The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Взлом инфраструктуры matrix.org

12.04.2019 10:38

Разработчики платформы для децентрализованного обмена сообщениями Matrix объявили об экстренном отключении серверов Matrix.org и Riot.im (основной клиент Matrix) в связи со взломом инфраструктуры проекта. Первое отключение состоялось вчера вечером, после чего работа серверов была восстановлена, а приложения пересобраны из эталонных исходных текстов. Но несколько минут назад серверы были скомпрометированы второй раз.

Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной миллионов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix. Изменённый код сайта размещён в репозитории атакующих на GitHub (не в официальном репозитории matrix). Подробности о втором взломе пока отсутствуют.

После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins. После получения доступа к серверу с Jenkins атакующие перехватили ключи SSH и получили возможность доступа к другим серверам инфраструктуры. Было заявлено, что исходный код и пакеты не пострадали в результате атаки. Атака также не затронула серверы Modular.im. Но атакующие получили доступ к основной СУБД, в которой размещены в том числе незашифрованные сообщения, токены доступа и хэши паролей.

Всем пользователям было предписано сменить пароли. Но в процессе смены паролей в основном клиенте Riot пользователи столкнулись с пропаданием файлов с резервными копиями ключей для восстановления шифрованной переписки и невозможности доступа к истории с прошлыми сообщениями.

Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей. Matrix обеспечивает сквозное (end-to-end) шифрование на базе собственного протокола, использующего в том числе алгоритм Double Ratchet (также используемого как часть протокола Signal), поддерживает поиск и неограниченный просмотр истории переписки, может использоваться для передачи файлов, отправки уведомлений, оценки присутствия разработчика в online, организации телеконференций, совершения голосовых и видео звонков. Поддерживаются также такие расширенные возможности как уведомление о наборе текста, подтверждение прочтения, push-уведомления и поиск на стороне сервера, синхронизация истории и состояния клиентов, различные варианты идентификаторов (email, номер телефона, учётная запись в Facebook и т.п.).

Дополнение: Опубликовано продолжение с описанием второго взлома, информацией об утечке PGP-ключей и обзором проблем с безопасностью, которые привели к взлому.

  1. Главная ссылка к новости (https://twitter.com/matrixdoto...)
  2. OpenNews: Проект KDE перешёл на Matrix для общения разработчиков
  3. OpenNews: Серверы Coverity Scan были взломаны и использовались для майнинга криптовалюты
  4. OpenNews: Проект Gentoo опубликовал отчёт о взломе своих репозиториев на GitHub
  5. OpenNews: Атака на биржу криптовалюты через взлом счётчика StatCounter
  6. OpenNews: Выявлены следы взлома PHP-репозитория PEAR и модификации пакетного менеджера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/50501-martix
Ключевые слова: martix
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (119) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Анонимус_б6_выпуск_3 (?), 10:52, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +31 +/
    >Напомним, что платформа для организации децентрализованных коммуникаций Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей

    Эпичное заявление на фоне самой новости

     
     
  • 2.15, Андрей (??), 11:21, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +27 +/
    И новость подтверждает это: не стал известен ни один пароль в открытом виде, и ни одно зашифрованное сообщение не было расшифровано. То, что был потерян доступ к зашифрованной переписке - да, досадно, и, наверняка, может быть исправлено в будущем. Но в любом случае по соображениям безопасности всем известно, что в случае ЧП лучше потерять самому, чем чтобы досталось другим.
     
  • 2.22, yoda (?), 11:35, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins

    Это не сам matrix

     
     
  • 3.29, mumu (ok), 12:14, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да, это лживые заверения его владельцев о том, что они уделяют внимание безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы - это же так скучно и не по аджайловски
     
     
  • 4.37, Аноним (37), 12:39, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тут любое ружье могло выстрелить.
    Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая другая новая дыра.
     
     
  • 5.110, mumu (ok), 12:49, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    т.е. просто забить на сервер, который имеет доступ ко всем репам и не следить за выходящие для него обновления безопасности - это ружьё, которое может свалить фирму "уделяющую большое внимание безопасности"? Ой мамочки... А в следующий раз они скажут "ну ктож знал, что нужно дефолтовые пароли менять на монгу, смотрящую в интернет, это же никак не связано с (нашими) представлениями о безопаности"
     
  • 5.125, Аноним (125), 11:59, 10/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут любое ружье могло выстрелить.
    > Выстрелил необновленный дженкинс, но это мог быть и свежий openssl и любая
    > другая новая дыра.

    Ключевое слово здесь "необновленный".
    Одно дело если инфраструктуру взламывают из-за не найденной пока уязвимости,
    а другое дело когда наши юные секурити-бойз прощёлкали обновления уже известной дыры,
    по моему это достаточно красноречиво говорит о конторе, которая позиционирует себя как разработчик
    безопасного софта, и на мой взгляд "это какой-то... позор?!"

     
  • 4.38, yoda (?), 12:40, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Да, это лживые заверения его владельцев о том, что они уделяют внимание
    > безопасности. Ставить какие-то там дурацкие патчи безопасности на киртичные серверы -
    > это же так скучно и не по аджайловски

    Меня больше интересует целостность пакетов, так как у меня свой сервер с отключённой интеграцией.

     
     
  • 5.116, хотел спросить (?), 23:35, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    а чем бы вам интеграция навредила бы в данном случае?
     
  • 4.122, rshadow (ok), 11:46, 15/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Логика железная. Разработчик заболел простудой ... вся система подвержена заражению вирусом?!
     
  • 3.36, Адмирал Макйл Роджерс (?), 12:36, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Этот факт не снимает ответственности за произошедшее с людей, ответственных за проект. Дискредитация мессенджера Matrix в глазах людей, представляющих интерес для организации. которую я имею честь возглавлять, привела к тому, что значительные средств, выделенные на этот проект, оказались потрачены впустую. По моему глубокому убеждению все виновные должны понести самое строгое наказане.
     
     
  • 4.44, Игнат (?), 13:10, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Компании использующие self-hosted решение не пострадали, перебоя в работе не было.
    Возможно ответственные за выбор облачного решения облажались.
     
  • 4.90, роопм (?), 15:43, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Какая отвественность? фри фор фан же
     
     
  • 5.99, Аноним (99), 18:18, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно же, не та, которая материальная. Та, которая по совести, в виде собственной репутации.
     
  • 3.124, Аноним (124), 11:47, 10/05/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins
    > Это не сам matrix

    Да, они просто настолько заняты секурностью своего кода, что своевременно накатывать заплатки на инфраструктуру у них времени нет, это победа!

     
  • 2.41, Аноним (41), 13:07, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет абсолютно безопасных систем - не существуют в природе. Да и по ряду объективных причин не могут в принципе.
     

  • 1.2, rioko (?), 10:53, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Welcome to Matrix
    An open network for SECURE, decentralized communication.
    ¯\_(ツ)_/¯

    Бывает, чего уж там.

     
     
  • 2.7, Аноним (7), 11:05, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    matriks
     
  • 2.13, Аноним (13), 11:16, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тонко :)
     
  • 2.33, Ordu (ok), 12:33, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Раньше было принято наперегонки кричать "БОЯН" в ответ на попытки шутить шутки, которые всех достали. Но что ни дай в руки хомячкам, они из всего сделают боян, они сделали боян из бояна. И теперь я даже не знаю как реагировать на шутки, которые повторяли так долго, что от них уже тошнит.
     
     
  • 3.39, Аноним (39), 12:53, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хоронили тёщу, порвали два бояна.
     
     
  • 4.48, Ordu (ok), 13:24, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Хоронили тёщу, порвали два бояна.

    Да, точно. Их там два было. Я и забыл уже.

     
     
  • 5.84, forum reader (?), 15:28, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Выкапывай.  
    Будем хоронить заново.
     
  • 2.117, хотел спросить (?), 23:37, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    типа Matrix - S means Secure?
     

  • 1.4, fske (?), 10:56, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Так умиляет, когда ломают "безопасников". Нет, ну конечно, сейчас фанаты будут петь песни про плохого админа/разработчика сайта, а так всё вэр и гуд и #вывсёврёте.
     
     
  • 2.8, hiveliberty (ok), 11:06, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не читаем до конца?)

    > После первого взлома командой Matrix был опубликован отчёт, в котором указано, что взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins.

    Jenkins

     
     
  • 3.18, йцук (?), 11:24, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > Jenkins

    Ага! Который является частью инфраструктуры проекта, может непосредственно влиять на его работоспособность, смотрит голым задом в паблик-сети и за которым никто не следит оставляя там такие дыры. Что долно заставить думать, что к остальным составляющим проекта эта команда относится как-то по-другому?:) </риторический_вопрос>

     
  • 2.10, Аноним (10), 11:10, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Взломать можно любого. В современных системах используется столько разного сложного софта, что уязвимости есть в любой системе. Чтобы быть в безопасности надо
    1. иметь полностью свой кастомный софт;
    2. быть неуловимым Джо;
    3. жить в мире, где не существвует систем автоматического нахождения и эксплатации уязвимостей.

    Все пункты обязательны. 1 + 3 образуют комбо защиты от червей. 2 защищает от людей. Всем трём не соответствует никто, даже АНБ США.

     
     
  • 3.16, Crazy Alex (ok), 11:21, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    ну да, а мониторить апдейты на софт, который используется и торчит в мир - не надо, зачем же...
     
     
  • 4.21, InuYasha (?), 11:34, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    У них, наверное, тот самый принцип - "работает - не трогай" :'D
     
     
  • 5.28, пох (?), 12:01, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    этот принцип прекрасен, но только пока работает стена с автоматическими огнеметами и ров с крокодилами по периметру.

     
  • 5.82, Crazy Alex (ok), 15:18, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, теоретически, в древности именно для этого были минорные бранчи, включающие только то, что штатное поведение не меняет никак. Впрочем, админы и тогда не рвались обновляться...
     
     
  • 6.93, Аноним (99), 16:20, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У дженкинса есть LTS, да. Аж месяца два или три поддерживается, не помню уже.
     
  • 5.87, forum reader (?), 15:30, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    По моему опыту, мои системы которые работают по этому принципу не были взломаны ни разу. А вот системы, на которые постоянно накатываются обновления ломают.  
    Парадокс.
     
     
  • 6.94, Аноним (99), 16:20, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Привет, Джо!
     
  • 6.107, Kuromi (ok), 02:34, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да вам в Чебурнет наниматься надо срочно.
     

  • 1.5, SuomynonA (?), 10:57, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    просто некоторые молчат об инцидентах безопасности, а некоторые нет (трудно молчать с дефейсом)
     
     
  • 2.60, Аноним (60), 14:15, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    БОЛЬШЕ Дефейсов, разных прекрасных
     
  • 2.118, хотел спросить (?), 23:42, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    за это полагаются штрафы.. по-крайней мере в Европе или если пострадали европейские резиденты

    компания обязана уведомить об утечке, а еще если ругулятор посчитает, что не было предпринято никаких шагов для избежания утечки (короче халатность), то все равно могут штрафа впаять

    GDPR ребята ))

     

  • 1.6, SuomynonA (?), 11:00, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    допустим, у меня в матриксе все чаты шифрованные. соответственно, взломщики не получат к ним доступ. а вот у того самого заблокированного мессенджера мало кто пользуется секретными чатиками.
     
  • 1.9, Аноним (9), 11:08, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Правильно говорят, что matrix поделка хипстеров-смузихлебов. Только тормозят развитие нормальных децентрализованных протоколов типа tox/briar/ring своей морально устаревшей федерацией.
     
     
  • 2.50, Shevchuk (ok), 13:34, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А как именно они мешают? Держат тебя всемером, не дают писать код для "нормальных децентрализованных протоколов"?
     
     
  • 3.66, Аноним (99), 14:27, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Оттягивают пользователей агрессивной рекламой.
     
     
  • 4.78, Shevchuk (ok), 15:02, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Например?
     
  • 2.65, Аноним (99), 14:26, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > ring

    Он уже не ring, а jami.

     
  • 2.74, Аноним (74), 14:47, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его исправить должна начинаться с его переписывания заново
     
     
  • 3.119, J.L. (?), 13:21, 14/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Tox -то нормальный протокол? Он косой, кривой и мертворожденный. Любая попытка его
    > исправить должна начинаться с его переписывания заново

    и чего не взялись переписывать? я не про авторов, а вообще - не слышно чтот про децентрализированные чатики

     

  • 1.11, Анонимс (?), 11:11, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Атакующие разместили на главной странице проекта детальные сведения о конфигурации сервера и данные о наличии у них БД с хэшами почти пяти с половиной милинов пользователей Matrix. В качестве доказательства в открытом доступе размещён хэш пароля лидера проекта Matrix.

    Что нужно сделать, чтобы такого больше никогда не происходило? Существуют ли в природе неуязвимые системы? Или нужно быть неуловимым джо и не высовываться, чтобы твоя система была защищённой от всех взломов.

     
  • 1.12, VoDA (ok), 11:15, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > которой размещены в том числе незашифрованные сообщения
    > Matrix обеспечивает оконечное (end-to-end) шифрование

    Это как? О_о

     
     
  • 2.17, Андрей (??), 11:24, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Матрикс поддерживает также общение в стиле IRC, XMPP - т.е. публичные group chat, где нет смысла шифровать. Ну, и, конечно, если кто-то общался в личном чатике, но не включил шифрование. Но тут - ССЗБ.
     
     
  • 3.23, InuYasha (?), 11:37, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    А зачем там _вообще_ незашифрованные сообщения??
    Это как в телеграме что-ли - все думают, что всё супер-шифруется, а оказывается - надо было ещё специальный чат открыть, ага. Из 100% мною опрошенных 100% думало что у них e2e шифрование, а про кнопочку "секрет" никто даже не знал. Здесь так же, что-ли?

    В итоге - жаббер с omemo так и остаётся самым лучшим протоколом.

     
     
  • 4.25, Андрей (??), 11:47, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А зачем там _вообще_ незашифрованные сообщения??

    Потому что есть публичные комнаты, где шифрование не нужно.

    > а оказывается - надо было ещё специальный чат открыть, ага

    Официальный клиент версии 1.0 ещё не вышел, над проблемой сделать шифрование по-умолчанию продолжают работать. Доверяй, но проверяй. Типа, как сел в машину и поехал, а оказалось, что не пристёгнут. Но как же так, я же ожидал, что когда поверну ключ зажигания - ремень сам защёлкнется. А перед тем, как жать на газ, надо было всего-то навсего провести хотя бы зрительный контроль.

    омемо тоже надо включать ручками в гаджиме

     
     
  • 5.46, pztrn (?), 13:21, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Официальный клиент уже 1.0.7. Это официальный сервер еще до 1.0 не дошел.
     
  • 5.54, InuYasha (?), 13:46, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >>Потому что есть публичные комнаты, где шифрование не нужно.

    как это - не нужно?? это весьма странное утверждение. Сродни "пригласил третьего осбеседника, пригласи и товарищмажора".

    Я, вот, насчёт омемо не понял - оно работает для чатов или нет. Потому что мультидевайс они запилили - молодцы. А обмен ключами в чате, как я считаю, тоже дело посильное.

     
     
  • 6.63, fLegmatik (ok), 14:23, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Публичная комната - это не комната, куда кто-то кого-то персонально приглашает, а комната "заходи на огонёк кто хочет, в т.ч. товарищи майоры". В них всем посетителям рады, никого на входе не шмонают на предмет "свой-чужой". Более того, туда через бриджы могут заходить даже пользователи, никогда не слышавшие про матрицу и, соответственно, про её шифрование.
     
  • 6.64, Аноним (64), 14:25, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Ну если ты обсуждаешь такие вещи, что приходится товарища майора бояться - твоя проблема, очевидно, не в выбранном мессенджере. А вообще, ещё одно утверждение есть: "Известное одному - секрет, двоим - не секрет, троим - объявление на весь белый свет."
     
  • 4.61, fLegmatik (ok), 14:17, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не может существовать одной кнопки Сделать всё безопасно Для полноценной безо... большой текст свёрнут, показать
     
     
  • 5.80, J.L. (?), 15:06, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > шифрованные чаты в телеграме, во-первых, не синхронизируются между несколькими устройствами одного пользователя

    всегда интересовало почему два моих девайса не могут открыть между собой канал (теми же самыми средствами, что и с другими общаются) и поделиться друг с другом моей хисторей (ключи шифрования прилагаются УЖЕ, для указания что это мой девайс)

     
  • 5.83, Crazy Alex (ok), 15:27, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это всё от максимализма. Нет никакой проблемы генерировать мастер-ключ из пароля стандартным образом, чтобы он на всех устройствах был один и тот же. И публичный ключ получать при добавлении контакта, сделав его подтверждение по сторонним каналам опциональным. Ну да, надёжность не идеал, но выше, чем тупо гонять открытый текст. А "супер-серкретные" чаты или OMEMO оставить тем, кому оно надо.

    То есть не кнопка "Сделать всё безопасно", а "сделать настолько безопасно, насколько возможно без ухудшения user experience". Впрочем, это больше Токсу надо говорить, а то они совсем застряли со своим фанатизмом.

     
     
  • 6.108, fLegmatik (ok), 08:38, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если ключ генерируется однообразно, то чем он может быть лучше самого пароля Пр... большой текст свёрнут, показать
     

  • 1.14, Анонимс (?), 11:18, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Matrix обеспечивает оконечное (end-to-end) шифрование на базе проверенного алгоритма Signal

    Помнится, кто-то говорил, что Signal является дырявым, как дуршлаг. Так ли это на самом деле?

     
     
  • 2.19, Андрей (??), 11:25, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ни один пароль не стал известен в открытом виде (только хеши). Ни одно зашифрованное сообщение не было расшифровано.
     
     
  • 3.35, Ordu (ok), 12:35, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это на самом деле тёмный вопрос. Я не совсем понял, что происходило когда пользователи массово ломанулись менять пароли. Были ли эти попытки перехвачены?
     
     
  • 4.51, yoda (?), 13:36, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Их открытая переписка ушла, а шифрованная к паролю учётной записи не имеет никакого отношения, так как шифруется _ключами_ на конкретном устройстве.
     
     
  • 5.57, Ordu (ok), 13:49, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть аккаунт потерять можно, но раскрыть переписку -- нет. Это хорошо.
     
  • 2.47, Stax (ok), 13:23, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Голос в вашей голове вам такое нашептывал, что ли?

    Наоборот, все говорили что он весьма безопасен. Скорее всего лучше непонятных протоколов типа телеграмма и уж точно намного лучше основной массы.

    Даже Шнайер подтверждал, что Signal безопаснее всего: https://www.schneier.com/blog/archives/2016/06/comparing_messa.html

     
     
  • 3.67, Аноним (64), 14:29, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Даже Шнайер подтверждал

    Ага, а мой друг Васян, допустим, не подтверждал. Факты есть?

     
     
  • 4.112, Аноним (112), 20:32, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А факты от Васяна есть?
     
  • 2.55, InuYasha (?), 13:47, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько мне известно, дыряв не сигнал, а его реализация Вацапом.
     

  • 1.20, Аноним (20), 11:29, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это в рамках сливания Ассанджа или слак с хипчатом скинулись и заказали?
     
  • 1.24, IRASoldier (?), 11:41, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >взлом был совершён через уязвимость в необновлённой системе непрерывной интеграции Jenkins

    А вот это указывает на безблагодатность современного подхода к инфраструктуре разработки и поддержки: слишком много сущностей. Старые добрые FTP + сервер БД - надёжнее.

     
     
  • 2.26, Michael Shigorin (ok), 11:50, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Скорее всё-таки rsync поверх ssh, но угу, человекопостижимость осталась мало где... (как тут на днях резонно замечали, начиная прям с ядра)
     
     
  • 3.85, Crazy Alex (ok), 15:28, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе да, но хотел бы я видеть человекопостижимый CI, который бы умел хоть что-то.
     
  • 2.68, Аноним (99), 14:32, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > FTP

    Да уж, надёжней некуда.
    /me машет табличкой "сарказм"

     
     
  • 3.79, Andrey Mitrofanov (?), 15:03, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > /me машет табличкой "сарказм"

    Не, бро...
    Маши-не маши, а у него эта табличка и в нике, и по фейсу пропечатана.

     

  • 1.27, Аноним (27), 11:54, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Минимум могли бы за VPN спрятать Jenkins.
     
     
  • 2.45, НяшМяш (ok), 13:11, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Торчащий в интернет голой жопой приватный женкинс - это сильно. Особенно на фоне того, чей он. Как верить заявлениям "у нас самый безопасный мессенджер" от тех, кто не может элементарно инфраструктуру прикрыть?
     
     
  • 3.86, Crazy Alex (ok), 15:29, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может, там результаты ранов всем показать хотели? Иначе правда непонятно, зачем такое
     
     
  • 4.105, анон (?), 00:48, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Хочешь показать, выложи демонстрационный.
    Нет, ребята, если разрабы позиционируют себя как защищенные и допускают такие ошибки то диагноз ясен.
     
     
  • 5.113, Аноним (112), 20:34, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Если компания не прошла PCI DSS, то все заверения в безопасности чего-либо - профанация.
    А теперь дети, как большие эксперты в безопасности, просто обязаны заминусовать этот каммент.
     

  • 1.30, YetAnotherOnanym (ok), 12:16, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > системе непрерывной интеграции Jenkins

    Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?

     
     
  • 2.32, scor (ok), 12:28, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    "continuous" -- это не "срочно-немедленно", а "integration" -- это не "пихать в продакшон".:) Смысл в том, чтоб поле очередного мержа в мастер быть уверенным, что оно по-прежнему рабочее. Но так бывает редко, да.:)
     
  • 2.42, амоним (?), 13:08, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    согласен с предыдушим оратором
    + пихать можно, только например из релизной ветки
    + пихать можно, не в продакшон, а в тестовое окружение
    + можно делать сборки (чтобы потом было понятно, на что откатываться, а то не всегда можно reproducible build делать), и пихать вручную
    + можно не пихать, а просто тесты например гонять, и слать письма счастья: "такой вот враг, закомитив все сломал, шлите зондеркоманду"
    +++ ну и да, если смузи и микросервисов 100-500 (а то и вообще, прости господи, serverless), то можно это руками пихать многие сутки, и закосячить.

    короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )

     
     
  • 3.49, нах (?), 13:29, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пааанимаешь, если бы все кроме пункта 1 выполнялось, сайтик бы ломануть не вышло - пострадала бы только тестовая платформа или промежуточные билды, или вообще сломались бы тесты и народ пополз разбираться.

    > короче можно пихать, а можно не пихать, но если пихать, то очень много вариантов куда )

    но авторы шматрикса выбрали именно херак-херак и в продашн, а не еще куда.
    В чем, что характерно, совершенно они и не одиноки.

     
     
  • 4.88, Crazy Alex (ok), 15:35, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сильно не факт. В смысле, никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить...

    Да и других сценариев может быть вагон, допустим, запихивание зловреда в текущие билды, которые кто-то из разработчиков у себя запускает, и так далее и тому подобное.

     
     
  • 5.95, Аноним (99), 16:25, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > никто ж не мешает, например, сделать джобу "собрать и запихнуть в продакшн", которая бы дёргалась руками, а рядом - "собрать и гонять тесты", которая запускается по коммиту. А если поломать сам CI и получить доступ - то можно и первую запустить...

    Больше того, если поломать CI и получить админский доступ — можно и создать первую джобу, если её нет, а можно просто вытащить credentials и дальше уже действовать по старинке, ручками.

     
     
  • 6.100, Crazy Alex (ok), 18:26, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну, первую службу получится создать только если с CI на боевой сервер вообще доступ есть. Но да, там вариантов масса. CI вообще имеют свойство собирать в себя море критичной инфы
     
  • 2.71, Аноним (99), 14:36, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> системе непрерывной интеграции Jenkins
    > Вот объясните мне, замшелому ретрограду, какой смысл в том, чтобы каждый пук срочно-немедленно пихать в продакшон?

    При правильном подходе пихают как раз медленно и поэтапно. А смысл же в том, чтобы срочно-немедленно обнаружить, если очередной пук что-то сломал.

     
  • 2.81, Андрей (??), 15:18, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы запустить стабильную версию клиента, идут на https://riot.im/app/. А чтобы узнать, пофикшен ли ваш баг 5 минут назад, надо как-то тоже иметь возможность сразу запустить экспериментальную версию, для чего и необходима автоматизированная интеграция. Тогда идут на https://riot.im/develop/.
     

  • 1.31, mumu (ok), 12:18, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Matrix преподносится как проект, использующий открытые стандарты и уделяющий большое внимание обеспечению безопасности и приватности пользователей

    Это примерно как в рекламе использовать слоган "Наш продукт является продуктом №1". Можно спокойно отвечать за базар, если нет никакой юр. ответственности.

     
  • 1.34, TOX user (?), 12:34, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    пользователи токса ржут и показывают пальцем на недодецентрализованных!
     
     
  • 2.40, Аноним (39), 12:59, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    — а он такой, это Неуловимый Джо, что его никто поймать не может?
     
  • 2.43, Аноним (43), 13:09, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > пользователи токса ржут и показывают пальцем на недодецентрализованных!

    пользователь токса ржёт и показывает пальцем на недодецентрализованных! Он, вообще, всегда ржёт.

     
  • 2.52, J.L. (?), 13:37, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > пользователи токса ржут и показывают пальцем на недодецентрализованных!

    шифрованные приваты в токсе вообще есть? там вроде плейнтекст же? (хотя не уверен, давно гуглил)
    но безсерверная децентрадизация в токсе работает хорошо

    //оффтоп
    зы: чаты, мультидевайсы, оффлайнсообщения через мультидевайсы/суперноды когда будут?

     
     
  • 3.69, Аноним (64), 14:32, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Дык оно же сдлохло!
     
     
  • 4.76, J.L. (?), 14:51, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык оно же сдлохло!

    ну по tox сообщения и файлы ходят с андройда на линукс и винду, и обратно
    связь держит весьма неплохо, даже когда на той стороне на мобильнике очень плохой инет

     

  • 1.53, анон (?), 13:40, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как вообще что-то типа Дженкинса может иметь плоскость атаки через интернет?
    Почему все не закрыто через vpn с 2fa?
     
     
  • 2.56, scor (ok), 13:49, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    <ванга_моде> Они хотели чтоб их вебхуки с гит(хаба|лаба) дергали джобы на дженкинсе, но не придумали (не пытались) как это сделать не выставляя дженкинс голым задом в интернет</ванга_моде>

    Ну а вообще да, тенденция современности. Казалось бы очевидные и общеизвестные грабли опять бьют по новым лбам. Будь то дженкинсы в интернетах, монги без аутентификации или тайминг-атаки в WPA3:)))

     
     
  • 3.120, user455 (?), 18:14, 14/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > как это сделать не выставляя дженкинс голым задом в интернет

    публичные сервисы публикуют список своих подсетей обычно для добавления в белые списки.

     
  • 2.77, Мамкин ИБ иксперт (?), 14:59, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    2fa недостаточно, нужно 3fa. минимум!
     
     
  • 3.106, анон (?), 00:49, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да хоть бы 2йку бы организовали везде.
     

  • 1.58, Дон Ягон (?), 13:52, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    А что, кто-то сомневался в этих школо-хипстерах? Заявлять о том, что печёшься о безопасности не то же самое, что правда уделять ей время.
    Очень забавно читать перепись недалёких фанатиков в каментах, старающихся во что бы то ни стало отмыть своих кумиров.
    "Эта жи дженкинс, матрикз не дуршлаг"!!1
     
     
  • 2.72, Аноним (64), 14:37, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Никто не сомневался и в одминах локалхоста, а также их знаниях по настройке инфраструктуры крупного проекта посредством комментов на опеннете.
     
     
  • 3.91, Дон Ягон (?), 15:47, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не открывать дженкинс всем и каждому - это, конечно, большая наука, доо.
     

  • 1.59, Shevchuk (ok), 14:13, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > Matrix обеспечивает оконечное (end-to-end) шифрование

    Сквозное. Сквозное шифрование.


    > на базе проверенного алгоритма Signal

    На базе собственного протокола, использующего как _один из элементов_ алгоритм Double Ratchet, являющегося в свою очередь также _частью_ протокола Signal.

     
     
  • 2.73, Аноним (64), 14:38, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Там под новостью кнопочка "исправить" есть. Скажи, ты opensource-проектам также помогаешь, как тут?
     
     
  • 3.75, Shevchuk (ok), 14:50, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А прочитавшие неверно написанный текст увидят лог изменений? Ой, нет. А комментарий увидят.
    А непринятые изменения будут видны в истории пулл реквестов? Ой, нет. А комментарий будет.

    Скажи, ты open source проектам так же помогаешь, как тут?

     
     
  • 4.98, Аноним (98), 17:33, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть тебе важнее наследить в истории, и неважно чем? Ясно-понятно.
     
     
  • 5.111, Shevchuk (ok), 19:18, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    То есть мне важно донести информацию. Но я не гордый, предложенной "кнопочкой" я тоже воспользовался. Видишь результат? Получается, "наследил неважно чем" пока ты, а выбранный мной изначально способ оказался эффективнее.
     

  • 1.89, AnonPlus (?), 15:40, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Хакер им там на гитхабе любезно вывалил кучку issues, где расписал все слабые места

    https://github.com/matrix-org/matrix.org/issues

     
  • 1.96, robot228 (?), 16:35, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Так им и надо за опенсанс и светлосерый на белом. Вы только гляньте на это https://matrix.org/docs/guides/e2e_implementation.html#id29
     
     
  • 2.102, cool29 (?), 19:07, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Так им и надо за опенсанс и светлосерый на белом. Вы только
    > гляньте на это https://matrix.org/docs/guides/e2e_implementation.html#id29

    Читал сегодня про нарушения зрения. Из коментариев понял что те кто много сидит в ide c ТЕМНЫМИ темами не переносят высокий контраст. Вот я и подумал что наверно им этот светлосерый шрифт кажется каким то сверхчерным.

     

  • 1.97, DFX (ok), 16:37, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >синхронизация истории и состояния клиентов

    Каких "клиентов" ? Riot, Хром без меню, и кучки "Hello World" в GUI-форме ?

    >поддерживает поиск и неограниченный просмотр истории переписки

    Так поддерживает, что by-design разработчики этих клиентов отказываются хранить любую историю локально, ага, превращая весь клиент в browser одной веб-странички.

    Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC.

     
     
  • 2.101, Андрей (??), 19:05, 12/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > разработчики этих клиентов отказываются хранить любую историю локально

    Это очень досадно. Мне вообще непонятно, почему нельзя рассматривать историю по UNIX-way как файл. Т.е. чтобы локально хранилась та же база, что и на сервере.

    > Пора начать называть Matrix тем, чем он является: IRC с HTML и WebRTC

    А причём тут HTML к протоколу Matrix? И разве можно сравнивать IRC с обеспеченной консистенцией истории в Matrix!?

     

  • 1.103, Аноним (103), 19:57, 12/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Работает не трогай?
     
  • 1.109, Онаним (?), 09:09, 13/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Девляпсы опять надевляпсили со своим CI?

    Вообще современный хайп в сторону девопс - зло. Впрочем, желаю как можно больше таких ситуаций - быстрее придёт понимание.

     
     
  • 2.114, Аноним (112), 20:38, 13/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Придёт понимание чего?
     
  • 2.121, user455 (?), 18:20, 14/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    есть какие -то альтернативы?
     

  • 1.123, Тамара (?), 12:30, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Я ничего в этом не понимаю, но уже почти месяц не могу установить систему Роса. В мой компьютер всё это время - что-то закачивается. Бесконечно! Мне уже страшно. Там есть такие странные фразы, что хочется выбросить компьютер  на мусорку. А ведь он новый!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру