Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"67% публичных серверов Apache Superset используют ключ доступа из примера настроек"	+/–
Сообщение от opennews (?), 26-Апр-23, 09:34
Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и  визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу  Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59036
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Tron is Whistling (?), 26-Апр-23, 09:34	+24 +/–
Девляпс во всей красе.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #62

2. Сообщение от Аноним (2), 26-Апр-23, 09:35	–1 +/–
Логины и пароли зло говорили они. Меняйте их на ключи говорили они. В итоге что?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #12, #27

3. Сообщение от Tron is Whistling (?), 26-Апр-23, 09:35	+4 +/–
Ну и разработчики тоже хороши. "в код была добавлена проверка, при наличии данного значения выводящая в лог предупреждение" А не запускаться, пока значение не изменили, никак?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #11, #28, #38, #53

4. Сообщение от Антифрактал (?), 26-Апр-23, 09:36	+/–
Кто-то удивляется еще такому?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #15

8. Сообщение от Аноним (9), 26-Апр-23, 09:40	+2 +/–
Это же Apache. Там на самом деле и разработчиков то никаких нет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

9. Сообщение от Аноним (9), 26-Апр-23, 09:42	+/–
А потом окажется что за все года что была уязвимость никакого не взломали потому что эти данные никому не нужны. Зачем тебе визуализация распределения сотрудников по возрасту? Что ты будешь делать с этой ценной информацией?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #23

10. Сообщение от Аноним (10), 26-Апр-23, 09:46	–1 +/–
по идее, ломается всё, что пароли-ключи, что биометрия в материальном мире полагаться на что то материальное не имеет смысла
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14, #16

11. Сообщение от Товарищ майор (ok), 26-Апр-23, 09:47	–1 +/–
Ну можно, например, сделать генерацию псевдослучайного ключа, если он не задан.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #54

12. Сообщение от Аноним (12), 26-Апр-23, 09:48	+2 +/–
думаешь никогда не бывает такого, что люди не меняют дефолтные логин-пароль? да я тебе могу дать пачку запросов в гугл, по которым можно найти свежие установки определенных CMS, и с вероятностью в 67% в их админку можно попасть по дефолтным admin:admin.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #21

13. Сообщение от pashev.ru (?), 26-Апр-23, 09:49	+1 +/–
А всего-то надо генерировать случайный ключ, если он не указан явно. Вот как тут http://git.pashev.ru/sproxy2/about/
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45

14. Сообщение от Товарищ майор (ok), 26-Апр-23, 09:49	+1 +/–
А на что имеет? На идеалистическое? Бог, в плане информационной безопасности, такой себе советник.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

15. Сообщение от пох. (?), 26-Апр-23, 09:51	+2 +/–
Да, я вот в полном ах...е. Кто эти целых 37% что зачем-то полезли менять ключи и как у них теперь прод работает, который наверняка копипастил эти ключи со стеоверфлова? P.S. _нах.я_ нужен _публичный_ сервер неведомой е-нины - кто-то конечно же не может объяснить?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #58

16. Сообщение от Аноним (16), 26-Апр-23, 09:51	+4 +/–
>в материальном мире полагаться на что то материальное не имеет смысла Согласен. Пароли надо хранить в молитвах, возносимых господу нашему. Если кто использует их для взлома, тот сразу телепортируется в ад живым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

18. Сообщение от Пряник (?), 26-Апр-23, 09:58	–1 +/–
Вряд ли эти сервера production. Скорее всего урезаны по правам и сетевому доступу. Особенно, если крупная компания. А админов попросили побыстрому поднять новую(тм) модную(тм) технологию для изучения.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #20, #24, #44

19. Сообщение от Аноним (19), 26-Апр-23, 10:11	+/–
Вот к слову скрин из заглавной страницы проекта: https://superset.apache.org/img/explore.jpg 0.0000006 это видимо каждый болт в самолете просчитывают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #26

20. Сообщение от Аноним (9), 26-Апр-23, 10:14	+2 +/–
Ага это как те монги которые шли из коробки с дефолтным паролем(без пароля). Там хотя бы сказали какой объем данных в тех базах хранился, а тут даже этого нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #30

21. Сообщение от Аноним (21), 26-Апр-23, 10:17	+6 +/–
Так уж и быть давай свои запросы, посмотрим сколько там на самом деле процентов и не врёшь ли ты нам.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

22. Сообщение от Catwoolfii (ok), 26-Апр-23, 10:25	+1 +/–
Наберут кузьмичей по объявлению, потом удивляются...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

23. Сообщение от 1 (??), 26-Апр-23, 10:29	+2 +/–
Тут скорее про это - "организовать выполнение кода с правами Apache Superset." Неторопливый майнер запустить, например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

24. Сообщение от чатжпт (?), 26-Апр-23, 10:30	+/–
нет ничего более постоянного чем временное решение на коленке
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

25. Сообщение от Аноним (25), 26-Апр-23, 10:30	–1 +/–
>учитывается только ключ, указанный в примере конфигурации актуальной версии, старые типовые ключи и ключи из шаблонов и документации не блокируются Что мешало заблокировать все? Отсутствие типа `set` в Python? Ил отсутствие мозгов? Вообще по-хорошему ключ в таком случае должен генериться автоматом.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #43, #57

26. Сообщение от Tron is Whistling (?), 26-Апр-23, 10:31	+1 +/–
Да нет, это просто float.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

27. Сообщение от Аноним (27), 26-Апр-23, 10:38	+/–
Это примерно как при автомобильной аварии говорить, что надо пересаживаться на лошадей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #33

28. Сообщение от Аноним (28), 26-Апр-23, 10:39	+1 +/–
Ага, а потом такие как ты орут как девочки, что СИСТЕМА РЕШАЕТ ЗА МИНЯ
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #56

29. Сообщение от Аноним (29), 26-Апр-23, 10:56	+/–
Ну ты-то сам, понятное дело, Михалыч, и пришёл по блату, а не по объявлению. Откуда только уверенность, что у тебя ошибок не найдут?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #31

30. Сообщение от 1 (??), 26-Апр-23, 11:38	+/–
Ну как бы монги монгами, деляпсы и проч. Но сколько установок Oracle где бородатые DBA не удосужились сменить пароль CHANGE_ON_INSTALL ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #37, #79

31. Сообщение от Catwoolfii (ok), 26-Апр-23, 11:43	+1 +/–
Ключ доступа в настройках, взятый из общедоступного примера - это не ошибка, это профнепригодность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #42

33. Сообщение от Аноним (2), 26-Апр-23, 11:54	+6 +/–
Это пример того как нельзя писать инсталлер, который не запрашивает хотя бы пароль или не генерирует ключ. Что мешало вместо проверки в виде вывода предупреждения, что надо поменять ключ, генерировать этот ключ? И да не помешало бы некоторым пересесть на лошадей, а может и не лошадей так же!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #39

36. Сообщение от Аноним (36), 26-Апр-23, 12:17	+1 +/–
Отлично! А я и не знал про него.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #50

37. Сообщение от Tron is Whistling (?), 26-Апр-23, 12:37	+3 +/–
Бородатые DBA - это в смысле небритые студенты на полставки?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

38. Сообщение от Аноним (38), 26-Апр-23, 12:38	+/–
> А не запускаться, пока значение не изменили, никак? это не выгодно, ибо взлом подорожает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

39. Сообщение от YetAnotherOnanym (ok), 26-Апр-23, 12:52	+3 +/–
Оберегать человека от его собственной глупости - путь к деградации общества в целом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33 Ответы: #41

41. Сообщение от Аноним (2), 26-Апр-23, 13:23	+4 +/–
Путь к деградации допускать глупых людей к управлению сложными вещами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

42. Сообщение от Аноним (42), 26-Апр-23, 14:02	+1 +/–
Но как же так на собесе он рассказал ответы на все каверзные вопросы и даже знал команду echo {1..10} она же сама главная во всей работе. А уж как рассказывал про дата маппер, так просто заслушаться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #31

43. Сообщение от Аноним (42), 26-Апр-23, 14:04	+1 +/–
Что тебе мешало сделать коммит?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

44. Сообщение от ip1982 (ok), 26-Апр-23, 14:34	+1 +/–
Стадия торга :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

45. Сообщение от Аноним (45), 26-Апр-23, 16:51	+3 +/–
Локалхостов, когда ж ты угомонишься уже свой локалхост рекламировать? Вот уж воистину, СЕОшник хуже 3.14раса.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

50. Сообщение от Аноним (50), 26-Апр-23, 21:37	+/–
ну теперь-то знаешь. и в следующий раз уже не сможешь сказать, что не знал. получается, даже для тебя, минуту назад "не знавшего про него" ничего, наступили необратимые последствия...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

51. Сообщение от Аноним (51), 26-Апр-23, 22:28	–4 +/–
Небось там так непросто свои ключи сгенерировать, что при установке ставят дефолтные. Камень в сторону авторов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #52

52. Сообщение от Брат Анон (ok), 27-Апр-23, 07:46	–2 +/–
Нормальный девопс начинает подготовку развёртывания с двух вопросов: 1) Какие параметры нужны для запуска 2) Что с безопасностью и мониторингом. Да, желательно это сделать как можно более просто. Но не примитивно. З.Ы. Как только слышу приставку "Апач" в названии соытины, так сразу рефлекторно делаю "бэээ".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #55, #68

53. Сообщение от Брат Анон (ok), 27-Апр-23, 07:47	+2 +/–
Два чая этому господину.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

54. Сообщение от Брат Анон (ok), 27-Апр-23, 07:49	+2 +/–
Нет, товарищ майор. Всё должно быть по инструкции: нет переменной -- нет работы. Лучше с грохотом надёжно упасть, чем может быть криво работать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #59, #60, #64

55. Сообщение от Tron is Whistling (?), 27-Апр-23, 07:49	+10 +/–
1) Где слямзить готовый образ для докерка 2) Как бы его запустить с минимумом усилий и пойти пить смузи
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #65

56. Сообщение от Брат Анон (ok), 27-Апр-23, 07:51	+1 +/–
А к Солнцу претензии есть? Ну, оно типа само за 7 млрд человек решило: тут свечу, тут не буду. А к Земле, что она вертится? Впрочем, кажется я начал понимать откуда есть пошли плоскоземельщики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

57. Сообщение от Брат Анон (ok), 27-Апр-23, 07:57	+2 +/–
Автоматом даже джейсон не парсится.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

58. Сообщение от User (??), 27-Апр-23, 07:59	+2 +/–
Ну, был у меня дивный bad trip с АСУТП'шниками, отказывавшимися менять дефолтный пароль "changeme" на что либо другое по причине того, что оный пароль зафиксирован в согласованной эксплуатационной документации - а поменять подготовленную иностранным вендором бумагу - оооо! Никак не можно. Теперь вот вижу унутре пайплайна java truststore с зашитым паролем changeit и понимаю, что от те, первые - были good trip на самом-то деле, у них причины были, а эти - просто долба*бы. А, да - что характерно и 1, и 2 - не какие-нибудь рога-с-копытами, а прям крупный нефтехим.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #76

59. Сообщение от Tron is Whistling (?), 27-Апр-23, 08:13	–1 +/–
Не всегда. Смотря что у вас за система и какой характер носит исполнение. Есть системы, которым падать нельзя вообще - лучше криво-косо, но отработать. А модуль контроля, который в таких системах есть - ошибку основных модулей зафиксирует, если сможет - исправит, потому что там вторичная логика контроля, написанная несколько иначе, и отправит отчёт о том, что основной модуль в очередной раз что-то про***л.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #66

60. Сообщение от Tron is Whistling (?), 27-Апр-23, 08:14	+/–
(это не про пароли кнешн, но например если у вас из-за одной ошибки модуля упадёт весь софтсвитч на 100500 абонентов - веселья будет немеряно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54

61. Сообщение от ИмяХ (?), 27-Апр-23, 08:14	+/–
И здесь теперь заставляют ставить кодовый замок на дверь туалета.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

62. Сообщение от Kotlin твой любимый язык (?), 27-Апр-23, 08:50	+/–
Скорее это обычные васяны. Где скажем жкс найдет деньги на dev ops с их зп в 300к. Помимо этого есть и другие мелкие организации, которые в айти понимают не больше Васяна, как-то настроилось, как-то работает и ладно. И таких людей миллиарды. Иногда 5 точка очень сильно печет от того, как безграмотные настраивают базовые вещи. Но приходится контролировать свои эмоции, чтобы не ссориться с людьми. (за кучу лет устал с кем-либо спорить от чём-либо)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #75

63. Сообщение от 1 (??), 27-Апр-23, 10:02	+1 +/–
зато с кодом 1234 по умолчанию
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61 Ответы: #78

64. Сообщение от Товарищ майор (ok), 27-Апр-23, 10:22	–1 +/–
> Нет, товарищ майор. Всё должно быть по инструкции: нет переменной -- нет > работы. > Лучше с грохотом надёжно упасть, чем может быть криво работать. Не всегда. Настраивать тот же бареос\бакулу с нуля в первый раз - тот ещё геморрой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #67

65. Сообщение от Брат Анон (ok), 27-Апр-23, 12:39	+2 +/–
Ты так это написал, как-будто в этом есть что-то плохое (кроме смузи).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #69

66. Сообщение от Брат Анон (ok), 27-Апр-23, 12:58	+1 +/–
> Не всегда. Смотря что у вас за система и какой характер носит > исполнение. > Есть системы, которым падать нельзя вообще - лучше криво-косо, но отработать. Если для такой системы это критично -- значит в такой системе подобной ситуации не должно возникнуть изначально. > А модуль контроля, который в таких системах есть - ошибку основных модулей > зафиксирует, если сможет - исправит, потому что там вторичная логика контроля, > написанная несколько иначе, и отправит отчёт о том, что основной модуль > в очередной раз что-то про***л. Ты сейчас написал тихий ужас любого оператора атомного реактора или пилота самолёта.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #70

67. Сообщение от Брат Анон (ok), 27-Апр-23, 12:59	+1 +/–
> Не всегда. Настраивать тот же бареос\бакулу с нуля в первый раз - > тот ещё геморрой. Тем более, пока не поздно нужно падать с грохотом. Лучше никак, чем кое-как.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #71, #73

68. Сообщение от анон (?), 27-Апр-23, 14:20	+/–
Покажи мне инженеров аджайл, инженеров скрам. Как илиоты со своим "девопс". Что умеет ваш девопс, чего не умеет админ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #72, #74, #77

69. Сообщение от анон (?), 27-Апр-23, 14:22	–1 +/–
Если это не кубер и не локалхост админа/разработчика, то нахрена он нужен?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #65 Ответы: #82

70. Сообщение от Tron is Whistling (?), 27-Апр-23, 14:38	–1 +/–
> Если для такой системы это критично -- значит в такой системе подобной > ситуации не должно возникнуть изначально. Да, и ошибок в коде тоже вообще быть не должно. Но они есть. Мир вообще не идеален, приходится подстраиваться. > Ты сейчас написал тихий ужас любого оператора атомного реактора или пилота самолёта. Это не тихий ужас, это штатная ситуация в таких системах. Системы дублируются, причём разным кодом и разным железом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

71. Сообщение от Tron is Whistling (?), 27-Апр-23, 14:38	+1 +/–
Запустил ты ядерный реактор - и он остановился. С грохотом :D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

72. Сообщение от Tron is Whistling (?), 27-Апр-23, 14:40	+3 +/–
Смузи пить и брить бороду в барбершопе?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

73. Сообщение от Товарищ майор (ok), 27-Апр-23, 15:06	+1 +/–
>> Не всегда. Настраивать тот же бареос\бакулу с нуля в первый раз - >> тот ещё геморрой. > Тем более, пока не поздно нужно падать с грохотом. Лучше никак, чем > кое-как. Так в том и дело, что грохота много, а понятного объяснения косяка в конфигах - мало. И вместо того, чтобы запуститься и ругнуться на конкретный косяк в конфиге, бареос тупо не стартует. И хорошо, если ты просто ошибся в написании имени переменной - он на него ругнётся, может быть. А если лишнюю скобку поставил...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #67

74. Сообщение от Аноним (74), 27-Апр-23, 20:48	+/–
Носить штаны-колготки и фоткать себяшки в инсту
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

75. Сообщение от Аноним (74), 27-Апр-23, 20:52	+/–
Представь, пришёл ты к врачу, а он тебе гневную тираду, как хреново ты следишь за свои здоровьем. Придёшь к нему повторно после этого?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62 Ответы: #80, #81

76. Сообщение от пох. (?), 27-Апр-23, 22:56	+/–
Кстати, циска, которую это все подза...ло как и дефолтный пароль "cisco" от всего на свете - решила таки проблему радикально. В дешевых коробках теперь дефолтный пароль работает ровно один раз. Если его не поменяв сделать logoff - строчка автоматически самовыпиливается из конфига и второй раз войти уже не получится. (сделали как обычно, рабочекрестьянски, поэтому теперь в паролях нельзя использовать восклицательный знак. Но хоть так уже...)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

77. Сообщение от PV (??), 28-Апр-23, 00:51	+/–
Проходить собеседования, зарабатывать бабки, управлять больше чем 10ю серверами на заводе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #68

78. Сообщение от пох. (?), 28-Апр-23, 16:54	+/–
вообще-то 1234567890 - поэтому ты все равно успеваешь обоср...ся пока открываешь дурацкий замок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

79. Сообщение от ivan_erohin (?), 29-Апр-23, 10:35	+/–
> Но сколько установок Oracle где бородатые DBA не удосужились сменить пароль CHANGE_ON_INSTALL > ? в смысле ? вроде всегда был scott/tiger
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

80. Сообщение от iFRAME (ok), 30-Апр-23, 11:14	+1 +/–
Если он кроме гневной тирады может сказать как это исправить - то точно да и не раз. Такие врачи на вес золота.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

81. Сообщение от Анониссимус (?), 07-Май-23, 02:56	+/–
При наличии более вежливого выберу вежливого, если он будет так же хорошо лечить. А если нет -- то к такому, какой есть. Зубник был один у меня, вредный довольно, постоянно бурчал и поучал. Зато лечил хорошо и внушил, что за зубами следить надо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

82. Сообщение от Брат Анон (ok), 10-Май-23, 11:25	+/–
> Если это не кубер и не локалхост админа/разработчика, то нахрена он нужен? Прикинь, на одном хосте ты несколько сервисов на одном порту не запустишь! И память сервису не ограничишь. И полядра не дашь. И диск не ограничишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема