forum.opennet.ru - "GitHub устранил уязвимость, приводившую к подмене сеанса пользователя" (28)

"GitHub устранил уязвимость, приводившую к подмене сеанса пользователя"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"GitHub устранил уязвимость, приводившую к подмене сеанса пользователя"	+/–
Сообщение от opennews (?), 09-Мрт-21, 10:02
GitHub сообщил о сбросе всех аутентифицированных сеансов к GitHub.com и необходимости подключиться к сервису вновь из-за выявления проблемы с безопасностью. Отмечается, что проблема проявляется очень редко и затрагивает лишь небольшое число сеансов, но потенциально представляет большую опасность, так как позволяет одному аутентифицированному пользователю получить доступ к сеансу другого пользователя... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54723
Ответить \| Правка \| Cообщить модератору

Оглавление

Хотел уже начать ныть что дырень и лохи, но подумал что всякое бывает чего уж та, КО (?), 10:02 , 09-Мрт-21, (1)
А я думал, чего у меня в последнее время периодически файерфокс баговал, когда я, Аноним (2), 10:10 , 09-Мрт-21, (2) +4

Вы попали в пресловутые 0 001 от всех аутентифицированных сеансов , t28 (?), 10:15 , 09-Мрт-21, (3) +1

Я че-то сомневаюсь, что они раскрыли истинные проценты кто себе будет репутацию, Аноним (2), 10:29 , 09-Мрт-21, (4) +2

А я думаю, истинные проценты никто не считал и число 0 001 взято с потолка, Нанобот (ok), 12:37 , 09-Мрт-21, (7)

Мы сбрасывали-то не 0001 , а все подряд - , shithub (?), 12:43 , 09-Мрт-21, (8)

С утра захожу на GitHub и вижу, что я не авторизован 8212 подумал, что пробле, Аноним (5), 10:51 , 09-Мрт-21, (5) +4
То-то я думал, а что это у меня авторизация на GitHub слетела, а оно вон оно что, Иваня (?), 11:22 , 09-Мрт-21, (6) –2
Все эти вещи начали происходить после покупки ГитХаба Майкрософтом Майкрософт - , Аноним (-), 13:11 , 09-Мрт-21, (9) –4

Исправление дыр - деградация Аноним, ты в своем уме , Урри (ok), 13:23 , 09-Мрт-21, (10) +1

GitHub устранил уязвимость, приводившую к подмене сеанса пол..., Ilya Indigo (ok), 13:44 , 09-Мрт-21, (11) +1
Кстати деграднула UI которая стала тупить и тормозить, неизвестно чего они туда , Аноним (15), 15:53 , 09-Мрт-21, (15) +1

Ну зато все стильно-модно-молодежно И гендерно нейтрально И расово толерантно , Dzen Python (ok), 22:33 , 09-Мрт-21, (18) –2

Визуально, как-раз таки, ничего не поменялось Такое впечатление что специально , Аноним (-), 19:21 , 11-Мрт-21, (27)
Белый консервативный шовинист, Последний из могикан (?), 20:11 , 15-Мрт-21, (28)

Там вроде всегда js был , Аноним (24), 21:23 , 10-Мрт-21, (24)

Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами , Аноним (2), 14:05 , 09-Мрт-21, (12)

С этим там успешно справлялись и сами, еще до покупки Я уже и не помню когда та , Аноним84701 (ok), 14:17 , 09-Мрт-21, (13)

А почему у вас не последняя версия хромолисы , Аноним (2), 15:34 , 09-Мрт-21, (14)

Некоторые, например, сидят на ESR , Аноним (20), 04:50 , 10-Мрт-21, (20)

Больно , Аноним (2), 10:45 , 10-Мрт-21, (21) –1

Кстати, очень забавно что чуть ли не половина кода небезызвестного плагина опят, пох. (?), 16:52 , 10-Мрт-21, (23)

Да нет, все норм -- вместо описания комментария, времени и автора коммита пока, Аноним84701 (ok), 00:12 , 11-Мрт-21, (25)

кот можно, дифф - уже нет Серые прямоугольники, если что, еще тоже надо загрузит, пох. (?), 00:22 , 11-Мрт-21, (26)

Правильно не так Всякие iPony и Fracta1L ы сначала на гавнокодили ошибку а пото, Аноним (16), 16:59 , 09-Мрт-21, (16)

Но по вызову явилась индусская бригада, сбросила всем сессии и отчиталась о неви, пох. (?), 16:22 , 10-Мрт-21, (22)

Ну и зря , Аноним (17), 20:32 , 09-Мрт-21, (17)

Лучше бы не устранял , Аноним (19), 23:27 , 09-Мрт-21, (19)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от КО (?), 09-Мрт-21, 10:02 +/–

Хотел уже начать ныть что дырень и лохи, но подумал что всякое бывает чего уж там.
Лишь бы не маскировали данным апдейтом очередные бэкдоры.

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 09-Мрт-21, 10:10 +4 +/–

А я думал, чего у меня в последнее время периодически файерфокс баговал, когда я заходил на discourse с логином через гитхаб (файерфокс тупо пустую страницу показывал) и приходилось сбрасывать куки браузера.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3

3. Сообщение от t28 (?), 09-Мрт-21, 10:15 +1 +/–

Вы попали в пресловутые "0.001% от всех аутентифицированных сеансов".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #4, #8

4. Сообщение от Аноним (2), 09-Мрт-21, 10:29 +2 +/–

Я че-то сомневаюсь, что они раскрыли истинные проценты (кто себе будет репутацию руинить), потому что делать это мне приходилось раз 5

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #7

5. Сообщение от Аноним (5), 09-Мрт-21, 10:51 +4 +/–

С утра захожу на GitHub и вижу, что я не авторизован — подумал, что проблемы с хранилищем cookies в Chromium. Оказалось иначе.

Ответить | Правка | Наверх | Cообщить модератору

6. Сообщение от Иваня (?), 09-Мрт-21, 11:22 –2 +/–

То-то я думал, а что это у меня авторизация на GitHub слетела, а оно вон оно что. Молодцы, хвалю.

Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Нанобот (ok), 09-Мрт-21, 12:37 +/–

А я думаю, истинные проценты никто не считал и число 0.001% взято с потолка

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

8. Сообщение от shithub (?), 09-Мрт-21, 12:43 +/–

Мы сбрасывали-то не 0001%, а все подряд ;-)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

9. Сообщение от Аноним (-), 09-Мрт-21, 13:11 –4 +/–

Все эти вещи начали происходить после покупки ГитХаба Майкрософтом.
Майкрософт - это деградация.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12

10. Сообщение от Урри (ok), 09-Мрт-21, 13:23 +1 +/–

Исправление дыр - деградация? Аноним, ты в своем уме?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #11, #15

11. Сообщение от Ilya Indigo (ok), 09-Мрт-21, 13:44 +1 +/–

> Вызывающие проблему изменения были внесены 8 февраля...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (2), 09-Мрт-21, 14:05 +/–

Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #13

13. Сообщение от Аноним84701 (ok), 09-Мрт-21, 14:17 +/–

> Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?
С этим там успешно справлялись и сами, еще до покупки.
Я уже и не помню когда та же менюшка выбора бранча/тега, работала не то что без ЖС (а были, были времена!), но хотя бы не требовала последней-предпоследней версии хромолисы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #14, #23

14. Сообщение от Аноним (2), 09-Мрт-21, 15:34 +/–

А почему у вас не последняя версия хромолисы?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20

15. Сообщение от Аноним (15), 09-Мрт-21, 15:53 +1 +/–

Кстати деграднула UI которая стала тупить и тормозить, неизвестно чего они туда понапихали и каких зондов но раньше летало и это еще без жабаскрипта.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #18, #24

16. Сообщение от Аноним (16), 09-Мрт-21, 16:59 +/–

Правильно не так. Всякие iPony и Fracta1L'ы сначала на гавнокодили ошибку а потом вызывали нормальных людей её исправить.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #22

17. Сообщение от Аноним (17), 09-Мрт-21, 20:32 +/–

Ну и зря.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

18. Сообщение от Dzen Python (ok), 09-Мрт-21, 22:33 –2 +/–

Ну зато все стильно-модно-молодежно. И гендерно нейтрально. И расово толерантно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #27, #28

19. Сообщение от Аноним (19), 09-Мрт-21, 23:27 +/–

Лучше бы не устранял.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от Аноним (20), 10-Мрт-21, 04:50 +/–

Некоторые, например, сидят на ESR.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #21

21. Сообщение от Аноним (2), 10-Мрт-21, 10:45 –1 +/–

Больно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от пох. (?), 10-Мрт-21, 16:22 +/–

Но по вызову явилась индусская бригада, сбросила всем сессии и отчиталась о невиданном успехе в борьбе с безопастностью.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

23. Сообщение от пох. (?), 10-Мрт-21, 16:52 +/–

Кстати, очень забавно что чуть ли не половина кода небезызвестного плагина (опять сломали, между нами) занимается вовсе не починкой шитхаба, а отламыванием бесконечных csp подлянок этого самого шитхаба, изо всех сил старающегося заблокировать расширениям такую возможность. Кажется, потому и сломалось - там опять еще более улучшили csp.
И, если ты проспал, без js (без особого, шитхабовского js с тормозными перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем, а не только выбор версии. Воистину, достижение для сайта, чья единственная задача - просто показывать текст исходника. И чяяяяятик, конечно, но если он сломается, никто из нас, полагаю, не заметит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #25

24. Сообщение от Аноним (24), 10-Мрт-21, 21:23 +/–

> но раньше летало и это еще без жабаскрипта
Там вроде всегда js был.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

25. Сообщение от Аноним84701 (ok), 11-Мрт-21, 00:12 +/–

> И, если ты проспал, без js (без особого, шитхабовского js с тормозными
> перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем,
> а не только выбор версии.
Да нет, все "норм" -- вместо описания/комментария, времени и автора коммита показывает только серые прямоугольники (на фоне загрузки 1.18 MB данных без JS-скриптов, для простой странички мелкого проекта -- очешуительная экономия, однако!), но кликнуть на ссылку и увидеть код все еще можно.
С другой стороны, я и не знаю уже, как оно "должно работать" на самом деле -- подозреваю, что даже в последнем FF-ESR, без скрипторезки, оно показывается ущербно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от пох. (?), 11-Мрт-21, 00:22 +/–

кот можно, дифф - уже нет.
Серые прямоугольники, если что, еще тоже надо загрузить и отрисовать.
P.S. если у тебя совсем древняя, 52я мурзилалтс - найди плагин justoff, и добавь или замени там в исходнике симанку на мурзилу - увидишь, где. Полагаю, починитсо. Не забудь проверить консоль на тему вони про csp, если есть - выключи на..й.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

27. Сообщение от Аноним (-), 11-Мрт-21, 19:21 +/–

Визуально, как-раз таки, ничего не поменялось. Такое впечатление что специально сделаны тормоза, ну не верю я что дизигнеры на столько деграданты, либо конечно мстят за невыплату зп

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

28. Сообщение от Последний из могикан (?), 15-Мрт-21, 20:11 +/–

Белый консервативный шовинист

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от КО (?), 09-Мрт-21, 10:02	+/–
Хотел уже начать ныть что дырень и лохи, но подумал что всякое бывает чего уж там. Лишь бы не маскировали данным апдейтом очередные бэкдоры.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от Аноним (2), 09-Мрт-21, 10:10	+4 +/–
А я думал, чего у меня в последнее время периодически файерфокс баговал, когда я заходил на discourse с логином через гитхаб (файерфокс тупо пустую страницу показывал) и приходилось сбрасывать куки браузера.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #3

3. Сообщение от t28 (?), 09-Мрт-21, 10:15	+1 +/–
Вы попали в пресловутые "0.001% от всех аутентифицированных сеансов".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #4, #8

4. Сообщение от Аноним (2), 09-Мрт-21, 10:29	+2 +/–
Я че-то сомневаюсь, что они раскрыли истинные проценты (кто себе будет репутацию руинить), потому что делать это мне приходилось раз 5
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #7

5. Сообщение от Аноним (5), 09-Мрт-21, 10:51	+4 +/–
С утра захожу на GitHub и вижу, что я не авторизован — подумал, что проблемы с хранилищем cookies в Chromium. Оказалось иначе.
Ответить \| Правка \| Наверх \| Cообщить модератору

6. Сообщение от Иваня (?), 09-Мрт-21, 11:22	–2 +/–
То-то я думал, а что это у меня авторизация на GitHub слетела, а оно вон оно что. Молодцы, хвалю.
Ответить \| Правка \| Наверх \| Cообщить модератору

7. Сообщение от Нанобот (ok), 09-Мрт-21, 12:37	+/–
А я думаю, истинные проценты никто не считал и число 0.001% взято с потолка
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

8. Сообщение от shithub (?), 09-Мрт-21, 12:43	+/–
Мы сбрасывали-то не 0001%, а все подряд ;-)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3

9. Сообщение от Аноним (-), 09-Мрт-21, 13:11	–4 +/–
Все эти вещи начали происходить после покупки ГитХаба Майкрософтом. Майкрософт - это деградация.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #10, #12

10. Сообщение от Урри (ok), 09-Мрт-21, 13:23	+1 +/–
Исправление дыр - деградация? Аноним, ты в своем уме?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #11, #15

11. Сообщение от Ilya Indigo (ok), 09-Мрт-21, 13:44	+1 +/–
> Вызывающие проблему изменения были внесены 8 февраля...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10

12. Сообщение от Аноним (2), 09-Мрт-21, 14:05	+/–
Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #13

13. Сообщение от Аноним84701 (ok), 09-Мрт-21, 14:17	+/–
> Они купили гитхаб, чтоб выгнать всех разработчиков и заменить индусами? С этим там успешно справлялись и сами, еще до покупки. Я уже и не помню когда та же менюшка выбора бранча/тега, работала не то что без ЖС (а были, были времена!), но хотя бы не требовала последней-предпоследней версии хромолисы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #14, #23

14. Сообщение от Аноним (2), 09-Мрт-21, 15:34	+/–
А почему у вас не последняя версия хромолисы?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #20

15. Сообщение от Аноним (15), 09-Мрт-21, 15:53	+1 +/–
Кстати деграднула UI которая стала тупить и тормозить, неизвестно чего они туда понапихали и каких зондов но раньше летало и это еще без жабаскрипта.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #18, #24

16. Сообщение от Аноним (16), 09-Мрт-21, 16:59	+/–
Правильно не так. Всякие iPony и Fracta1L'ы сначала на гавнокодили ошибку а потом вызывали нормальных людей её исправить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #22

17. Сообщение от Аноним (17), 09-Мрт-21, 20:32	+/–
Ну и зря.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #19

18. Сообщение от Dzen Python (ok), 09-Мрт-21, 22:33	–2 +/–
Ну зато все стильно-модно-молодежно. И гендерно нейтрально. И расово толерантно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #27, #28

19. Сообщение от Аноним (19), 09-Мрт-21, 23:27	+/–
Лучше бы не устранял.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

20. Сообщение от Аноним (20), 10-Мрт-21, 04:50	+/–
Некоторые, например, сидят на ESR.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #21

21. Сообщение от Аноним (2), 10-Мрт-21, 10:45	–1 +/–
Больно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

22. Сообщение от пох. (?), 10-Мрт-21, 16:22	+/–
Но по вызову явилась индусская бригада, сбросила всем сессии и отчиталась о невиданном успехе в борьбе с безопастностью.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16

23. Сообщение от пох. (?), 10-Мрт-21, 16:52	+/–
Кстати, очень забавно что чуть ли не половина кода небезызвестного плагина (опять сломали, между нами) занимается вовсе не починкой шитхаба, а отламыванием бесконечных csp подлянок этого самого шитхаба, изо всех сил старающегося заблокировать расширениям такую возможность. Кажется, потому и сломалось - там опять еще более улучшили csp. И, если ты проспал, без js (без особого, шитхабовского js с тормозными перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем, а не только выбор версии. Воистину, достижение для сайта, чья единственная задача - просто показывать текст исходника. И чяяяяятик, конечно, но если он сломается, никто из нас, полагаю, не заметит.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #25

24. Сообщение от Аноним (24), 10-Мрт-21, 21:23	+/–
> но раньше летало и это еще без жабаскрипта Там вроде всегда js был.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

25. Сообщение от Аноним84701 (ok), 11-Мрт-21, 00:12	+/–
> И, если ты проспал, без js (без особого, шитхабовского js с тормозными > перемигивающимися модными полифилами) теперь там не работает вообще ничего. Вот совсем, > а не только выбор версии. Да нет, все "норм" -- вместо описания/комментария, времени и автора коммита показывает только серые прямоугольники (на фоне загрузки 1.18 MB данных без JS-скриптов, для простой странички мелкого проекта -- очешуительная экономия, однако!), но кликнуть на ссылку и увидеть код все еще можно. С другой стороны, я и не знаю уже, как оно "должно работать" на самом деле -- подозреваю, что даже в последнем FF-ESR, без скрипторезки, оно показывается ущербно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #23 Ответы: #26

26. Сообщение от пох. (?), 11-Мрт-21, 00:22	+/–
кот можно, дифф - уже нет. Серые прямоугольники, если что, еще тоже надо загрузить и отрисовать. P.S. если у тебя совсем древняя, 52я мурзилалтс - найди плагин justoff, и добавь или замени там в исходнике симанку на мурзилу - увидишь, где. Полагаю, починитсо. Не забудь проверить консоль на тему вони про csp, если есть - выключи на..й.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

27. Сообщение от Аноним (-), 11-Мрт-21, 19:21	+/–
Визуально, как-раз таки, ничего не поменялось. Такое впечатление что специально сделаны тормоза, ну не верю я что дизигнеры на столько деграданты, либо конечно мстят за невыплату зп
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

28. Сообщение от Последний из могикан (?), 15-Мрт-21, 20:11	+/–
Белый консервативный шовинист
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18