| 1.2, A.Stahl (ok), 21:10, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +23 +/– |
 Четыре? Четыре штуки? Не четыре тысячи? Тю, всего-то. Я пользуюсь Андроид телефоном, запускаю виндовые бинарные блобы без всяких песочниц и мои данные светятся во всяких гос.службах от ЖЕКа до налоговой. Пфф, испугали тоже мне... Четыре пакета. Вы ещё скажите что в четырёх километрах от столицы обнаружили контейнер с четырьмя атомами радиоактивного вещества.
| | |
| |
| 2.15, Аноним (15), 23:09, 05/10/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
Интересно, как это ты запускаешь на Андроеде виндовые ехешники?
| | |
| |
| 3.52, Аноним (52), 21:36, 06/10/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
У него там "," он делает и это и то и возможно другие противозаконные действия.
| | |
|
| |
| 3.51, Денис (??), 15:17, 06/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
В метро могут и паспорт попросить, а если нет, то IMEI от телефона (обожают менты проверять).
| | |
| |
| 4.57, Дерьмократ (?), 16:21, 07/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
> В метро могут и паспорт попросить, а если нет, то IMEI от
> телефона (обожают менты проверять).
Проверка imei вообще законна?
| | |
|
|
|
| 1.3, Аноним (3), 21:19, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +23 +/– |
Выявлены четыре позорных пакета, которые пересылают данные ТОЛЬКО О ПОЛЬЗОВАТЕЛЕ. Все остальыне пересылают всё, к чему имеют доступ!
| | |
| |
| 2.23, gogo (?), 04:23, 06/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Таки да. Главное, придумать мало-мальски правдоподобный повод. Типа "нам нужно знать разрешение экрана юзеров для какой-то там фичи"....
| | |
|
| 1.7, Ананимус (?), 21:26, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Meh. По-моему, кроме того факапа с leftpad, никто так ни разу и не смог распросранить свой зловред через пакетные репозитории с какими-то действительно серьезными последствиями.
| | |
| |
| |
| |
| 4.24, gogo (?), 04:25, 06/10/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Ты настаиваешь, что не нужно креститься, если гром гремит не очень сильно?
| | |
| |
| 5.58, Ананимус (?), 17:13, 07/10/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ты настаиваешь, что не нужно креститься, если гром гремит не очень сильно?
Я хочу сказать, что если security team успевает чинить подобные проблемы раньше, чем они нанесут какой-то существенный вред, значит модель в целом работает хорошо.
| | |
|
| 4.40, Аноним (38), 08:14, 06/10/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
хреносимы с ногосракой тоже только две было, у тебя явно не было курса логики в БГУИР с летающими котлетами
| | |
| |
| 5.59, Ананимус (?), 17:29, 07/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
> хреносимы с ногосракой тоже только две было, у тебя явно не было
> курса логики в БГУИР с летающими котлетами
Не вижу аналогичных происшествий с npm. Все случившееся на уровне "баба срака сломала себе копчик в попытках вытереть жопу".
| | |
|
|
|
|
| |
| |
| |
| 4.55, коржик (?), 07:36, 07/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Nuget crates и все что с java связано так же внушают куда больше доверия
| | |
|
|
|
| 1.14, Аноним (14), 23:01, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В стоге игл нашли иголки.... следующая новость в толпе людей нашли человека а у человека нашли две руки две ноги
| | |
| 1.17, Ordu (ok), 23:15, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Забавно. Когда аноним опеннета не согласен с комментом, он отвечает на этот коммент и возникает тред. Когда аноним опеннета согласен с комментом, он создаёт новый тред, пытаясь развить тему. Странно, почему так?
| | |
| |
| 2.32, КО (?), 06:36, 06/10/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
Поэтому это называется комментарии, а не всякие тупые модные новые слова
| | |
| |
| 3.41, Ordu (ok), 08:30, 06/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> Странно, почему так?
> Все упражняетесь в психологии?
Нет, просто наблюдаю.
| | |
|
|
| 1.18, Аноним (-), 23:19, 05/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Хруст решит эту проблему, усложненная реверсинженерия сделает невозможным для пользователя защитить себя.
| | |
| |
| 2.21, Аноним (21), 23:28, 05/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Естествнно. А чего ещё ожидать от поделки придуманной неудачниками вендузятниками. Этож их вечная головная боль... ааааа библиотеку поставить, всё, караул, надо звать гуру и взывать к богам. Этож непосильная задача.
| | |
|
| 1.22, MintUser (?), 04:08, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Главное что выявили. Значит какой то контроль осуществляется. И в последующим будет усилен, предположительно.
| | |
| 1.25, Денис (??), 04:40, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> домашнем каталоге пользователя
В смысле? Название каталога, список файлов или все содержимое? Еще одна причина ничего там не хранить, для этого есть отдельные разделы. Кто перешел с винды, у того так и есть. Разве что NTFS вместо ext4, но это поправимо.
| | |
| |
| 2.34, Аноним (34), 07:38, 06/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Эта проблема касается любых пакетных менеджеров, которые могут выполнять скрипты. По идее их все нужно изолировать в песочнице
| | |
| 2.39, Lex (??), 08:13, 06/10/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Просто надо «внезапно» внимательно смотреть, что на клавиатуре набираешь, когда речь о названиях модулей.
| | |
| |
| 3.42, Онаним (?), 09:26, 06/10/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
О чём вы. Эти ребята действительно считают, что говнорепозитарии сами за них всё сделают. А уж про ревью зависимостей вообще речи нет. В итоге даже нормальные "честные" зависимости в этих говнорепах меняют API, и говнопроекты разлетаются в хлам.
Нормальные проекты синхронизируют определённые версии зависимостей и производят шаговое обновление с учётом изменений в таковых, гарантируя работоспособность результирующей системы. Кто из тянущих проект любит риск - обновляет их дальше и выступает в роли мейнтейнера bleeding edge кода уже сам. Кто не любит - сидит на стабильных версиях, которые дали мейнтейнеры проекта, и не дёргается.
| | |
| |
| 4.46, Аноним (46), 11:13, 06/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это же старый код! Это вчера он был отличным решением и бибикал, а сегодня он уже не тот! Бибикать надо по графику с сайта РЖД и на 2 тона ниже!
| | |
|
|
| 2.43, Онаним (?), 09:28, 06/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
npm, cpan, composer-based и прочее, в целом. Все говнорепы зло, если у тебя серьёзный проект - ты берёшь определённые релизные версии прямо с авторских репозитариев, и дальше либо обновляешь с ревью самостоятельно, либо бэкпортишь какие-то фиксы, и т.д.
| | |
| |
| 3.44, Онаним (?), 09:29, 06/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Нет, допустим можно отдать конфиг композера вместе с проектом и пользоваться композером. Но в самом проекте должен идти код зависимостей, с которым проект однозначно работает.
| | |
|
|
| 1.45, Q2W (?), 09:49, 06/10/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне вот интересно: для js же запилили суперкрутые песочницы в браузерах.
Потом взяли браузерную реализацию js и вынесли из браузера в nodejs.
Так песочницу чё с собой-то не взяли? Сейчас бы устанавливали себе эти модули где-то локально в песочнице каждой приложухи и всё. Безо всяких доступов куда не следует.
| | |
| |
| 2.48, Lex (??), 13:51, 06/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Мне вот интересно: для js же запилили суперкрутые песочницы в браузерах.
> Потом взяли браузерную реализацию js и вынесли из браузера в nodejs.
Там не совсем браузерную реализацию перенесли.
Соль ноды в том, что она поддерживает в т.ч "нативные" модули, тогда как в случае с браузерами - только чистый JS и его подобия.
В данном случае даже не в ноде дело, а в менеджере пакетов.
Просто обычно ожидается, что разработчики хоть изредка, но будут смотреть на то, что пишут и их уровень знания ПК и проч ощутимо выше такового чем у какой-то бабки из деревни, которая только и умеет что новости в тырнете читать.
| | |
| |
| 3.49, Онаним (?), 15:06, 06/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вот с "уровнями знания ПК", а если точнее - с умением администрировать системы, пакеты, модули - даже собственных разработок - там обычно полный швах.
| | |
| |
| 4.50, Онаним (?), 15:07, 06/10/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Даже придумали модель "каждый девелопер администратор" и "инфраструктура тоже код" - девляпс называется.
Но с учётом квалификации эта модель у них работает так, как и должна - через пень-колоду.
| | |
| |
| 5.60, Lex (??), 15:22, 08/10/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Даже придумали модель "каждый девелопер администратор" и "инфраструктура тоже код" - девляпс
> называется.
> Но с учётом квалификации эта модель у них работает так, как и
> должна - через пень-колоду.
Работает она вполне нормально, если хотя бы через раз смотреть какой пакет устанавливается( т.е правильно ли набрано его название ).
И, в первую очередь, применять лишь хорошо известные и популярные модули с постоянным большим количеством скачиваний( т.е если скачиваний ок 20 / нед - это по-любому васяновский пакет с черти чем внутри ).. и, в цело, стремиться использовать пакетов столь мало, сколь это возможно.
А если не смотреть - так тут и достаточно и просто выхода в интернет с вводом адреса типа мой_любимый_банкК.ком и никакой ноды с энпиэмом не нужно )
| | |
|
|
|
|
|
