| |
| 2.5, пох. (?), 10:30, 04/12/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
да, а ведь шел пацанчик к успеху.
Впрочем, глядя на свой сервер, где dateutil есть, а желефиши никакой нет - если сам от себя зависимость не поставишь, никто о тебе не позаботится.
| | |
|
| 1.4, Анонимчик (?), 10:25, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –10 +/– |
День через день новости о уязвимостях и вредоносах... Сейчас говорят во фряхе сделали или делают возможность грузится с защитой какой-то в уефи, а то я так и не осилил.Надо валить с линукса. Параноиком уже стал черт побери.
| | |
| |
| 2.6, Аноним (6), 10:30, 04/12/2019 [^] [^^] [^^^] [ответить]
| +5 +/– |
Ты совсем поехавший? Каким боком тут линукс? Лично я чувствую себя куда спокойнее, когда дыры находят и исправляют, чем когда дыры это кого надо дыры, поэтому альтернатив линуксу просто нет. А npm тот же ещё большая помойка, поэтому можешь уже сейчас отказаться от использования браузеров и интернета.
| | |
| 2.7, пох. (?), 10:31, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
да-а-а, поравалить, на б-жественной-то десяточке искать "ssh и pgp ключи" (да еще не в пуссином формате, небось) занятие почти безнадежное.
| | |
| |
| 3.9, Аноним (6), 10:35, 04/12/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>на б-жественной-то десяточке искать "ssh и pgp ключи"
Большинство компрометаций инфраструктур так и происходит, внезапно. Понятно, что вендузятников наду сразу гнать ссаными тряпками, но где ты найдёшь столько работников с линуксом?
| | |
| |
| 4.10, fooser (?), 10:51, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже надо гнать ссаными тряпками.
| | |
| |
| 5.13, Аноним (6), 11:07, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> тех, кто кроме линукса ничего из юникс-подобных систем не знает, того тоже
> надо гнать ссаными тряпками.
С остальными юникс-подобными системами ты можешь рассчитывать лишь на эффект неуловимого джо, это не то. Ну если не считать яблочную продукцию - у неё проприетарная природа и у неё полно червей и дыр, так что не лучше венды.
| | |
| |
| 6.16, fooser (?), 11:11, 04/12/2019 [^] [^^] [^^^] [ответить]
| –6 +/– |
как будто у линукса нету червей и дыр, хотя речь не о макоси.
| | |
| |
| 7.46, Аноним (-), 18:01, 04/12/2019 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> как будто у линукса нету червей и дыр, хотя речь не о макоси.
ты аккуратнее с такими заявами, тут слишком нежные линуксоиды сидят, накидают минусов только так
прошло то время, когда винда была более большим peшeтoм чем линукс, сейчас эко система линукс-дистрибов (ядро, сервисы, сетевые службы, днс, почтари) по багам просто бьёт все рекорды
на основе вот этой вот баги вообще ужас был
https://www.opennet.dev/opennews/art.shtml?num=50870
до сих пор кое-где эта дырка эксплуатируется и майнится криптовалютка на серверах дебиана, убунту, сусей, рхелов/центосей.
| | |
| |
| 8.47, Аноним (-), 18:12, 04/12/2019 [^] [^^] [^^^] [ответить] | –7 +/– | А вот такое вообще так каждый день пачками прилетает 15 уязвимостей в USB-драйве... текст свёрнут, показать | | |
|
|
|
| 5.14, Аноним (6), 11:08, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Хотя есть ещё эффект "нет железа нет проблем", в какой-то мере то тоже работает, конечно.
| | |
|
| 4.18, пох. (?), 11:37, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
тогда нашей инфраструктуре ничего точно не грозит - тут по всем виндам хоть обыщись - ни pgp ни ssh ключей не найдешь. А найдешь так владелец не поймет, что это и от чего. Разьве что у меня пара, и те не в том формате и не в том месте, где эти чудо-скрипты их будут искать.
Правда, на линуксном сервере их десяток, и примерно от всего, и как раз там где все их и ищут, но это ж линукс, это ж надежно!
(ой, а што ета за pyhton3-dateutil? Наверное, нужное что-та, не буду удалять!)
| | |
| |
| 5.23, Урри (?), 12:42, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Специально для тебя есть еще десяток пока не обнаруженных пакетов (желефиш год лежал необнаруженным), которые сливают твои виндузятные пароли, кои лежат в почти полностью открытом виде.
| | |
| |
| 6.35, Anonymoustus (ok), 15:23, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
 И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому что ты крутой всемирно известный специалист по безопастносте, а все остальные — лохи.
| | |
| |
| 7.38, пох. (?), 15:34, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> И ты, конечно, знаешь, где они лежат, но никому не скажешь, потому
гад. Потому что я теперь сам не знаю где они лежат - поменял, называетцо, монитор.
| | |
| 7.59, Урри (?), 20:09, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ты этим хотел сказать, что желефиш был последним необнаруженным трояном?
Золотые рыбки наконец научились прямоходячести?
| | |
| |
| 8.71, пох. (?), 11:58, 05/12/2019 [^] [^^] [^^^] [ответить] | +/– | он хотел сказать, что все еще не обнаруженные и, скорее всего, все еще даже не н... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.11, Аноним (11), 10:56, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Полон опасностей мирок скриптоязычков.
The Central Repository таких проблем не имеет.
| | |
| |
| 2.20, SomeBody (??), 12:09, 04/12/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
При чем тут скриптовые языки? В этом вашем расте пилиш любую дичь в build.rs и готово.
| | |
| |
| 3.31, Аноним (11), 13:41, 04/12/2019 [^] [^^] [^^^] [ответить]
| –2 +/– |
ты не понял, пацанчик. Именно в скриптоязычках особую популярность имеют постмодерируемые скрипто-репозиторьчики со всякими майнерчиками. В серьезных взрослых платформах такого не наблюдаем.
| | |
| |
| |
| 5.72, пох. (?), 12:05, 05/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> вот ниже ещё адок, гораздо опаснее dateutil и jeIlyfish -
при всем моем уважении к вебмину, действительно решающему иногда очень актуальную задачу - ничуть не опаснее именно в силу неуловимости джо - во-первых, как обычно, требовалось немного помочь олбанскому вирусу, включив уникально-редко используемую (используемую ли кем-либо в мире вообще?) фичу, во-вторых, следовало быть не только любителем веб-администрежа, но еще и неимоверно отважным, открыв доступ к фиче и самому вебмину всем желающим.
Лично я не могу похвастаться подобными конфигурациями, как-то ни одной за всю жизнь не держал.
А dateutil - опачки, вот он. Ну да, я его поставил из репо дистрибутива, разумеется, правильный, но это ж мне просто повезло с немодным-несовременным скриптом, не умеющим втянуть полсотни автозависимостей при установке. А майнтейнеру повезло когда-то что он мышкой не скопипастил - неправильный, но очень похожий.
| | |
|
| 4.51, SomeBody (??), 19:00, 04/12/2019 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Не, пацанчик, этот ты не всосал в чем суть.
В этих ваших растах все тащится с crates.io, каждая минимальная поделка тащит за собой пяток-десяток зависимостей. Так что кукарекать про особенные уязвимости в скриптовых языках иди в свой курятник.
| | |
|
|
| 2.62, Аноним (58), 20:12, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> The Central Repository таких проблем не имеет.
Настолько не имеет что там даже отдельная ссылка прямо на главной: Report A Vulnerability
| | |
| |
| 3.67, Аноним (11), 00:51, 05/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
ты отличаешь уязвимость от целенаправленной публикации бэкдорчиков-майнеров в скрипто-репозиторьчики типа пипи и инпиэм? Приведи хотя бы один задокументированный случай целенаправленной публикации бэкдора в благословенном The Central Repository. В пипи и инпиэм такое случается постоянно.
| | |
|
|
| 1.15, Аноним (15), 11:11, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
А всё просто. Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.
И ответственность описать. На первый раз можно руку отрубить например.
Не решаются дыры в организации на техническом уровне.
| | |
| |
| 2.25, рлла (?), 12:44, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Ты на таких условиях готов пакеты размещать?
Замененные буковки дак ИИ вполне может искать и выдавать список. да можно и скрипт наваять
| | |
| |
| 3.41, Аноним (15), 15:44, 04/12/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Да, а иначе зачем предлагать?
Заигрались в анонимусов в этих ваших интернетах, отсюда и все проблемы.
| | |
| |
| 4.56, Michael Shigorin (ok), 19:49, 04/12/2019 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Нуу для начала зарегистрируйтесь на опеннете, из плюшек -- возможность правки своих комментариев в течение получаса, что ли, после отправки.
| | |
|
|
| 2.26, Аноним (26), 12:55, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.
А где права Анонимуса?
Такие подставы должны вычисляется автоматически и уведомлять модераторов, администраторов.
| | |
| |
| 3.44, Аноним (15), 15:45, 04/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А где права Анонимуса?
У анонимуса нет никаких прав. Потому что права всегда идут в пакете с ответственностью. А коли анонимус ответственность нести не желает, какие ему права?
| | |
| |
| 4.60, Урри (?), 20:10, 04/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Во всеобщей декларации прав человека не написано "предоставляются только при предьявлении паспорта".
Совсем уже опеннет оглупел.
| | |
|
|
| 2.65, Аноним (65), 23:44, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Пакеты нужно принимать не от имени любого анонимуса, а по паспорту.
Как в Debian, что ли?
| | |
|
| |
| 2.42, пох. (?), 15:44, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Всего лишь две?
дальше - сами ищите. Тому кто нашел - осточертело.
| | |
|
| 1.19, JL2001 (ok), 11:49, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 не, юзера от программ, установленных из репозитория, защищать не надо! там же мантейнеры!! всё надёжно! цифровые подписи на пакетах!!
| | |
| |
| |
| 3.30, Аноним (30), 13:34, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
Между этими понятиями нет противопоставления. Учинение в репозитории помойки не лишает последний возможности называться репозиторием.
| | |
|
| 2.63, Аноним (58), 20:22, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Зачем писать мусор? У разных репозиториев — разные правила, это очевидно.
| | |
|
| 1.24, Аноним (30), 12:43, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Любые постмодерируемые пользовательские репозитории, будь то npm, aur, pypi, amo, googleplay, crates.io и т.п. имеют подобные проблемы, следует по возможности их избегать и использовать репозитории с премодерацией, либо вообще с добавлением пакетов исключительно командой мэйнтейнеров, как сделано в большинстве дистрибутивов linux и bsd.
| | |
| |
| 2.32, Аноним (30), 13:41, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Беда в том, что некоторые модные build-системы обращаются к пользовательским репозиториям и качают из них зависимости безальтернативно, по сути лишая разработчиков возможности огородиться от потенциально творящегося там беспредела. А для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.
| | |
| |
| 3.66, Аноним (65), 23:47, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> для мэйнтейнеров репозиториев дистрибутивов ОС эта возможность критична.
Как раз в дистрибутивных репозиториях такого ада нет. Там ничего не выкачивается со стороны при сборке.
| | |
| |
| 4.68, Аноним (30), 02:23, 05/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Именно: перед мэйнтейнерами репозиториев дистрибутивов стоит задача обеспечить автономную сборку софта. В то время как используемая софтом на rust build-система, cargo, в доску сетевая и в принципе не имеет ключей для сборки без обращений к своему репозиторию. Вот как пакетировать такой софт? Патчить cargo для отрезания сетевой активности и совать ему архивы?
| | |
|
|
|
| 1.27, Аноним (27), 13:00, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Короче на линукс нужен антивирус от таких пакетов. Кто нафигачит по быстренькому на баше?
| | |
| |
| 2.28, Аноним (27), 13:01, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Даю бизнес идею сначала добавляешь такие пакеты в репу а потом сам с ними борешься антивирусом.
| | |
| |
| 3.39, пох. (?), 15:35, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Даю бизнес идею сначала добавляешь такие пакеты в репу
уже без вас все добавили. Осталось побороть.
| | |
|
| 2.29, Урри (?), 13:27, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
ты уже придумал нейросеть, которая сможет анализировать пакеты как человек?
| | |
| |
| 3.55, Аноним (55), 19:48, 04/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, придумал. Берём человека, и получаем естественную нейросеть, анализирующую пакеты как человек.
| | |
| |
| |
| 5.73, пох. (?), 12:11, 05/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
рупиями. Ишь, макака, бананов хочет. Банан я и сам съесть могу. А так - поработает недельку, заработает на тарелку далбата, может быть.
Почем они там капчу разгадывают - доллар за сотню, или уже дешевле?
| | |
|
|
|
|
| 1.34, user90 (?), 15:22, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Чо, и никто даже не скажет "А вот в CPAN такого не было"??
Ну и да, приятная новость, одних петон-скрипт-кидди поимели другие, эх!
| | |
| |
| |
| 3.37, user90 (?), 15:31, 04/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но я реально не помню подобных случаев, может быть кто-то знает больше?
| | |
|
| 2.40, пох. (?), 15:43, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Чо, и никто даже не скажет "А вот в CPAN такого не
> было"??
да как-то неинтересно, видимо, тогда было. А может и было - не нашли, потому что никто отродясь и не искал.
Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.
| | |
| |
| 3.49, Anonymoustus (ok), 18:32, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Впрочем, запихнуть свой пакет в cpan несколько сложнее, чем в пипи написать.
Как писал великий мудрец древности Брукс, на каждой вахте должен сидеть специально обученный вахтёр с бейджиком.
| | |
|
| 2.43, Аноним (43), 15:44, 04/12/2019 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Чо, и никто даже не скажет "А вот в CPAN такого не было"??
Есть, только никто ещё не нашёл из-за особенностей синтаксиса
| | |
|
| 1.48, Аноним (48), 18:16, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Что и следует ожидать от немодерируемой помойки. Поэтому использую питоновые пакеты только из родного репозитория дистрибуива.
| | |
| |
| 2.50, Аноним (50), 18:47, 04/12/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
На родное репо надежды, конечно, побольше.
Но кто сказал, что там мейнтейнеры прям внимательно погладявают, а не просто бампают циферку?
| | |
| |
| 3.53, Аноним (55), 19:46, 04/12/2019 [^] [^^] [^^^] [ответить]
| –2 +/– | |
В некоторых проектах просто жопа. Захотел я как-то (больше года назад) собрать OpenWRT. И отложил кучу - часть зависимостей качается по небезопасному каналу - FTP. И не проверяется подпись/хеш.
Мораль:
1. не собирайте OpenWRT и не используйте эту поделку. Если кого-то из-за этого заразили малварью, внедрив её в незашифрованный канал, то вина тут в том числе проекта OpenWRT.
2. нужен строгий запрет всех сайтов без TLS в браузерах, чтобы добить эту заразу, когда они хостят без TLS, а другие - качают это и выполняют.
| | |
| 3.64, Аноним (58), 20:27, 04/12/2019 [^] [^^] [^^^] [ответить]
| +/– |
Никто не сказал, просто там у них есть такая возможность, а тут — нет.
| | |
|
|
| 1.52, Аноним (55), 19:38, 04/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
"python3-dateutil" - это в конвенции по именованию дебиана такие имена. Злоумышленник видимо репозиторием ошибся.
| | |
| |
| 2.74, пох. (?), 12:13, 05/12/2019 [^] [^^] [^^^] [ответить]
| +/– | |
он не ошибся, он как раз надеялся что дебианолюбители по инерции именно такое имя и наберут, или просто найдут поиском и не заметят ничего необычного.
Спалили, гады :-(
| | |
|
| 1.69, Корец (?), 07:33, 05/12/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>"I" (i) вместо "l" (L)
Тут всё упирается в шрифты. В тексте статьи у меня I и l выглядят одинаково, зато в поле ввода(где я писал этот комментарий) и в терминале эти буквы отличаются(I выглядит как положено). Так что можно сказать, что это "уязвимость" в шрифтах.
| | |
| 1.75, Аноним (75), 00:22, 06/12/2019 [ответить] [﹢﹢﹢] [ · · · ] | +1 +/– | сам создал, сам разоблачил, и статей настрочил Прям неуловимый Джо непонятные ... большой текст свёрнут, показать | | |
|
