| |
| 2.9, Аноним (9), 10:33, 12/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш
| | |
| |
| 3.34, Xasd7 (?), 12:16, 12/07/2024 [^] [^^] [^^^] [ответить]
| +8 +/– | |
тока в Git токен не попал :-)
а вот в бинарник попал — что нам напоминает правило:
не нужно ВООБЩЕ в открытый доступ выкладывать то что скомпилировано на твоём лаптопе — выкладывай в паблик только то что скомпилировала общий сборочный конвеер на сервере
| | |
| |
| 4.51, нах. (?), 12:56, 12/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Воот, теперь-то все как надо, теперь оно и в гит попадет. Потом конечно будет удалено, новым комитом.
| | |
|
| 3.100, Аноним (-), 23:09, 12/07/2024 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> И про то что в гите можно смотреть что ты коммитаешь, а не коммитать весь треш
В этой новости прекрасно все. Начиная от комита в гит левого мусора, которого там быть вообще не должно, через доступ к инфраструктуре от души, а вишенкой на торте - КТО это все организовал. Это оглущительный успех питон-фаундации, кадровой политики и пиара, супер-комбо все в 1.
| | |
|
|
| 1.5, Аноним (5), 10:27, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Смотрите как могу:
> -B : don't write .pyc files on import; also PYTHONDONTWRITEBYTECODE=x | | |
| |
| 2.26, нах. (?), 11:22, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
дрянная идея. Это контейнер который будет большинством обезьянок использоваться as-is.
Вот то что байткод брался из хомяка горе-разработчика вместо компиляции в закрытом окружении докера - это конечно минус.
Но ничуть бы не помогло от гения-директора обходящего защиту от роботов патамуштамагу. Он бы и руками не забыл добавить внутрь образа.
| | |
|
| 1.6, Аноним (6), 10:28, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ
В пакетном менеджере Nix этой проблемы нет: перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты. Любопытно, но так никто и не догнал Nix ни в этом, ни во всех остальных отношениях. Хотя Nix из далекого 2004.
| | |
| |
| 2.13, mimocrocodile (?), 10:47, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> перед сборкой все неигнорируемые файлы копируются в /nix/store, так что сборщик видит только реально исходные тексты
ты не поверишь, но в докере тоже сборщик не видит игнорируемые файлы
| | |
| |
| 3.22, Аноним (6), 11:15, 12/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Видит. Другое дело, что у докера свой собственный .dockerignore, который конечно же никто не будет синхронизировать с .gitignore. Отсюда имеем, что имеем ("it's what it's").
| | |
| |
| |
| 5.111, 9392012938к8282 (?), 09:16, 13/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Docker не поддерживает dockerignore в подпапках. У gitignore больше синтаксиса (но можно ограничиться подмножеством обоих).
| | |
|
|
|
| 2.103, Аноним (103), 02:54, 13/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Да во всех дистрах сто лет уже собирают пакеты (и, соответственно, ПО) в clean chroot. Причем, там chroot на стероидах. А тут опять какой-то стартап на армейской коленке освоил технологии "дидов" и выдаёт это за инновацию. Linux namespaces (bubblewrap, systemd-nspawn или что-нибудь ещё), хотя бы, к своей псевдоизоляции на симлинках прикрутитите, как у других, а потом выпендривайтесь, никсоё^Hводы. А то любая программа может прочитать и вызвать по абсолютному пути /nix/store/blablabla всё, что пожелает.
| | |
| |
| 3.107, morphe (?), 04:38, 13/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Там ровно это и имеется, при сборке пакета он не может обращаться к чему-либо кроме своих зависимостей
Исключение - интернет, но в этом случае должен быть известен хеш полученного пакета, т.е чтобы curl вызвать нужно указать какой хеш будет у скачанного файла.
| | |
| |
| 4.118, Аноним (118), 22:03, 14/07/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Там ровно это и имеется
Там самый обычный, только костыльный, chroot без изоляции.
> какой хеш
find /nix -name \*curl
| | |
| |
| 5.119, morphe (?), 23:22, 14/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Там самый обычный, только костыльный, chroot без изоляции.
Да что ты такое несёшь
Там и userns, и netns, и mountns, и seccomp, и монтируются в песочницу только зависимости, и доступа в песочницы не имеет никто кроме рута и nix демона.
Доступ в интернет доступен только для сборки тех пакетов, для которых прописан конечный хеш, скачиваемый файл = пакет который для сборки дёргает curl, чтобы скачать файл нужно заранее прописать хеш файла который будет скачан.
| | |
|
|
|
|
| 1.7, Аноним (7), 10:30, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Анализ показывает что всем пофиг на эти токены и дыры типа выхода за границы буфера. Это только маленьких детей пугать.
| | |
| 1.12, Аноним (12), 10:46, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
> По сообщению представителей репозитория PyPI токен был создан в 2023 году для разработчика ewdurbin (Ee Durbin), который занимает в организации Python Software Foundation пост директора по инфраструктуре.
Жёваный стыд.
| | |
| |
| 2.20, нах. (?), 11:13, 12/07/2024 [^] [^^] [^^^] [ответить]
| +5 +/– |
"а вы точно разработчик? Скажите что-нибудь на разработческом!"
"- дайте мне токен с полным доступом ко ВСЕМУ!"
| | |
| |
| 3.61, OpenEcho (?), 14:42, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> "а вы точно разработчик? Скажите что-нибудь на разработческом!"
"- дайте мне токен с полным доступом ко ВСЕМУ!"
Эт только уровня принципалов, все что ниже, проще на "разработческом"
- "Равиндра, игеде здесь у вас кинопка NEXT-NEXT... ?"
| | |
|
|
| |
| 2.19, нах. (?), 11:12, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
и один ключ от всех дверей - даже не под ковриком, а просто в замке всегда торчит.
ну зато нигры-норкоманы очень важны для человечества. Про фрипластелин что-то не вижу только. Недоработочка.
| | |
|
| 1.21, Аноним (21), 11:14, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
"и чтобы обойти лимиты, выставляемые для анонимных обращений к GitHub, временно добавил свой рабочий токен в код. Перед публикацией написанного кода токен был удалён, но разработчик не учёл, что упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ"
Специалисты которых мы заслужили! Так победим! xD
| | |
| |
| 2.24, нах. (?), 11:19, 12/07/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
не специалисты а цельные директора по инфраструктуре.
Т.е. тот самый человек, который должен был первым йопнуть кулаком по столу со словами "какой на... общий ключ от всех дверей?! Вы что тут - совсем ухи поели?! Быстро накодить проверку чтоб такие ключи вообще сразу блокировались при попытке их создать."
| | |
| |
| 3.38, Аноним (38), 12:21, 12/07/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> не специалисты а цельные директора по инфраструктуре.
> Т.е. тот самый человек
где Вы видали вменямых топтунов?
| | |
| |
| 4.84, нах. (?), 18:46, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
ну блин, у чувака - пенсия, дача, рыбалка...
С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно что Опоссум от них сбежал нафиг.
| | |
| |
| 5.96, Аноним (-), 22:45, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> С токенами и дыркерами вон этот пусть пердолится... blm с фрипластелином. Понятно
> что Опоссум от них сбежал нафиг.
Э нет! Напоссал и сбежал? Так не пойдет, так что - вот - брыкающегося и хрипящего его приволокли назад, объяснив что для него ад - уже начался: это гуано он будет разгребать вплоть до смерти или безумия, whichever comes 1st.
| | |
|
|
|
| 2.95, Аноним (-), 22:43, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Специалисты которых мы заслужили! Так победим! xD
Извините, им лениво заморачиваться с приземленными вещами типа обработки ошибок или подчистки за собой в байткоде - или хотя-бы настройки .gitignore, чтоли, как это нормальные разработчики делают.
| | |
|
| 1.25, Аноним (25), 11:19, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
В большой проект требуется директор по инфраструктуре. Требования к кандидату:
- Уверенное знание Python
- Опыт работы с контейнерами
- Желание развиваться (будет плюсом)
| | |
| |
| |
| 3.70, Аноним (52), 15:37, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Они и так проходят по квоте, у них один из ведущих разработчиков не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше на Boeing Defence Australia, о чём гордо упоминает в своём резюме.
| | |
| |
| 4.85, нах. (?), 18:47, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Они и так проходят по квоте, у них один из ведущих разработчиков
> не так давно стало Alyssa-ой. Видимо, когда оно выбирало имя, смотрело
> на другую Alyssa-у. А казалось бы, сторонник "консервативных ценностей", работало раньше
> на Boeing Defence Australia, о чём гордо упоминает в своём резюме.
а потом - е6анулось... а мы удивляемся, чего у них один токен от всех замков.
Жги, Г-ди!
| | |
|
|
|
| 1.28, n00by (ok), 11:31, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > разработчик не учёл, что упоминание токена прокэшировалось
> в предкомпилированном файле с байткодом, который затем
> попал в docker-образ.
Как оно могло прокешироваться? Изменил исходник, значит и содержимое кеша должно измениться при запуске? Или он не проверял (не запускал)? Не проверял, потому что не изменял исходник вручную, а откатил коммит?
| | |
| |
| 2.30, нах. (?), 11:49, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
может даже и запускал - в уже собранном докер-контейнере.
А в образе спокойно лежал и пах старый бинарник.
Что образ при сборке не компилился - ну на фоне существования "токена-от-ВСЕГО" - право же ж, такая мелочь. Некогда, некогда ждать пока он скомпилируется, девляп-ляп-ляп-ляп и в продакшн!
| | |
| |
| 3.80, n00by (ok), 16:58, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
Токен это нормально же. Во-первых, ныне 2к24. Во-вторых, это не os.system("sudo curl"), или как там оно делается на пихоне, "прокешировался". Печалит, что ни в 29a, ни в BHC уже не написать по этому поводу.
| | |
|
| 2.41, Карлос Сношайтилис (ok), 12:25, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Запуск не вызывает ребилд контейнера.
Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на билд-сервере?
| | |
| |
| 3.49, нах. (?), 12:54, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
вообще-то должен бы был - но текущего контейнера. А образ где был (в дыркер хапе) там и лежит, всем на радость.
> Но более важный вопрос: с какого рожна, образ заливается с машины разраба, а не собирается на
> билд-сервере?
ну это ж ах...еть удобно отлаживать, да?
| | |
| 3.78, n00by (ok), 16:51, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно, а кеш не когерентен и исполняется чёрти че?
| | |
| |
| 4.86, нах. (?), 18:50, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Так в каком именно месте в этой схеме технологическое отверстие? Это зиродей
> или во всю уже эксплуатируют ситуацию, когда в исходнике написано одно,
> а кеш не когерентен и исполняется чёрти че?
ему не надо исполняться. Надо просто кому-то неленивому посмотреть что там понакэшировалось. Такой нашелся. К сожалению, не сделал forced push пустого места с приветом blm и фрипластелинам с последующим gс, придется ждать следующего.
| | |
| |
| 5.89, n00by (ok), 20:08, 12/07/2024 [^] [^^] [^^^] [ответить] | +/– | Если ему не надо исполняться, зачем он тогда вообще нужен Об этом кто-то вообщ... большой текст свёрнут, показать | | |
| |
| 6.117, нах. (?), 20:30, 14/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Если ему не надо исполняться, зачем он тогда вообще нужен?
это кэш, блжд. Оставшийся от предыдущего запуска.
> - А давайте поищем в самом неожиданном месте!
место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом типа файла и случайно залез в бинарники (или не налажал и не случайно, а просто имел время и вдохновение - машина железная, пусть греп потрудится). А оно там возьми и найдись!
> Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но
> бесполезный для них фейл.
атака на supply chain чуть ли не всей цивилизации пакости - и вдруг - бесполезная?
| | |
| |
| 7.132, n00by (ok), 05:51, 16/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Если ему не надо исполняться, зачем он тогда вообще нужен?
> это кэш, блжд. Оставшийся от предыдущего запуска.
Вопрос не "что", а "зачем". Зачем что-то "оставшееся" копируется куда-то, ещё и автоматически.
>> - А давайте поищем в самом неожиданном месте!
> место совершенно ожидаемое, куча "исследователей безопастносте" развлекается grep X-Auth-Token
> и подобным по шитхабу и дыркерхапу, кто-то просто налажал с угадавом
> типа файла и случайно залез в бинарники (или не налажал и
> не случайно, а просто имел время и вдохновение - машина железная,
> пусть греп потрудится). А оно там возьми и найдись!
Или так и было задумано: массы нажимают левой пяткой кнопочку, кеш копируется. :) А лажали те, кто оптимизировал поиск, исключая неподходящие типы.
>> Ну не может же быть, что у них это дело поставлено на поток, и опубликовали эпичный но
>> бесполезный для них фейл.
> атака на supply chain чуть ли не всей цивилизации пакости - и
> вдруг - бесполезная?
По сравнению с остальными, про которые не написали в новостях.)
| | |
| |
| 8.133, нах. (?), 08:23, 16/07/2024 [^] [^^] [^^^] [ответить] | +/– | потому что COPY allthishit tar а в нем целиком хомяк или вообще вся виртуалочк... текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 1.31, Аноним (32), 12:03, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Пароли ненадёжно, говорили они. Нужно по ключам, токенам.
Главная проблема паролей - записывание их на бумажки и создание намеренно мастер-паролей. А вот это вот, по недосмотру оказывается в коде, в данных.
| | |
| |
| 2.48, нах. (?), 12:52, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
что значит "по недосмотру"? Оно и может быть только в коде или данных в этом коде, в том и принципиальное отличие от пароля, который должен бы быть только в голове, ну или хотя бы вот, на листочке приклеенном к монитору, как у меня.
| | |
| 2.62, OpenEcho (?), 14:49, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Нужно по ключам, токенам.
Да токены по большому счету только защита от паролей класса "маша", "12345678", т.к. народ неизлечим. Тоже самое что и с app-passwords от мелософта и гугли
| | |
| |
| 3.87, нах. (?), 18:52, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А пароли по недосмотру оказываются в ps aux.
там и токен окажется, не вижу никакой разницы.Тут вон уже насоветовали совать его в environment
(лучше сразу в докерфайл - надежно, на века)
| | |
| |
| |
| 5.126, нах. (?), 20:47, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> лучше сразу в докерфайл
> В каком- то смысле, тебя услышали
да, но можно же было сделать - КРОСИВО!
(и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)
| | |
| |
| 6.131, aname (?), 21:08, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>> лучше сразу в докерфайл
>> В каком- то смысле, тебя услышали
> да, но можно же было сделать - КРОСИВО!
> (и дыркерфайл закомитить кстати в гит, одним выстрелом отстрелить два яйца)
Может скоро и такое узреем
| | |
|
|
|
|
|
| 1.39, Аноним (39), 12:21, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
>Токен был найден в бинарном файле "__pycache__/build.cpython-311.pyc" с прокэшированным скомпилированным байткодом.
Какого хрена вообще переменные окружения сохраняются в файл с прокешированным байткодом?
| | |
| |
| 2.42, Карлос Сношайтилис (ok), 12:28, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
В новости шесть параграфов.
Четвёртый - код, который отвечает на твой вопрос.
Ты смог прочитать только три параграфа? Или сдался сразу после картинки?
| | |
|
| 1.40, 111 (??), 12:24, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Что-то я не понял. Можно же указывать время жизни токена? Указал время жизни в месяц — и всё! Какие проблемы?
| | |
| |
| |
| |
| |
| 5.120, 111 (??), 09:11, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> всё, что не ясно ?
У меня ничего не ломается. Всё работает.
| | |
|
|
|
|
| 1.50, Аноним (52), 12:56, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– | |
>обнаружили в составе Docker-образа "cabotage-app"
Имели в виду sabotage, но клавишей промахнулись.
| | |
| 1.54, Аноним (52), 13:26, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ] | +3 +/– | Виновник - саботажник, который должен быть с позором уволен 1 Почему вообще та... большой текст свёрнут, показать | | |
| |
| 2.75, нах. (?), 16:17, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Виновник - саботажник, который должен быть с позором уволен.
не саботажник, а директор. Сам кого хочешь уволит!
> 1. Почему вообще такой токен был сгенерирован? Зачем этому токену доступ к
это вопрос который директору задавать нельзя.
> 3. Питоньи библиотеки для работы с GitHub API подхватывают токен автоматически из
> переменных окружения. Это сделано потому. что GitHub Actions ставит временный per-pipeline
они в дыркер автоматически не передаются. А документацию директору читать некогда.
> Для предотвращения ситуации нужно изменить модель токенов.
тебя не назначат директором, не волнуйся так.
| | |
|
| 1.57, Аноним (57), 13:55, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
вы понимаете что произошло, питон полностью скомпрометирован, его теперь только в помойку.
| | |
| |
| |
| 3.67, Аноним (67), 15:16, 12/07/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
А какая связь? Столько же и останется, сколько было, реальных-то.
| | |
| |
| 4.72, OpenEcho (?), 15:50, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А какая связь? Столько же и останется, сколько было, реальных-то.
:))) 10-0
| | |
| 4.76, нах. (?), 16:18, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А какая связь? Столько же и останется, сколько было, реальных-то.
ну, а кодить тогда кто будет?!
Реальные - заняты. Кто пиццей торгует, кто чем. Самые ленивые - в нвидии, драйвер для линукса пилют.
| | |
|
|
| 2.81, Аноним (79), 17:04, 12/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>его теперь только в помойку
соображающие люди это давно поняли, поэтому 70% корпорат. приложений - на Java
| | |
| |
| |
| |
| |
| 6.127, нах. (?), 20:49, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Чукча не читатель? Там токен от всего прода
только у дура4ков которые логают нефильтрованный юзеринпут.
| | |
|
|
|
|
|
| 1.64, Аноним (67), 14:58, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> удалён 11 июня 2024 года
И зачем? Как теперь получать "доступ с правами администратора ко всем репозиториям и организациям проекта, включая все репозитории организаций pypi, python, psf и pypa"?
| | |
| 1.68, penetrator (?), 15:19, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
> упоминание токена прокэшировалось в предкомпилированном файле с байткодом, который затем попал в docker-образ
docker упрощает деплоймент, ога ))
очердной костыль и точка отказа
| | |
| 1.69, crypt (ok), 15:35, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 > Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа
а жаль. типичный современный айти. разработчики, которые не знают, как на низком уровне работает их язык, дыркер... вот нашелся бы какой хакер на них.
| | |
| |
| 2.128, нах. (?), 20:50, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>> Проведённый разработчиками Python аудит активности в репозиториях на GitHub не выявил сторонних попыток доступа
> а жаль. типичный современный айти. разработчики, которые не знают, как на низком
дык. они и провели аудит активностей. ничего не аудитится, потому что аудитлог стерт. Все хорошо и просто прекрасно.
> уровне работает их язык, дыркер... вот нашелся бы какой хакер на
> них.
главное чтоб нашедшиеся не передрались
| | |
|
| 1.71, Аноним (71), 15:47, 12/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Python, PyPI, Python Software Foundation
Попытался представить себе последствия если бы токен нашли blackhat. Индустрию долбануло бы.
На сей раз пронесло. Зато теперь плохие ребята знают еще одно место где надо искать.
| | |
| |
| 2.73, Аноним (73), 16:06, 12/07/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>На сей раз пронесло.
С чего ты решил, что пронесло? Как-то не очень верится в честное слово этих товарищей после такого эпичного обсера своих штанов. Кто же в этом признается, может они сейчас чтобы не наводить панику по тихому делают аудит?! Если все же пронесло - промолчат, а если нет - запасается попкорном.
| | |
| |
| 3.129, нах. (?), 20:51, 15/07/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>На сей раз пронесло.
> С чего ты решил, что пронесло?
да, я вот тоже хорошо информированный оптимист.
> в этом признается, может они сейчас чтобы не наводить панику по
> тихому делают аудит?! Если все же пронесло - промолчат, а если
Как будто они - умеют?!
Тебя б так пронесло, подумал Мюллер.
| | |
|
| 2.82, n00by (ok), 17:12, 12/07/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> На сей раз пронесло.
Тебя бы так пронесло, подумал Борман (ц)
| | |
|
| 1.106, Аноним (108), 04:37, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Автор кода пояснил, что в процессе разработки инструментария cabotage-app5
Вот, сам признался что занимался саботажем, все бы так
| | |
| 1.110, Ыеуз0 (?), 07:20, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Я думал, что такая нацеленность на результат ещё не везде со стороны молодых, да ранних (в основном молодых, как мне кажется). Ан нет. Условное "дайте мне рута, разбираться некогда, надо работать в локере на питоне и джанге" процветает уже везде.
| | |
| 1.113, Аноним (113), 14:25, 13/07/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И ни слова извинений и посыпания головы пеплом. Ваще пофиг. Главное в конце написать какое мы прекрасное комунити.
| | |
|
