| |
| |
| |
| 4.45, Аноним (-), 07:20, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– | |
Ну разве что если лень разработчиков рельсы, тогда да:
> функциональность необходимая для этого по-умолчанию отключена в стандартной инсталляции
> Ruby on Rails | | |
| |
| 5.80, kuraga (ok), 18:31, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| –1 +/– |
 Ну? А кто сказал, что она должна быть ВКЛЮЧЕНА? Программист проекта САМ должен заботиться о балансе между удобством и безопасностью. И описываемая опция в рельсах ВКЛЮЧАЕМА, А НЕ ОТСУТСТВУЕТ!!!
| | |
| |
| 6.111, Аноним (-), 09:21, 07/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
да вы че!! это одна строчка в модели, которая к тому-жу по умолчанию попадает, если скаффолдом создавать, как обычно и делают. Автор новости вообще не в теме. Это как утверждать что С не может печатать на экран, т.к. команда printf по умолчанию не включена.
| | |
|
|
|
|
|
| |
| |
| 3.32, Псто (?), 23:59, 05/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| –5 +/– |
товарищь, не ленись - пользуйся головой. бага нет. простой косяк разработчиков гитхаба с масс-ассайментс. расходимся.
| | |
| |
| 4.41, Аноним (-), 07:08, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +5 +/– | |
> бага нет.
Добро пожаловать в матрицу! Бага нет, а левые коммиты - есть. Trollaface.jpg
> простой косяк разработчиков гитхаба с масс-ассайментс.
Как я понимаю такой косяк может иметь место на еще 100500 разных сайтов и по дефолту даже средства борьбы с геморроем не активны, хотя они и есть в природе. Просто потому что разработчики фреймворка - упертые бараны. Тест бараньего лба супротив ворот однако показал что ворота попались сцуко прочные, даже закрытие бага с разбега не пробирает.
> расходимся.
Скатертью дорога.
| | |
| |
| |
| 6.73, Аноним (-), 16:20, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> Если вы не имеете представления о рельсах и о какой уязвимости здесь
> идёт речь, то не нужно нести чепухи. В наличии уязвимости виноваты
> только разработчики гитхаба так как в документации по mass-assignment чёрным по
> белому написано что по умолчанию работает стратегия чёрного списка,
Слушайте, прыг по граблям - многофазный процесс. Один кладет грабли, второй не смотрит под ноги, третий ему шишак на лбу лечит.
Вот только исходно больше всех виноват тот кто грабли на дороге бросил (разработчики RoR). Те кто под ноги не смотрел конечно тоже виноваты, ибо под ноги смотреть все-же надо. Только первых это все не извиняет. Поэтому если кто-то возжелал почесать спину граблями тому кто их бросил - так ему и надо, нефиг разбрасывать! :)
| | |
| |
| 7.81, kuraga (ok), 18:35, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Бред. Отключенный белый список - ровно такая же грабля, как и наоборот. Целью фреймворка не было создание безопасных приложений без участия программера. И слава богу. А то вообще думать перестанем.
| | |
|
|
|
| |
| 5.71, gegMOPO4 (ok), 15:01, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– |
 Следить, конечно, обязаны, тут они, конечно, ошиблись. Но есть более приличные способы указать на слабость замка, чем вламываться в дом.
| | |
| |
| 6.87, arisu (ok), 19:41, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
 а кто вламывался-то? O_O
сказали же: это фича. фичу можно использовать. если замок разваливается в пыль от того, что рядом с ним чихнули, а производитель замка утверждает, что это фича, и замки надо оборудовать шумопоглотителями, то ок — надо так надо. только чихание возле замков становится использованием фичи, а не эксплуатированием бага, такие дела. а то может мне ещё перед каждым коммитом гитхаб за две недели предупреждать? ведь коммит у них файлы на диске меняет — вдруг и эту фичу использовать нельзя?
| | |
| |
| 7.92, gegMOPO4 (ok), 20:54, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Если владелец цифрового замка оставляет код 12345 (хотя в инструкции к замку настоятельно советуют его сменить, но кто ж читает инструкции?), это вина владельца замка, или производителя? И если кто-то попробовал эту комбинацию на чужом замке и она подошла, то законно ли ему после этого проникать в дом?
| | |
|
|
| 5.74, Аноним (-), 16:21, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– | |
> что все эти фичи в RoR очень хорошо документированы.
Для начала, дефолты должны быть безопасными. А не так что мы разбросаем на поле мины и честно вывесим табличку "осторожно, мины!" (а кто не увидел табличку - сам дурак!)
| | |
| |
| 6.79, SLK (?), 18:25, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Согласен. Думаю, что всем разраобчикам ORM библиотек (не только ActiveRecord и не только в
Ruby) где есть возможность делать mass assignment полей обьекта, нужно об этом
позаботиться. Таких не мало ... есть PHP ActiveRecord, есть ASP.NET MVC, в Java скорее
всего тоже есть ORM-ы с такой возможностью ... везде свои настройки по умолчанию
и соответственно опасность mass assignment.
К примеру в DataMapper (альтернативная ORM библиотека на Ruby) по умолчанию все поля
обьявленные ключевыми не возможно изменить через mass assignment, только через
геттеры\сеттеры.
| | |
| 6.82, kuraga (ok), 18:39, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Спорно. Ибо абсолютной безопасности пока нет. Поэтому и "безопасные по дефолту" - мнимо. "БОЛЕЕ безопасные, к ДАННОМУ виду атак" - если бы сказали так, то согласился бы. Безопасность - отсутствие возможностей :)
| | |
| |
| 7.88, arisu (ok), 19:42, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
однако мне кажется, что более верный подход — делать потенциально опасные вещи как opt-in, а не opt-out. заодно люди и документацию прочитают, пока будут искать, как их включить.
| | |
|
|
|
|
|
|
| 1.26, Аноним (-), 21:49, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +7 +/– | |
А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отказавшись чинить баг. Ну и получили левый коммит в бубен для наглядной демонстрации.
Итого: пиплу EPIC WIN. А вот дятлам использующим рельсу следует очень крепко задуматься о том что у разработчиков рубирельсы - ЖИДКИЙ МОЗГ!
| | |
| |
| |
| 3.37, Crazy Alex (ok), 01:07, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +6 +/– |
 Угу. "Это не баг, это фича". На дефолтное register_globals в PHP ругаться - так баг, а подобная же дыра в рельсах - фича? Нет уж, господа, фреймворки для того и нужны чтобы о подобном не думать.
| | |
| 3.48, фклфт (ok), 09:03, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– |
 > это не баг
Конечно не Баг, это просто очередная такая фитча которая появляется время от времени.
Не надо забывать такой же баг в апаче, portsentry, ssh, proftpd, sftpd и еще многих десятков проектов включая iptables
Благодаря таким багам позор открытым проектам
Давно уже пора навести генеральный аудит кернела а то туда столько уже напихали таких фитч интересных что просто так уже их не выпилить
Блажен тот кто верует в то что это Баги
| | |
| |
| 4.75, Аноним (-), 16:23, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Давно уже пора навести генеральный аудит кернела
1) RoR ну совсем никак не относится к кернелам.
2) Вы о каком кернеле? О том в котором недавно ремотно присылаемые UDP пакеты на закрытый порт код выполняли? Так это... MS исходники забыл выдать, так что пусть сам и аудитит. А у остальных таких лютых обсиронов что ремотно можно код с правами ядра выполнить уж сто лет как не было.
| | |
|
|
| 2.83, kuraga (ok), 18:43, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| –1 +/– |
Жидкий мозг у тех, кто не следит за своим кодом и документацией. Сегодня это - гитхаб. Вчера это был я. И в голову не приходило винить других. И Вам советую.
| | |
| |
| 3.118, Аноним (-), 23:25, 09/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Жидкий мозг у тех, кто не следит за своим кодом и документацией.
Честно говоря, у почти всех вебдевелов мозг довольно жидковат. Как минимум по части секурити. Типовой сферический вебдев в вакууме обычно является довольно странным бакланом, который не очень понимает как все это в целом работает, уповает на то что за него все сделают более высокоразвитые существа в фреймворке/рантайме/чем там блин еще. А эти более высокоразвитые возьми да и окажись такими же бакланами, подкладывающими свинью "братьем нашим меньшим". К большому облому этих самых меньших...
| | |
|
|
| |
| |
| 3.51, gegMOPO4 (ok), 11:19, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.
| | |
| |
| 4.63, Alex (??), 13:24, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
>Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.
Вообще-то багрепорт закрыли с сообщением, что это их не касается
| | |
| |
| |
| 6.101, Crazy Alex (ok), 21:26, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи (hint - время на планете разное) не подняли девелоперов и в авральном порядке всё не починили - им минус. Или если не могли - надо было корректно отписаться товарищу (мол, спасибо, работаем, фикс будет тогда-то) и закрыть на фиг дыру любыми грубыми способами, вплоть до перевода гитхаба в ридонли.
| | |
|
|
|
|
| 2.43, Аноним (-), 07:13, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +2 +/– | |
> а в воскресенье уже атаковал.
Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг. Ну если на анонс о уязвимости столь лaмерская реакция - то по-моему самому вбрoсить фикс :) бага :) это вообще архиэпично и довольно благородно.
Блэкхэт бы найдя такое просто закoммитил втихую бэкдоры в кучу проектов и ржал втихарика над "этими идиoтами" использующими "это решeто" от "некомпетентных обeзьян". Попутно рубая килобаксы на черном рынке. А тут перец просто технично пофиксил баг сам, сам прописав себе права. Epic win! Нагляднее показать разработчикам сита что у них много дырок просто невозможно :)
| | |
| |
| 3.44, arisu (ok), 07:18, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +3 +/– |
в общем да, всё логично: раз это не баг, то какая проблема в том, что человек использовал *штатную фичу* тогда, когда захотел?
| | |
| |
| 4.46, Аноним (-), 07:31, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
> в общем да, всё логично: раз это не баг, то какая проблема
> в том, что человек использовал *штатную фичу* тогда, когда захотел?
Вот именно, Капитан. В этом и состоит комизм ситуации ;]
| | |
|
| 3.52, gegMOPO4 (ok), 11:24, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– | |
А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт в багтрекере ГитХаба?
Ну и баг он не фиксил. Он просто пролез в форточку и оставил на видном месте надпись «Здесь был Вася». Хорошо, конечно, что не насрал на стол, но это не такое уж и достижение.
| | |
| |
| 4.62, Ваня (??), 13:11, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| –2 +/– | |
Поручик Ржевский приехал к Безухову, но не застал того дома. "Может в рояль насрать? Ан нет, не поймут. Деревня..."
Так и здесь: не поймут. Деревня...
| | |
| 4.84, arisu (ok), 19:05, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– |
> А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт
> в багтрекере ГитХаба?
а бага нет. авторы RoR сказали, что это вообще не баг. а раз не баг — это штатная фича. не вижу, с каких пор стало нужно запрашивать разрешения или писать в багтрекер о штатной фиче.
| | |
| |
| 5.94, gegMOPO4 (ok), 21:10, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +1 +/– |
Баг не в самом RoR, а в GitHub. Если программист на PHP напишет код, допускающий SQL-инъекции, куда багрепорт нужно слать — в PHP или авторам этого кода на PHP?
| | |
|
| 4.85, arisu (ok), 19:07, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +1 +/– |
p.s. гитхаб он не ломал. он воспользовался штатной фичей RoR, чтобы немножко улыбнуться над авторами RoR. которые страшно далеки от народа и не летают, пока по тестикулам не пнёшь.
| | |
|
|
|
| 1.53, Аноним (-), 11:40, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]
| +1 +/– |
Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внятно и связно изъясняться ни на русском, ни на английском. В этом тоже может быть проблема что его не услышали вовремя.
| | |
| |
| |
| 3.77, Аноним (-), 16:27, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
> Зачем iptables на десктопной системе?
Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть. Такого от арчеводов я как-то не ожиждал. Хотя... памятуя о том что они подписи пакетов еще только собираются прикручивать несложно понять насколько они класть хотели на безопасность использования их системы :\
| | |
| |
| 4.89, arisu (ok), 19:50, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [к модератору]
| +/– | |
> Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.
потому что без файрвола винда похожа не просто на решето, а на решето без сита. это раз.
два: покажи мне домохозяйку, устанавливающую арч.
три: давай проведём эксперимент: выставим в интернеты голую winxp и голый arch. и посмотрим, что с ними будет через пол-дня. дольше не предлагаю по очевидным причинам.
голубчик, ты, возможно, удивишься, но основное назначение iptables — вовсе не «закрывать порты в дырявой системе».
| | |
| 4.90, Аноним (-), 19:52, 06/03/2012 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]
| +/– | |
>Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.
Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.
| | |
| |
| 5.119, Аноним (-), 23:33, 09/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.
А легко. Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю нескольким окружающим. Айпитаблес - поможет. Ну и вообще, тупо иметь мощный фильтр в системе но не иметь интерфейса к нему. Машина с мощным двигателем но без руля - круто придумано :)
| | |
|
| 4.110, Клыкастый (ok), 23:05, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
 > Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.
в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжение
в венде - чтобы не выпускать наружу троянов и прочий гадюшник. естественно что оно там - есть. подобие.
несмотря на то, что товарисча резко минусанули, поддержу его и расширю вопрос: что именно по-вашему должен защищать файрвол на десктопе?
$ netstat -an | grep LIST | grep tcp
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
итак?
| | |
| |
| 5.120, Аноним (-), 23:35, 09/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> итак?
Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно брутфорсить пассворды потоков так в 200, вам должно понравиться :)
| | |
| |
| |
| 7.123, Аноним (-), 23:49, 09/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> да на здоровье.
Я что-то не уверен что его пропрет что ремотная активность уперла его проц в потолок :). Особенно прикольно на ноуте, где батарейка в результате такой деятельности уйдет в 0 не за 8 часов а за 2-3.
| | |
|
|
|
|
| 3.78, Аноним (-), 17:03, 06/03/2012 [^] [^^] [^^^] [ответить] [↑] [к модератору]
| +/– |
К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в официальных Rails Guides с рекомендацией "всегда используйте attr_accessible в моделях", как-то некорректно называть багом и уязвимостью.
Разработчики ГитХаба это прозевали? Прозевали. Но при чём тут Rails?
Однако, я всё же согласен с тем, что включение вайтлиста по-умолчанию - хорошая идея.
| | |
| 3.91, Аноним (-), 20:00, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– |
Что самое забавное, минусуют те, кто iptables в глаза не видел. Зато у них в голове прочно засел очередной миф из чудесного мира Windows, что если нет фильтрации пакетов, то все, ппц, из интернета атакуют злобные хакеры и заразят винлокером.
| | |
|
|
| 1.86, arisu (ok), 19:08, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]
| +/– |
да, кстати. ведь у github насильный https — откуда уязвимость? ведь всем известно: стоит отрубить http и всех насильно переводить на https — и никаких уязвимостей. разве не так?
| | |
| |
| |
| 3.109, arisu (ok), 23:03, 06/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Не так.
как же это «не так»? а зачем тогда насильно впаривать https, который и неудобней, и тормозней, и нагрузка на сервера больше?
> Но http при наличии https обязан быть отрублен.
с чего бы?
| | |
| 3.124, Аноним (-), 23:56, 09/03/2012 [^] [^^] [^^^] [ответить] [к модератору]
| +/– | |
> Не так. Но http при наличии https обязан быть отрублен.
Кто это придумал? И главное - что там такого ценного что предлагается шифровать? Я вот честное пионерское, не вижу никакой активности которую бы я производил на гитхабе и которая бы требовала сокрытия от посторонних глаз. Зато пока SSL сконектится, перекинется ключами и прочая, HTTP уже давно сгоняет запрос и получит ответ, а SSL еще только начинает конектиться поверх секурного туннеля... который рыли непонятно зачем, секуря вообще неизвестно что и зачем. Гениально, мля.
| | |
|
|
| 1.112, Maxim Filatov (?), 11:31, 07/03/2012 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]
| +/– |
 >> после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован релиз Ruby on Rails 3.2
А у кого тут машина времени?
Релиз Ruby on Rails 3.2 вышел 20-го января.
| | |
|
