек у пользователя, то утечет и секрет. У того же балбеса.
Был бы смысл, если бы секрет был ассиметричный. Но симметричный секрет не даёт ничего. Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.

Ответить | Правка | Наверх | Cообщить модератору

72. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 22:34

> Если пароль утек у пользователя, то утечет и секрет.
Нет. Оба утекут только у тех, кто хранит их на одном устройстве. Что непонятного?
> Но симметричный секрет не даёт ничего.
Если человек упрям, как баран, то объяснять что-либо бесполезно.
> Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.
А, ну понятно: ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.

Ответить | Правка | Наверх | Cообщить модератору

77. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (77), 07-Сен-25, 08:51

> Нет. Оба утекут только у тех, кто хранит их на одном устройстве.
Так все хранят.
Только я - в зашифрованной базе KPXC, и браузер в песочнице. А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи.
> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
Деанонимизирует программа-генератор кода, установленная на девайс. Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом. А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум. А ещё можно пошерудить по соседним программам, файлам пользователя, контактам и т.п.

Ответить | Правка | Наверх | Cообщить модератору

84. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 07-Сен-25, 15:03

>> Нет. Оба утекут только у тех, кто хранит их на одном устройстве.
> Так все хранят.
Нет, только альтернативно одаренные, которые не понимают, у чем суть двуфакторки. Ну, вот типа местных комментаторов.
> А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи.
Естественно, на телефоне. Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактора, и что привязанность телефона к паспотру здесь никакой роли не играет, ведь TOTP можно хоть на тостере генерировать.
>> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
> Деанонимизирует программа-генератор кода, Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом.
Опять нет. Секрет сам по себе никак не связан с аккаунтом. Ты, конечно, можешь его подписать "Мой аккаунт на Гитхабе" - но на этом все. Но даже в этом случае взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим.
> А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум
Если кто-то может получать информацию с твоего устройства, то говорить о "деанонимизации" как-то тупо, не находишь? Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами.
В общем, что и требовалось доказать - вы несете типичные бредни параноиков. Воюй дальше, друг!

Ответить | Правка | Наверх | Cообщить модератору

76. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от нейм (?), 07-Сен-25, 07:49

> Все стараются увеличить безопасность, но наш брат непобедим!
И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей. Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже)
Ну и да, расскажи как на безопасность влияют в мобильных тотп мейнстримных аппах: облачная синхронизация (гугол) и санкции на учетки по причине страны (мс аутх, который еще и к гитхабу ао конторе близок).

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

86. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 07-Сен-25, 15:24

> И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей
Конечно приведу: у тебя сперли один фактор (пароль/ломанули телефон), но второй остался у тебя. Аккаунт не взломан.
Но я понимаю, это очень сложная мысль для опеннетного эксперта.
> Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже)
А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом. И получить все твои пароли, лол. Хотя я не понял, к чему ты это упомянул. Навесить шифрований дисков и паролей можно на любой девайс с TOTP - суть двуфакторности как бы не в этом, а именно в наличии второго фактора.

Ответить | Правка | Наверх | Cообщить модератору

52. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 18:28

> второй фактор - это отдельный девайс
Это в HOTP требуется синхронизация счётчика (C) между клиентом и сервером. (https://www.rfc-editor.org/rfc/rfc4226#section-5)
В TOTP для счётчика используется общеизвестное синхронизированное время. Достаточно хранить секрет (K), и одноразовый пароль можно вычислить независимо. (https://www.rfc-editor.org/rfc/rfc6238#section-4)

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

55. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 18:50

Круть! Но это все как-то противоречит тому факту, что в двуфакторке вторым фактором является отдельный девайс?

Ответить | Правка | Наверх | Cообщить модератору

56. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 19:03

В вебе, в двухфакторках используется TOTP. При регистрации/настройке передаётся секрет, из которого с помощью общеизвестного алгоритма и общеизвестного времени получают временный код. Например, в менеджере паролей, вроде KeePassXC. Девайс не нужен.
Даже если девайс типа "требуется" (например, как в Steam), код можно получить без него. Там другой, но также известный алгоритм (в KPXC есть из коробки). Valve просто привязку телефона у вас так беззастенчиво выпрашивает.

Ответить | Правка | Наверх | Cообщить модератору

57. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 19:07

https://github.com/keepassxreboot/keepassxc/pull/1206

Ответить | Правка | Наверх | Cообщить модератору

63. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 20:50

> Девайс не нужен.
Ты вообще не понял, о чем я тебе говорю. Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

66. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:57

Да не помогут тебе даже две корзины, если на той стороне - фишинговый ресурс, на 100% копирующий оригинальный, который сразу же авторизуется дальше под креденшлами юзера, не ожидая смены одноразового презерватива.

Ответить | Правка | Наверх | Cообщить модератору

67. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 21:27

Ну валяй, подключай к Стиму телефон. Только и пароль/куки, и TOTP-секрет будут на одном девайсе. Угнал девайс (или одолжил на пять минут) равно угнал аккаунт.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

73. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 22:37

>> Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).
> Только и пароль/куки, и TOTP-секрет будут на одном девайсе.
Ты адекватный вообще? Я тебе в третий раз повторяю: смысл 2FA в том, чтобы НЕ хранить оба фактора (пароль и TOPT) на одном девайсе.

Ответить | Правка | Наверх | Cообщить модератору

78. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (77), 07-Сен-25, 09:03

> Смысл 2FA
Мало кто предлагает 2FA. Например, второй пароль, который явно более надежен, чем Truncate(HMAC-SHA-1(K,C)).
Все предлагают TOTP. Со своим приложением. Или гугловским - известный коллектор данных и участник программы PRISM. Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон, которые суть - тонкий клиент к веб-серверу + инструменты слежки (сбора и передачи данных).
> The HOTP algorithm is based on an increasing counter value and a static symmetric key known only to the token and the validation service.
Будь там ассиметричный ключ, TOTP имел бы смысл. Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.

Ответить | Правка | Наверх | Cообщить модератору

85. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 07-Сен-25, 15:14

> Мало кто предлагает 2FA
> Все предлагают TOTP.
Ты сам себе противоречишь. TOTP на втором девайсе - это и есть второй фактор. Чисто по определению.
В общем, очередной персонаж, не понявший сути 2fa ринулся против него воевать.
> Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон
То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP?  Ясно, понятно...
> Т.о. смысл TOTP - деанон через привязку устройств.
Опять эти бредни параноиков. Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН!
> Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.
Да, второй пароль. На отдельном девайсе. Казалось бы, в голове должно было что-то щелкнуть (ну, в контексте названия "двуфакторность"), но нет...

Ответить | Правка | Наверх | Cообщить модератору

82. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (81), 07-Сен-25, 11:11

идея второго фактора в интернете безполезна, куда безопаснее записанный на бумажке второй пароль.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

62. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:47

>> хранить оба фактора в одном менеджере паролей
> Чел, второй фактор - это отдельный девайс.
Бгг, ты просто пользователей не видел :D

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

46. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (46), 06-Сен-25, 17:50

«Принужденные» всегда при любых условиях будут делать всё, что угодно, лишь бы саботировать принуждателя. Без исключений. Но даже в этом случае не вижу проблемы для конечного пользователя. Хороший менеджер паролей заполнит все поля сам, даже копировать не надо — считай, чуть лучше одинакового пароля на всех ресурсах. Для тех, кому 2fa не жмёт и кто понимает как им пользоваться не жертвуя удобством тоже всё хорошо. Недовольно бухтят только опеннетчики, что тоже хорошо — можно почитать комментарии и в очередной раз убедиться, что без работы на ближайшие 50 лет не останусь. Сплошная благодать. Омммммммм…

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

64. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:55

Я не зря написал - "в том виде, в котором оно сейчас строится".
Вообще там, где надо, есть даже многофакторка - например три человека из группы в пять. При этом каждый со своим брелком с неизвлекаемым приватным ключом и пином к этому брелку, которого именно имеющий брелок - не знает.
Но вот TOTP "в текущем виде", например так, как для пользователей разных гитшляп, особенно с переавторизацией каждый час - это тупой энной и провокация. Его будут сейвить в один KeePass рядом с паролем и копипастить. Или читать с брелка - и набивать в общий кейлоггер не глядя.

Ответить | Правка | Наверх | Cообщить модератору

65. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:56

То есть не провокация, а профанация, простите.

Ответить | Правка | Наверх | Cообщить модератору

74. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (46), 07-Сен-25, 05:48

> переавторизацией каждый час
Проблемы страны вечных NATов.
Откровения про шамира и сколько паролей автоматически вводит keepass читать лень. Ещё раз: кому надо пользуется как надо, за остальных 1Password всё делает что так, что эдак. Не работает эта схема только у людей без интернета и мамкиных борцунов со слежкой инопланетянами, накрутивших uMatrix. Других причин пока обнаружено не было.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

45. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (45), 06-Сен-25, 17:49

> Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.
Всё правильно сделал. Он же не бесплатно эту библиотеку разрабатывал. Лицензия явно позволяет ему так делать. Вы бесплатно дары данайцев берёте (что fastuuid, что проект fastllm, купленный задешево по цене разработки "бесплатной" либы-зависимости), а потом удивляетесь "а за що?!" Потому что жизнь такая. Не нравится - можете всю экосистему лично для себя делать. Сначала дейтацентр купите, потом LLM свою натренируйте на своих данных, а потом с помощью LLM персонально для себя перепишите всю софтовую экосистему, какая вам нужно, а иначе так и будете жить на либох, служащих не тебе, а чужому господину.
Таких атак дальше будет только больше: LLM позволяют даже васяну дешево писать "бесплатный" высококачественный код, который уже окупается через бекдоры.

Ответить | Правка | Наверх | Cообщить модератору

50. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 18:20

Ст. 273 УК РФ

Ответить | Правка | Наверх | Cообщить модератору

53. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 18:29

И какое отношение понятия папуасов имеют к серверам Github?

Ответить | Правка | Наверх | Cообщить модератору

58. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 19:14

А ты сам-то с какого раёна будешь?

Ответить | Правка | Наверх | Cообщить модератору

59. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (59), 06-Сен-25, 19:20

Это неприменимо: принимая лицензию на программу (включая зависимые библиотеки) вы подтверждаете, что согласны на любой вред, который она нанесёт, и подтверждаете, что вы сами несёте за него ответственность. Иначе можно и разрабов coreutils за бинарь rm обвинить - она может стереть все данные на жёстком диске. Однако разрабы не виноваты, что пользователь не читает лицензи  документации, а лучшая документация к программе - это её исходный код. Разрабы fastbullshit делали библиотеку исключительно для себя, то что выложили на github - это чтобы вы поизучать могли, и не виноваты, что вы не читаете исходный код и тащите в свою программу какие попало зависисмости, а равно используете программы других разрабов, не читая их код и не аудируя зависимости, в общем дарёному коню в зубы не смотрите, а конь данайцев оказался.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

60. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 19:30

> принимая лицензию на программу
У УК приоритет выше.
> бинарь rm
Сам себя не запустит. И делает ровно то, о чём заявляет.
> Разрабы fastbullshit
Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.

Ответить | Правка | Наверх | Cообщить модератору

69. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (69), 06-Сен-25, 22:26

Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними?
>Сам себя не запустит. И делает ровно то, о чём заявляет.
Та либа тоже сама себя не запустит, её ручками в проект притащили. И сам этот проект тоже ручками во все остальные места затащили, а не в результате drive-by взлома.
>Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.
любой DRM подпадает абсолютно под то же самое, так же как и системный промпт и файнтюнинг в ChatGPT, предписывающий модели врать, когда это необходимо для интересов компании и США, так же, как и системы шпионажа "телеметрии" в приложениях и ОС, так же, как откровенно вредоносные скрипты, активирующиеся автоматом до того, как у пользователя есть шанс прочитать лицензионное соглашения на них и явно с ним согласиться. Что же всех этих копирастов и пособников до сих пор не посадили?

Ответить | Правка | Наверх | Cообщить модератору

79. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (77), 07-Сен-25, 09:31

> Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними?
Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию.
> Та либа тоже сама себя не запустит, её ручками в проект притащили.
Код отправки подстановлен после.
> Что же всех этих копирастов и пособников до сих пор не посадили?
См. ответ на первый вопрос. Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии". За ликбез не благодари, пользы от тебя всё равно никому не будет.

Ответить | Правка | Наверх | Cообщить модератору

87. Скрыто модератором +/–

Сообщение от Аноним (87), 07-Сен-25, 17:53

>Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию.
Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно не может призвать их к ответу ... А вы тут мне рассказываете, что бесправные рабы могут призвать к ответу того, кого на порядки более опасные и могучие призвать к ответу не могут.
>Код отправки подстановлен после.
И что? Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти. В почти всех лицензиях написано, что AS IS и на свой страх и риск.
>Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии".
Нет, это называется "монополистический капитализм", который вообще нифига не капитализм. А про оседлых бандитов я и до тебя знал. И не надо мне втирать про то, что кто-то кому-то что-то должен. Тут у каждого только то, что он взял. Вот разраб той либы взял своё - вот и получил что заслужил. И не тебе его судить. Всяким двуличным бандитам с двойными стандартами он по-видимому интересен только с точки зрения того, имеет ли он понимание, когда приходится делиться. Раз он такое провернул, то есть вероятность, что очень даже имеет.

Ответить | Правка | Наверх | Cообщить модератору

61. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (61), 06-Сен-25, 19:51

> "Разрабы"
Разработчики обязаны соблюдать законы нашей Вилкой страны! Вы согласны в этом, или нет?
Даже в том случаи, если просто выложил открытый код, разраб должен нести полную ответственность (в том числе и уголовную) за свой код!
А если разработчик находится в другой стране, то он должен быть экстрадирован к нам для суда!

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

70. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (69), 06-Сен-25, 22:29

>связанной с пакетом FastUUID, предоставляющем Python-обвязку над Rust-библиотекой UUID
Они там с ума посходили? UUID v4 - случайный, для его генерации библиотека, тем более на Rust, не нужна, а для никаких других UUIDов в принципе нет легитимного применения.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–7 +/–
Сообщение от Аноним (4), 06-Сен-25, 10:18
> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+8 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:30
	Дядя Петя, ты дундук? (с) > Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга. Что мешает взломать твое не проприетарное селфхостед облако? Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд? А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (26), 06-Сен-25, 14:33
	>"Новая Папка (1)", "Новая Папка (2)" и тд А что, на self hosted запрещается использовать git daemon?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–1 +/–
	Сообщение от КО (?), 06-Сен-25, 15:30
	Отсутствие неподконтрольного тебе обработчика
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	38. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от ffirefox (?), 06-Сен-25, 16:52
	Если команда небольшая удобнее просто использовать Fossil вместо папок. GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	22. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+3 +/–
	Сообщение от Анон666 (?), 06-Сен-25, 12:21
	Угу, отрвился хлебом - пеки сам
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

6. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
Сообщение от Андрей (??), 06-Сен-25, 10:25
Никогда такого не было и вот опять ?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+7 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:33
	Ага. Если учетку мейнтенера сломают, то могут сделать плохие вещи. Кто бы мог подумать?!! ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены docs.gitlab.com/user/project/quick_actions/ docs.gitea.com/usage/actions/comparison
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–2 +/–
	Сообщение от Аноним (32), 06-Сен-25, 15:52
	Gitlab это скорее клон github Нормальную конкуренцию может составить radicle.xyz
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–2 +/–
	Сообщение от Аноним (-), 06-Сен-25, 15:58
	> Нормальную конкуренцию может составить radicle.xyz Это ты про п2п штуку для нетакусиков? Нормальные люди такой дичью не страдают. Ты бы еще даркнет предложил)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Анон666 (?), 06-Сен-25, 17:55
	Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества. То что вы говорите, это _разнообразие_, а не конкуренция. По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору

9. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+2 +/–
Сообщение от Tron is Whistling (?), 06-Сен-25, 10:33
Системы непрерывной интеграции троянов всё заинтегрировали нормально.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:38
	Ваши предложения? Передевать код на дискетках как диды? Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"? Не делать автотесты перед мерджом?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от 27730 (?), 06-Сен-25, 10:43
	да лучше на дискетах, сто процентов безопасно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Аноним (16), 06-Сен-25, 11:29
	Особенно, если она размагнитится по пути.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–1 +/–
	Сообщение от Да ну нах (?), 06-Сен-25, 11:42
	Два чая этому господину!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Ананоним (?), 06-Сен-25, 15:09
	Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	35. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 16:13
	Сказочник, блин Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–1 +/–
	Сообщение от Ананоним (?), 06-Сен-25, 17:07
	Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 17:13
	Знаешь в чем твоя проблема? У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–3 +/–
	Сообщение от Ананоним (?), 06-Сен-25, 17:30
	> Знаешь в чем твоя проблема? > У тебя не было дискет, ты в те времена еще не родился, > а теперь тут рассказываешь сказки об их надежности Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	49. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (49), 06-Сен-25, 18:10
	Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	33. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Аноним (32), 06-Сен-25, 15:55
	Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	75. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–1 +/–
	Сообщение от 0xdeadbee (?), 07-Сен-25, 07:19
	это понятно, "голь на выдумки хитра и эту страну не победить". хехе. попробуйте посчитать убытки от торможения бизнес-процессов, и сопоставить их с расходми на 1) у провайдера взять /29 2) второй канал, второй провайдер, тоже /29. 100 Mbit/sec достаточно. даже 32 Mbit/sec достаточно. 3) настроить два фаерволла с SNAT, чтобы каждый был постоянно подключен к двум провайдерам, умел определять состояние каналов, балансировать исходящий траф и выводить дохлый канал из работы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (81), 07-Сен-25, 11:05
	> настроить два фаерволла щас он спросит у чатгпт, как настроить сдван :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от 0xdeadbee (-), 07-Сен-25, 18:23
	а правда что на каждый SDWAN накладывается обременение в виде vendor lock ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от mickvav (?), 07-Сен-25, 14:27
	Если бизнес-процесс - два студента, пилящих курсач - флешка и file:// протокол вполне себе норм решение, если сети _вообще_ нет. Да, потеряется час-два времени недоджунов за неделю работы. Не критично. Если есть хотя бы ethernet - то кабель между компами + статические айпишники + ssh протокол уже уделают флешку натаком проекте. Ваши /28 + второй канал + настройка всего этого осмысленны если это _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. Если инфраструктура в облаке - то нафига вот-это-все, если при отрубании интернета в офисе каждый за пару минут раздает себе интернетик с телефончика? Ну разве что у вас офис на 1000 человек и интернетики с телефончиков перегружают сотового оператора и все лежит...
	Ответить \| Правка \| К родителю #75 \| Наверх \| Cообщить модератору


	88. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от 0xdeadbee (-), 07-Сен-25, 18:18
	> Если бизнес-процесс - два студента, пилящих курсач ок. но все же дождемся ответа анона, который пушил через флэшку. > Ваши /28 + второй канал + настройка всего этого осмысленны если это /28 - оверкилл и оверпрайс. /29 достаточно для разумных применений. > _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. > Если инфраструктура в облаке - то нафига вот-это-все, для фанатов облаков приготовлен отдельный филиал ИТшного ада. надеюсь, кое-кто (из МТС облаков например) уже там. кстати для фанатов циски и микротиков - тоже. > при отрубании > интернета в офисе каждый за пару минут раздает себе интернетик с > телефончика 1) спрашивается - почему они изначально не раздавали сами себе ? и перенастраивать ничего не надо. 2) с мобильными интернетами в некоторых местах этой страны сейчас проблемы. фанаты облаков отрываются от земли и витают в облаках, как обычно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от localhostadmin (ok), 06-Сен-25, 10:46
	Зачем до каменного века скатываться? Может достаточно просто не доверять свою чувствительную инфу сомнительным людям?
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	15. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+3 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:51
	Сомнительные люди тут кто? Мейнтенеры, учетки которых взломали? Значит надо обходиться без мейнтенеров и писать все в одну персону. А чтобы твою учетку тоже не взломали, не доверять код интернету, и хранить его на подкроватном сервере.
	Ответить \| Правка \| Наверх \| Cообщить модератору