|
| 1.2, Crazy Alex (ok), 22:54, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Ну и динозавры, однако. Это же что надо делать, чтобы не проапдейтиться с тех пор? При апдейте с уязвимой версии SSH, насколько я помню, заставлял сменить ключи
| | |
| |
| 2.4, Аноним (-), 22:59, 03/06/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
Причём тут "уязвимой версии SSH" и "не проапдейтиться с тех пор". Проблема в том, что сгенерировали ключ в системе с уязвимой версией OpenSSL. OpenSSL потом успешно поправили, но про ключ забыли.
| | |
| |
| 3.7, anonymous (??), 23:21, 03/06/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на Ту Самую уязвимость.
| | |
| |
| 4.25, Andrey Mitrofanov (?), 09:55, 04/06/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает
Это он в Debian-е прилетел, у тебя, у меня (и, кстати, и тут openssh-blacklist{,-extra} можно деинсталировать -- вообще без вопросов; то же и с openSSL-blacklist{,-extra). Вопрос, собственно, пошли ли те BL-патчи в апстрим, _включая_ maint.-релизы, и др. дистрибутивные эко. [Да, я не в курсе. Исследователи "наверху" тоже не прояснили?] И как ловить неправильный ключ васи пупкина, который, например, на putty.exe.
> утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на
> Ту Самую уязвимость.
Утилит аж 3 штуки -
usr/bin/openssl-vulnkey net/openssl-blacklist
usr/bin/ssh-vulnkey net/openssh-client
usr/sbin/openvpn-vulnkey net/openvpn-blacklist
, но встроена ли соотв.проверка в клиент и сервер? С руганью в консоль и логи?
| | |
| |
| 5.32, Crazy Alex (ok), 13:51, 04/06/2015 [^] [^^] [^^^] [ответить]
| +/– |
ну так где кривые ключи генерировали - там он и прилетел и поймал их. Как они окажутся на putty.exe? Разве что если какой дебил нарушил принцип "каждой машине - свой ключ/ключи" - ну так его проблемы, надо хоть как-то понимать, что делаешь.
| | |
|
|
|
|
| |
| 2.5, Аноним (-), 23:10, 03/06/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
И что? Причём это на техническом ресурсе? Латентность покоя не дает?
| | |
| |
| 3.8, Michael Shigorin (ok), 23:24, 03/06/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
 > При чём это на техническом ресурсе?
Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада.
Где-то так и тут, увы.
PS: ещё не удивлюсь, если вылезет какой-нить ярый доказатель того, что "дебиан был прав" и вообще всё это клевета, а на него найдётся очередная едкость у того же arisu.
| | |
| |
| 4.11, Аноним (-), 23:34, 03/06/2015 [^] [^^] [^^^] [ответить]
| +4 +/– | |
То, что авторский коллектив джумлы недавно из детского садика, сразу видно по коду.
Социально-политические выверты всегда раздражают. Не имею ничего против любых ориентаций, вероисповеданий и мнений, пока их мне никто не навязывает. Гей-пропаганда, впрочем, ровно так же отвратительна, как и российские пиарщики, оседлавшие волну госпропаганды с "антисанкциями" и прочими "крымнашами". Одного поля ягоды. Но при должном качестве продукта это все можно и игнорировать до определенной степени.
| | |
| |
| 5.31, прохожий (?), 13:31, 04/06/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
читаю новость, читаю коммент, читаю новость, казалось бы причем тут геи, но анонимные аналитики всегда найдут то что скрыто от нас... а может анонимных аналитиков очень волнует этот вопрос, закрадываются подозрения по поводу предпочтений анонимов
| | |
|
| 4.15, Анончег (?), 04:55, 04/06/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla ...
Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, чем какая-то непонятная Joomla.
| | |
| |
| |
| 6.35, Анончег (?), 00:54, 05/06/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
>>> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток
>> Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет,
> "Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-FDO-To-GitHub
> "Товарищ Фарфуркис, разберитесь!"
>> чем какая-то непонятная Joomla.
Митрофанычъ, тов. Фарфуркис занят, бухает с Фёдором в стекляшке - обсуждают перспективы встраивания неонки в Joomla, и её дальнейшую рационализацию.
| | |
|
|
| 4.19, Аноним (-), 06:51, 04/06/2015 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада.
Django разрабы тоже потешили, нашелся затейник решивший привести код к полит корректности, убрать с програмного кода "master - slave" и прочие выражения заменив их на полит корректными.
Остальная часть сообщества вместо того чтобы промолчать, жестко высказала всё что думает по поводу толерастии.
| | |
| 4.23, Аноним (-), 09:27, 04/06/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
То есть мы будем судить о специалистах не по качеству работы, а по тому, кого и в какие места они трахают?
МакКузик вот BSD запилил, а некоторые мои знакомые, не отличающиеся, как вы говорите, "вывертами", собственных детей воспитать не могут.
| | |
|
|
|
| 1.6, Аноним (-), 23:12, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Тот редкий случай, когда я рад, что в 2007-м году пользовался FreeBSD. :-)
| | |
| 1.12, Ahulinux (ok), 23:34, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >у разработчиков, имеющих право коммита в репозитории компаний Яндекс
<sarcasm>Вот где-где, а в яндексе не ожидал.
Ps Небось девелопер из части по яндекс.директ
| | |
| 1.26, Andrey Mitrofanov (?), 09:59, 04/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
>Ошибка была внесена в 2006
> году и устранена в мае 2008 года. Число пользователей GitHub с
> уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены
> у разработчиков, имеющих право коммита в репозитории
Хорошо, что коммиты b тарболы подписывают gpg. Пока снова не грянет?
> ключа было потрачено менее трёх дней, а 256-битного - 25 минут. | | |
| 1.28, Мызасмысл (?), 10:19, 04/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал
А с чего это он "Кох", когда он Кокс?
| | |
| |
| 2.29, Andrey Mitrofanov (?), 10:32, 04/06/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
>> Бен Кох (Ben Cox), инженер
> А с чего это он "Кох", когда он Кокс?
Чтобы не орпагандировать. Чёрную металлургию.
| | |
| |
| 3.40, anonymous (??), 15:27, 05/06/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> а палочка кокса у него есть?
Может и есть.
Но никто не знает что такое "палочка кокса".
Поэтому невозможно сказать есть ли она у него.
| | |
|
|
| 1.38, б.б. (?), 12:11, 05/06/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я помню, как-то при то ли создании нового репозитория, толи ещё при какой-то операции на github (примерно год-полтора назад) при вводе пароля успел подумать, что я не тот пароль ввожу - но уже автоматом ввёл и нажал enter... так этот github дажее не подавился, и сделал всё, что нужно. (вот так я стал хакиром)
| | |
|
