The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Инцидент с безопасностью GitHub подчеркнул проблемы Ruby on ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Инцидент с безопасностью GitHub подчеркнул проблемы Ruby on ..."  +/
Сообщение от opennews (??) on 05-Мрт-12, 18:54 
Проект GitHub уведомил (https://github.com/blog/1068-public-key-security-vulnerabili...) пользователей инциденте, в результате которого произошло неавторизированное внедрение кода в репозитории нескольких проектов, в том числе Ruby On Rails. В настоящее время приведшая к возможности взлома уязвимость уже устранена и начато расследование возможных последствий атаки. В настоящее время все факты свидетельствуют о том, что атака была лишь демонстрацией новой уязвимости, проведённой в открытую одним из исследователей безопасности.

Проблема была выявлена и продемонстрирована Егором Хомаковым (http://homakov.blogspot.com/) из Санкт-Петербурга. Уязвимость вызвана особенностью обработки массового присваивания данных форм в популярном web-фреймворке Ruby on Rails (http://rubyonrails.org/) и может наблюдаться в различных приложениях, не ограничиваясь GitHub. Использовав брешь в Rails стало возможным внесение изменений и отправка данных в репозиторий любого проекта GitHub, без ...

URL: http://www.h-online.com/open/news/item/GitHub-security-incid...
Новость: http://www.opennet.dev/opennews/art.shtml?num=33268

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


5. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +12 +/
Сообщение от Loooooker (ok) on 05-Мрт-12, 19:13 
Затейник )
Их же граблями да по голове )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Andrey Mitrofanov on 05-Мрт-12, 19:21 
Security circus, как говаривал один американский швед финского происхождения...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –4 +/
Сообщение от Аноним (??) on 05-Мрт-12, 20:05 
операться надо на многократно проверенное, а не на удобное...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 05-Мрт-12, 20:19 
... на Perl
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от kuraga email(ok) on 05-Мрт-12, 20:52 
Причем тут это?? Разрабы поленились написать код. Разница, какой язык? Никакой. Лень/неосведомленность.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

45. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –1 +/
Сообщение от Аноним (??) on 06-Мрт-12, 07:20 
Ну разве что если лень разработчиков рельсы, тогда да:

> функциональность необходимая для этого по-умолчанию отключена в стандартной инсталляции
> Ruby on Rails

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

80. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –1 +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 18:31 
Ну? А кто сказал, что она должна быть ВКЛЮЧЕНА? Программист проекта САМ должен заботиться о балансе между удобством и безопасностью. И описываемая опция в рельсах ВКЛЮЧАЕМА, А НЕ ОТСУТСТВУЕТ!!!
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

111. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 07-Мрт-12, 09:21 
да вы че!! это одна строчка в модели, которая к тому-жу по умолчанию попадает, если скаффолдом создавать, как обычно и делают. Автор новости вообще не в теме. Это как утверждать что С не может печатать на экран, т.к. команда printf по умолчанию не включена.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

113. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от kuraga email(ok) on 07-Мрт-12, 21:20 
ВКЛЮЧАЕМА - значит ее можно включить, ЕСЛИ она выключена. что по умолчанию это так - я НЕ говорил.
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

9. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 05-Мрт-12, 20:06 
дьявол кроется в удобстве!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 05-Мрт-12, 22:05 
> дьявол кроется в удобстве!

...коммита в чужие проекты... ;]

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от evgeny_t (ok) on 05-Мрт-12, 21:18 
да надо было сразу в ядро комитить )
вот шухер то был )
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +10 +/
Сообщение от Аноним (??) on 05-Мрт-12, 22:04 
Да не, перец все правильно сделал, вкомитив фикс прямо виновникам бага. Эпик лулз! :)
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

32. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –5 +/
Сообщение от Псто on 05-Мрт-12, 23:59 
товарищь, не ленись - пользуйся головой. бага нет. простой косяк разработчиков гитхаба с масс-ассайментс. расходимся.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

41. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +5 +/
Сообщение от Аноним (??) on 06-Мрт-12, 07:08 
> бага нет.

Добро пожаловать в матрицу! Бага нет, а левые коммиты - есть. Trollaface.jpg

> простой косяк разработчиков гитхаба с масс-ассайментс.

Как я понимаю такой косяк может иметь место на еще 100500 разных сайтов и по дефолту даже средства борьбы с геморроем не активны, хотя они и есть в природе. Просто потому что разработчики фреймворка - упертые бараны. Тест бараньего лба супротив ворот однако показал что ворота попались сцуко прочные, даже закрытие бага с разбега не пробирает.

> расходимся.

Скатертью дорога.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

58. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +2 +/
Сообщение от zy on 06-Мрт-12, 12:42 
>>но это уведомление было закрыто с комментарием, что ошибка находится в зоне ответственности конечных разработчиков приложений на Ruby on Rails.

Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, то не нужно нести чепухи. В наличии уязвимости виноваты только разработчики гитхаба так как в документации по mass-assignment чёрным по белому написано что по умолчанию работает стратегия чёрного списка, другое дело что всякие быдлокодеры не читают эту документацию. Теперь разработчики рельсов сделают что бы по умолчанию была включена стратегия белого списка, и все эти разработчики из за своей тупости получат кучу гемороя в види прописывания attr_accessible для нужных моделей, но они заслужили этого гемороя.

Я к тому что если разработчик читал документацию, и писал правильно, то у него уязвмости нет. Так что это нихрена не уязвимость, а лишь потенциально опасное поведение по-умолчанию, которое превращается в уязвимость в случае тупости и криворукости разработчика которому лень было почитать документацию.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

73. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 16:20 
> Если вы не имеете представления о рельсах и о какой уязвимости здесь
> идёт речь, то не нужно нести чепухи. В наличии уязвимости виноваты
> только разработчики гитхаба так как в документации по mass-assignment чёрным по
> белому написано что по умолчанию работает стратегия чёрного списка,

Слушайте, прыг по граблям - многофазный процесс. Один кладет грабли, второй не смотрит под ноги, третий ему шишак на лбу лечит.

Вот только исходно больше всех виноват тот кто грабли на дороге бросил (разработчики RoR). Те кто под ноги не смотрел конечно тоже виноваты, ибо под ноги смотреть все-же надо. Только первых это все не извиняет. Поэтому если кто-то возжелал почесать спину граблями тому кто их бросил - так ему и надо, нефиг разбрасывать! :)

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

81. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 18:35 
Бред. Отключенный белый список - ровно такая же грабля, как и наоборот. Целью фреймворка не было создание безопасных приложений без участия программера. И слава богу. А то вообще думать перестанем.
Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

117. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:21 
> Бред. Отключенный белый список - ровно такая же грабля, как и наоборот.

Зато более безопасная грабля. Лучше пусть уж у грабель ручка будет обернута поролоном, лбы целее будут. Особенно у инфантильных и туповатых вебдевелов, имеющих крайне смутное представление о процессе разработки софта и как это делается в нормальном виде. Если системщикам с их сями и режимами ядра где 1 факап = взвис всей системы как-то не привыкать бегать по лезвию бритвы и квалификация позволяет (когда факап будет приводить к взвису системы - вы поневоле очень быстро и эффективно научитесь писать хорошо), то вот туповатые и раздолбайские вебдевелы обычно о секурити вообще в лучшем случае знают что вроде бы это где-то есть в природе, но за них все должен сделать и продумать шибко вумный фреймворк и потому им греть этим свой полугуманитарный мозг совсем не нужно. А фреймворк возьми да и выкинь им такую подставу...

Не ну как бы целевую аудиторию, их скиллы и прочая наверное надо представлять и делать поправку на ветер, или где?!

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

59. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от SLK on 06-Мрт-12, 12:55 
Да ладно, тролю напоминать про голову бесполезно.

Для тех кто не понял: Это не баг RoR, это баг самого GitHub.

В RoR есть стандартные средства для управления доступом к mass assignment.
То, что эти средства по умолчанию отключены - Ложь
Разработчикам GitHub и тем кто работает с RoR просто нужно за этим следить и расставлять
где надо attr_protected. Кроме того, в любом проекте на RoR можно запретить изменение
полей ActiveRecord через mass assignment как для любого класса в отдельности так и
глобально.

Читаем еще раз .... "За два дня до инцидента Егор оставил уведомление о найденной им
уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было закрыто с
комментарием, что ошибка находится в зоне ответственности конечных разработчиков
приложений на Ruby on Rails."

Егору +1000. Такой проект как GitHub обязан следить за безопасностью, тем более, что все эти фичи в RoR очень хорошо документированы.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

71. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 15:01 
Следить, конечно, обязаны, тут они, конечно, ошиблись. Но есть более приличные способы указать на слабость замка, чем вламываться в дом.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

87. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 19:41 
а кто вламывался-то? O_O

сказали же: это фича. фичу можно использовать. если замок разваливается в пыль от того, что рядом с ним чихнули, а производитель замка утверждает, что это фича, и замки надо оборудовать шумопоглотителями, то ок — надо так надо. только чихание возле замков становится использованием фичи, а не эксплуатированием бага, такие дела. а то может мне ещё перед каждым коммитом гитхаб за две недели предупреждать? ведь коммит у них файлы на диске меняет — вдруг и эту фичу использовать нельзя?

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

92. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 20:54 
Если владелец цифрового замка оставляет код 12345 (хотя в инструкции к замку настоятельно советуют его сменить, но кто ж читает инструкции?), это вина владельца замка, или производителя? И если кто-то попробовал эту комбинацию на чужом замке и она подошла, то законно ли ему после этого проникать в дом?
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

95. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 21:13 
если не написано, что незаконно — то законно. разве в ToS гитхаба написано, что нельзя заходить в проекты, к которым есть открытый доступ и делать там что хочется?
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

97. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 21:18 
А у вас на дверях написано, что нельзя входить и делать что хочется?
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

100. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 21:26 
> А у вас на дверях написано, что нельзя входить и делать что
> хочется?

это в законе написано. в таком документе, который называется «Конституция». пожалуйста, укажи мне, где именно в Конституции написано что-то про репозитории исходных текстов. if you please.

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

126. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 10-Мрт-12, 00:03 
> А у вас на дверях написано, что нельзя входить и делать что хочется?

Иногда - очень доходчиво написано :) Например как-то так: http://leprastuff.ru/data/img/20120213/c5cb12f12c0d1d0ccf93a...

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

74. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +2 +/
Сообщение от Аноним (??) on 06-Мрт-12, 16:21 
> что все эти фичи в RoR очень хорошо документированы.

Для начала, дефолты должны быть безопасными. А не так что мы разбросаем на поле мины и честно вывесим табличку "осторожно, мины!" (а кто не увидел табличку - сам дурак!)

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

79. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от SLK on 06-Мрт-12, 18:25 
Согласен. Думаю, что всем разраобчикам ORM библиотек (не только ActiveRecord и не только в
Ruby) где есть возможность делать mass assignment полей обьекта, нужно об этом
позаботиться. Таких не мало ... есть PHP ActiveRecord, есть ASP.NET MVC, в Java скорее
всего тоже есть ORM-ы с такой возможностью ... везде свои настройки по умолчанию
и соответственно опасность mass assignment.  

К примеру в DataMapper (альтернативная ORM библиотека на Ruby) по умолчанию все поля
обьявленные ключевыми не возможно изменить через mass assignment, только через
геттеры\сеттеры.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

82. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 18:39 
Спорно. Ибо абсолютной безопасности пока нет. Поэтому и "безопасные по дефолту" - мнимо. "БОЛЕЕ безопасные, к ДАННОМУ виду атак" - если бы сказали так, то согласился бы. Безопасность - отсутствие возможностей :)
Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

88. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 19:42 
однако мне кажется, что более верный подход — делать потенциально опасные вещи как opt-in, а не opt-out. заодно люди и документацию прочитают, пока будут искать, как их включить.
Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

102. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 22:19 
Согласен. Но я считаю неправильным, если программист АПРИОРИ ПОЛАГАЕТ, что это так. Хотя бы потому, что потенциально опасно все. Вспомните Си и баги ядра с "=", "=="... Не запретишь ведь...
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

107. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 22:45 
натурально, не панацея. но разумные умолчания ещё никому не мешали, думается.
Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

116. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:14 
> натурально, не панацея. но разумные умолчания ещё никому не мешали, думается.

Более того - сишные компилеры нынче насколько я помню умеют детектить подозрительные места такого плана и выкидывают по этому поводу варнинг. Что в общем то есть правильно, ибо присвоение в условии - странная конструкция. Придумать ей применение кроме как для раскидывания грабель довольно сложно.

Ответить | Правка | ^ к родителю #107 | Наверх | Cообщить модератору

24. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +4 +/
Сообщение от ЫыВ on 05-Мрт-12, 21:30 
Егор, успехов!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +7 +/
Сообщение от Аноним (??) on 05-Мрт-12, 21:49 
А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отказавшись чинить баг. Ну и получили левый коммит в бубен для наглядной демонстрации.

Итого: пиплу EPIC WIN. А вот дятлам использующим рельсу следует очень крепко задуматься о том что у разработчиков рубирельсы - ЖИДКИЙ МОЗГ!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –3 +/
Сообщение от анон on 06-Мрт-12, 00:41 
это не баг
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

37. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +6 +/
Сообщение от Crazy Alex (ok) on 06-Мрт-12, 01:07 
Угу. "Это не баг, это фича". На дефолтное register_globals в PHP ругаться - так баг, а подобная же дыра в рельсах - фича? Нет уж, господа, фреймворки для того и нужны чтобы о подобном не думать.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

42. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 06-Мрт-12, 07:09 
> это не баг

С точки зрения хакеров и спецслужб - безусловно, фича офигительного калибра ;]

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

49. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Alen (??) on 06-Мрт-12, 09:40 
Может они от того и не хотели закрывать, что им "настоятельно рекомендовали" ;)
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

48. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –1 +/
Сообщение от фклфт (ok) on 06-Мрт-12, 09:03 
> это не баг

Конечно не Баг, это просто очередная такая фитча которая появляется время от времени.
Не надо забывать такой же баг в апаче, portsentry, ssh, proftpd, sftpd и еще многих десятков проектов включая iptables
Благодаря таким багам позор открытым проектам
Давно уже пора навести генеральный аудит кернела а то туда столько уже напихали таких фитч интересных что просто так уже их не выпилить
Блажен тот кто верует в то что это Баги

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

75. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 16:23 
> Давно уже пора навести генеральный аудит кернела

1) RoR ну совсем никак не относится к кернелам.
2) Вы о каком кернеле? О том в котором недавно ремотно присылаемые UDP пакеты на закрытый порт код выполняли? Так это... MS исходники забыл выдать, так что пусть сам и аудитит. А у остальных таких лютых обсиронов что ремотно можно код с правами ядра выполнить уж сто лет как не было.

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

83. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –1 +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 18:43 
Жидкий мозг у тех, кто не следит за своим кодом и документацией. Сегодня это - гитхаб. Вчера это был я. И в голову не приходило винить других. И Вам советую.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

118. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:25 
> Жидкий мозг у тех, кто не следит за своим кодом и документацией.

Честно говоря, у почти всех вебдевелов мозг довольно жидковат. Как минимум по части секурити. Типовой сферический вебдев в вакууме обычно является довольно странным бакланом, который не очень понимает как все это в целом работает, уповает на то что за него все сделают более высокоразвитые существа в фреймворке/рантайме/чем там блин еще. А эти более высокоразвитые возьми да и окажись такими же бакланами, подкладывающими свинью "братьем нашим меньшим". К большому облому этих самых меньших...

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

27. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +5 +/
Сообщение от Ya email(??) on 05-Мрт-12, 22:00 
Радостно видеть, что ещё не все мозги из России уехали за рубеж... Респект мужику!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +3 +/
Сообщение от Аноним (??) on 05-Мрт-12, 23:20 
Ну ничего, вот получит рабочую визу от того же github :3
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 05-Мрт-12, 23:31 
На колыму.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

50. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +3 +/
Сообщение от hummermania (ok) on 06-Мрт-12, 09:47 
ЩО уже и там github???
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 06-Мрт-12, 00:05 
Кстати, не из Питера он, не видел я его тут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 00:23 
Ну молодец. В пятницу сообщил GitHub об уязвимости, а в воскресенье уже атаковал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +4 +/
Сообщение от Crazy Alex (ok) on 06-Мрт-12, 01:05 
Такое надо фиксить моментально, вообще-то.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

51. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 11:19 
Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

63. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Alex (??) on 06-Мрт-12, 13:24 
>Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.

Вообще-то багрепорт закрыли с сообщением, что это их не касается

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

64. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –1 +/
Сообщение от Ваня (??) on 06-Мрт-12, 13:30 
http://mobile.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az...

Вообще то голову иногда полезно включать.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

103. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 22:22 
Я вообще не понимаю, как хакер нашел уязвимость и ступанул с тем, кому писать.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

104. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 22:25 
Хотя вот тут пишут, что это он так пошутил над RoR :)
Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

70. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 14:57 
Кто закрыл и кого не касается? И причём здесь ГитХаб?
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

101. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Crazy Alex (ok) on 06-Мрт-12, 21:26 
Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи (hint - время на планете разное) не подняли девелоперов и в авральном порядке всё не починили - им минус. Или если не могли - надо было корректно отписаться товарищу (мол, спасибо, работаем, фикс будет тогда-то) и закрыть на фиг дыру любыми грубыми способами, вплоть до перевода гитхаба в ридонли.
Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

43. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +2 +/
Сообщение от Аноним (??) on 06-Мрт-12, 07:13 
> а в воскресенье уже атаковал.

Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг. Ну если на анонс о уязвимости столь лaмерская реакция - то по-моему самому вбрoсить фикс :) бага :) это вообще архиэпично и довольно благородно.

Блэкхэт бы найдя такое просто закoммитил втихую бэкдоры в кучу проектов и ржал втихарика над "этими идиoтами" использующими "это решeто" от "некомпетентных обeзьян". Попутно рубая килобаксы на черном рынке. А тут перец просто технично пофиксил баг сам, сам прописав себе права. Epic win! Нагляднее показать разработчикам сита что у них много дырок просто невозможно :)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

44. "В GitHub устранена уязвимость, допускающая внедрение..."  +3 +/
Сообщение от arisu (ok) on 06-Мрт-12, 07:18 
в общем да, всё логично: раз это не баг, то какая проблема в том, что человек использовал *штатную фичу* тогда, когда захотел?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

46. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 07:31 
> в общем да, всё логично: раз это не баг, то какая проблема
> в том, что человек использовал *штатную фичу* тогда, когда захотел?

Вот именно, Капитан. В этом и состоит комизм ситуации ;]

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

47. "В GitHub устранена уязвимость, допускающая внедрение..."  +1 +/
Сообщение от arisu (ok) on 06-Мрт-12, 07:35 
ну, я на всякий случай расшифровал. Кэп я или нет? надо ж реноме поддерживать.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

76. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 16:24 
> реноме поддерживать.

Спасибо, Капитан :)

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

52. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 11:24 
А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт в багтрекере ГитХаба?

Ну и баг он не фиксил. Он просто пролез в форточку и оставил на видном месте надпись «Здесь был Вася». Хорошо, конечно, что не насрал на стол, но это не такое уж и достижение.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

62. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –2 +/
Сообщение от Ваня (??) on 06-Мрт-12, 13:11 
Поручик Ржевский приехал к Безухову, но не застал того дома. "Может в рояль насрать? Ан нет, не поймут. Деревня..."

Так и здесь: не поймут. Деревня...

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

114. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 00:04 
Ваня, надо быть скромнее...
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

115. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 00:08 
> Ваня, надо быть скромнее...

И вытаскивать дерьмо из карманов, когда выходите в свет...

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

84. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 19:05 
> А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт
> в багтрекере ГитХаба?

а бага нет. авторы RoR сказали, что это вообще не баг. а раз не баг — это штатная фича. не вижу, с каких пор стало нужно запрашивать разрешения или писать в багтрекер о штатной фиче.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

94. "В GitHub устранена уязвимость, допускающая внедрение..."  +1 +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 21:10 
Баг не в самом RoR, а в GitHub. Если программист на PHP напишет код, допускающий SQL-инъекции, куда багрепорт нужно слать — в PHP или авторам этого кода на PHP?
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

96. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 21:14 
> Баг не в самом RoR, а в GitHub.

а гитхаб никто не трогал, например.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

98. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от gegMOPO4 (ok) on 06-Мрт-12, 21:20 
Как это не трогал? А новость о чём?
Ответить | Правка | ^ к родителю #96 | Наверх | Cообщить модератору

99. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 21:25 
> Как это не трогал? А новость о чём?

о том, что немножко пошутили над авторами RoR. где в новости информация о том, что он тронул код гитхаба?

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

105. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от kuraga email(ok) on 06-Мрт-12, 22:31 
Ну он на него все равно че-т послал :) Та же инъекция-биекция)))))))
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

106. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 22:44 
> Ну он на него все равно че-т послал :) Та же инъекция-биекция)))))))

таких «инъекций» — каждый первый коммит. %-)

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

85. "В GitHub устранена уязвимость, допускающая внедрение..."  +1 +/
Сообщение от arisu (ok) on 06-Мрт-12, 19:07 
p.s. гитхаб он не ломал. он воспользовался штатной фичей RoR, чтобы немножко улыбнуться над авторами RoR. которые страшно далеки от народа и не летают, пока по тестикулам не пнёшь.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

40. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от chemtech (ok) on 06-Мрт-12, 06:21 
Хочу заметить, что написано не просто "Егором Хомяковым", а "Егором Хомяковым из Санкт-Петербурга")
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +1 +/
Сообщение от Аноним (??) on 06-Мрт-12, 11:40 
Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внятно и связно изъясняться ни на русском, ни на английском. В этом тоже может быть проблема что его не услышали вовремя.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

55. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от AlexYeCu (ok) on 06-Мрт-12, 11:55 
Использовал русский язык — не поняли.
Использовал английский язык — не поняли.
Использовал Ruby язык — поняли!
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

56. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Andrey Mitrofanov on 06-Мрт-12, 12:03 
--2 наряда вне очереди. --Нэпанимаю. --3 наряда вне очереди! --Нэпанимаю. --5 нарядов вне очереди!! --Нэ имеишь права.
Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

69. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 14:40 
В Арче, оказывается, тоже есть страшный баг. Установка по-умолчанию не включает iptables!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  –1 +/
Сообщение от Аноним (??) on 06-Мрт-12, 15:23 
Зачем iptables на десктопной системе? Или к чему это было написано?
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

77. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 16:27 
> Зачем iptables на десктопной системе?

Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть. Такого от арчеводов я как-то не ожиждал. Хотя... памятуя о том что они подписи пакетов еще только собираются прикручивать несложно понять насколько они класть хотели на безопасность использования их системы :\

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

89. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 19:50 
> Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.

потому что без файрвола винда похожа не просто на решето, а на решето без сита. это раз.

два: покажи мне домохозяйку, устанавливающую арч.

три: давай проведём эксперимент: выставим в интернеты голую winxp и голый arch. и посмотрим, что с ними будет через пол-дня. дольше не предлагаю по очевидным причинам.

голубчик, ты, возможно, удивишься, но основное назначение iptables — вовсе не «закрывать порты в дырявой системе».

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

122. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:46 
> потому что без файрвола винда похожа не просто на рeшето, а на
> рeшето без сита. это раз.

Там файрвол такой, конечно... умеет только на вход и правила примитивные как топор. В общем не понятно зачем каменным топором неандертальца козырять, неодобрительно косясь на сверхзвуковой истребитель :)

> голубчик, ты, возможно, удивишься, но основное назначение iptables — вовсе не
> «закрывать порты в дырявой системе».

Во первых, удавка лишнего траффа еще никому не мешала. В конце концов, эксплойт в принципе и в линухе может прилететь. Через браузер или что там еще. Ничему не противоречит, программы там ничем таким принципиально не отличаются. Ты же не проводил аудит всего софта на предмет дырок, правда? А фигня случается, например с libpng вон недавно было. То что оперативно заткнули - отлично, но до этого то дырень была. И о ней в принципе кто-то мог знать и раньше. Why not? :)

Еще бывает откровенно нежелательная активность типа брутфорса ssh в 200 потоков из публичной LAN в которой водится чуть более чем 9000 видов заразы и автоматизированной активности - тоже радости не особо добавит. Конечно можно рассказать что нефиг использовать ssh для доступа к компьютеру, но...

Ну и наконец, довольно тупо когда есть приличный движок фильтра но нет средств для управления оным. Впрочем у арчеводов вообще с логикой по жизни хило. Они вон и цифровые подписи к пакетам только прикручивают. А то что в принципе любой козел может при этом подменить пакет и отгрузить что угодно - их не волнует. Неуловимый Джо такой неуловимый :)

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

90. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 19:52 
>Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.

Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

119. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:33 
> Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.

А легко. Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю нескольким окружающим. Айпитаблес - поможет. Ну и вообще, тупо иметь мощный фильтр в системе но не иметь интерфейса к нему. Машина с мощным двигателем но без руля - круто придумано :)

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

110. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Клыкастый (ok) on 06-Мрт-12, 23:05 
> Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.

в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжение
в венде - чтобы не выпускать наружу троянов и прочий гадюшник. естественно что оно там - есть. подобие.

несмотря на то, что товарисча резко минусанули, поддержу его и расширю вопрос: что именно по-вашему должен защищать файрвол на десктопе?

$ netstat -an | grep LIST | grep tcp
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN    
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN    

итак?


Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

120. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:35 
> итак?

Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно брутфорсить пассворды потоков так в 200, вам должно понравиться :)

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

121. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 09-Мрт-12, 23:40 
да на здоровье.
Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

123. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:49 
> да на здоровье.

Я что-то не уверен что его пропрет что ремотная активность уперла его проц в потолок :). Особенно прикольно на ноуте, где батарейка в результате такой деятельности уйдет в 0 не за 8 часов а за 2-3.

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

127. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Клыкастый (ok) on 12-Мрт-12, 13:51 
>> да на здоровье.
> Я что-то не уверен что его пропрет что ремотная активность уперла его
> проц в потолок :). Особенно прикольно на ноуте,

ноут с гигабитным каналом и белым ip? однако...

Ответить | Правка | ^ к родителю #123 | Наверх | Cообщить модератору

78. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 17:03 
К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в официальных Rails Guides с рекомендацией "всегда используйте attr_accessible в моделях", как-то некорректно называть багом и уязвимостью.
Разработчики ГитХаба это прозевали? Прозевали. Но при чём тут Rails?
Однако, я всё же согласен с тем, что включение вайтлиста по-умолчанию - хорошая идея.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

91. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 20:00 
Что самое забавное, минусуют те, кто iptables в глаза не видел. Зато у них в голове прочно засел очередной миф из чудесного мира Windows, что если нет фильтрации пакетов, то все, ппц, из интернета атакуют злобные хакеры и заразят винлокером.
Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

86. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 19:08 
да, кстати. ведь у github насильный https — откуда уязвимость? ведь всем известно: стоит отрубить http и всех насильно переводить на https — и никаких уязвимостей. разве не так?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

108. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 06-Мрт-12, 23:02 
Не так. Но http при наличии https обязан быть отрублен.
Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

109. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от arisu (ok) on 06-Мрт-12, 23:03 
> Не так.

как же это «не так»? а зачем тогда насильно впаривать https, который и неудобней, и тормозней, и нагрузка на сервера больше?

> Но http при наличии https обязан быть отрублен.

с чего бы?

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

124. "В GitHub устранена уязвимость, допускающая внедрение..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:56 
> Не так. Но http при наличии https обязан быть отрублен.

Кто это придумал? И главное - что там такого ценного что предлагается шифровать? Я вот честное пионерское, не вижу никакой активности которую бы я производил на гитхабе и которая бы требовала сокрытия от посторонних глаз. Зато пока SSL сконектится, перекинется ключами и прочая, HTTP уже давно сгоняет запрос и получит ответ, а SSL еще только начинает конектиться поверх секурного туннеля... который рыли непонятно зачем, секуря вообще неизвестно что и зачем. Гениально, мля.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

112. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Maxim Filatov email on 07-Мрт-12, 11:31 
>> после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован релиз Ruby on Rails 3.2

А у кого тут машина времени?
Релиз Ruby on Rails 3.2 вышел 20-го января.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

125. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."  +/
Сообщение от Аноним (??) on 09-Мрт-12, 23:57 
> А у кого тут машина времени?

У того самого хацкера, он коммит на 1000 лет вперед сделал, чтоли :)


Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру