The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare

17.07.2021 20:13

В предоставляемой компанией Cloudflare сети доставки контента cdnjs, предназначенной для ускорения доставки JavaScript-библиотек, выявлена критическая уязвимость, позволяющая выполнить произвольный код на серверах CDN. Опасность проблемы усугубляется тем, что для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов в интернете и компрометация инфраструктуры позволяет подменить библиотеки, отдаваемые любым из этих сайтов.

Сервис cdnjs осуществляет загрузку пакетов из Git или репозитория NPM, после чего даёт возможность любому сайту бесплатно воспользоваться сетью доставки контента Cloudflare для ускорения загрузки JavaScript-библиотек. При изучении кода компонентов cdnjs, опубликованных на GitHub, было выявлено, что для распаковки NPM-пакетов в архивах tgz используется штатный модуль archive/tar на языке Go, которые выдаёт список файлов как есть, без нормализации путей. В случае, когда скрипт распаковывает содержимое на основании выданного списка, наличие в архиве файлов вида "../../../../../../../tmp/test" может привести к перезаписи произвольных файлов в системе, насколько это позволяют права доступа.

Было предположено, что атакующий может подать заявку на добавление своей библиотеки в cdnjs и загрузить в репозиторий NPM специально оформленный архив, содержащий файлы с символами "../" в пути. На серверах cdnjs периодически выполняется операция "autoupdate", в ходе которой обработчик загружает новые версии предложенной библиотеки и распаковывает содержимое. При помощи файлов c путями "../" атакующий может добиться перезаписи файлов со скриптами сервиса и выполнения своего кода на сервере на котором производилась распаковка.

В случае загрузки обновлений из Git было выяснено, что загружающий обновления обработчик не учитывал символические ссылки при копировании файлов из Git. Данная особенность позволяла организовать чтение любых файлов с сервера через добавление в Git символических ссылок.

Эксперименты с демонстрацией взлома cdnjs для получения премии на HackerOne было решено начать с проверки гипотезы относительно чтения файлов. В Git-репозиторий отдаваемой через CDN JavaScript-библитеки была добавлена символическая ссылка test.js, указывающая на файл /proc/self/maps. После публикации новой версии библиотеки обработчик обновлений обработал данный репозиторий и опубликовал указанный файл в cdnjs (test.js был создан как символическая ссылка и при запросе данного файла выдавалось содержимое /proc/self/maps).

Подставив символическую ссылку на файл /proc/self/environ автор исследования заметил, что внутри отданных данных присутствуют значения переменных окружения GITHUB_REPO_API_KEY и WORKERS_KV_API_TOKEN. В первой переменной хранился ключ к API для доступа с правом записи в репозиторий robocdnjs на GitHub. Во второй переменной хранился токен к хранилищу KV в cdnjs. Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.

  1. Главная ссылка к новости (https://blog.ryotak.me/post/cd...)
  2. OpenNews: Cloudflare, Tesla многие другие компании скомпрометированы через камеры наблюдения Verkada
  3. OpenNews: Mozilla, Cloudflare и Facebook представили TLS-расширение для делегирования короткоживущих сертификатов
  4. OpenNews: Ошибочный BGP-анонс на 74 минуты нарушил связность сетей Google и Cloudflare
  5. OpenNews: Уязвимость в Cloudflare привела к утечке конфиденциальной информации клиентов
  6. OpenNews: Капча CloudFlare может применяться для деанонимизации пользователей Tor
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55499-cdnjs
Ключевые слова: cdnjs, cloudflare
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (184) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 20:34, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    А сколько таких прошло незамеченно?
     
     
  • 2.23, Аноним (-), 21:47, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Дофига. Если кто нанял хипстеров в фирму - он и получает то что получает. Вебня вообще штука весьма дырявая. Хипстеры поди и не знали что так можно было. Хотя этому багу лет 30 если не больше.
     
     
  • 3.72, Слышь васян (?), 10:04, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да ты и есть этот хипстер(понахватались словечек и суют куда ни попадя, дебилы). Давай расскажи нам тут как ты идеально говнокодишь без багов и уязвимостей🤣
     
     
  • 4.98, Аноним (98), 13:09, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он только комменты писать умеет, и то пока каникулы не закончились.
     
  • 3.99, Аноним (98), 13:10, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Только дырявой оказалась не вебня, но ты текст новости не читай, ты сразу комменть!
     
  • 2.33, Аноним (-), 22:01, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +19 +/
    У меня половина сайтов вообще не открывается. Идет вечная "Проверка браузера". Пробую другие браузеры - то же самое. Галимый клаудфлейр не дает пользоваться интернетом!
     
     
  • 3.36, Аноним (-), 22:16, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +20 +/
    Идет проверка браузера на количество мегахэшей в секунду, не закрывайте вкладку...
     
     
  • 4.37, Аноним (-), 22:17, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А сколько она идет? Иногда жду минуту, две, три... И что?
     
     
  • 5.43, Аноним (43), 22:45, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если это браузер TOR, то будете ждать долго.
     
     
  • 6.47, Аноньимъ (ok), 23:25, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    У меня без всяких торов эта проверка зависает от секунд до бесконечности.
     
  • 5.52, Аноним (-), 00:03, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А сколько она идет? Иногда жду минуту, две, три... И что?

    А сколько электричества не жалко - столько и майни, нелох :). Может хакеры натурально доперли майнеры под клаудспайварь маскировать, не? :)

     
  • 5.67, Lex (??), 05:48, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    При долгом ожидании, можно зайти на главную страницу гуглового поисковика.

    Прямой закономерности не знаю, но, обычно, если клаудфаер отваливается, гугловый поисковик начинает запрашивать капчу, ругаясь на «множество подозрительных запросов с этого айпи», после прохождения которой, и клаудфаер волшебным образом включается

     
     
  • 6.79, Аноним (79), 10:27, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это происходит когда анальный зонд не работает из-за ublock origin/umatrix. Тогда типа подозрительно станоаится, что у тебя из задницы не торчит ничего. Это как зайти на мобильную версию почты рамблера, и сразу "подозрительная активность, надо бы привязать почту к номеру телеыона". Лечится полноценной версией сайта.
     
     
  • 7.81, Lex (??), 10:38, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нередко не в этом дело Имеется немало ферм , состоящих из сборок кучи мобильны... большой текст свёрнут, показать
     
     
  • 8.83, пох. (?), 10:46, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    с этого места, пожалуйста, поподробнее Откуда у этих м-ков деньги на симки и мо... текст свёрнут, показать
     
     
  • 9.102, Lex (??), 13:40, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    т н веб-скрэпинг, еще и жирного сайта с энными защитами едва ли стоит по 1 руб ... большой текст свёрнут, показать
     
     
  • 10.104, пох. (?), 13:46, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну а скока он может стоить-то ну, если только совсем барахло Мои на порядок до... текст свёрнут, показать
     
     
  • 11.108, Lex (??), 14:05, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ты меня в чем пытаешь убедить -В том, что скачивание веб-реусрсов - это дея... большой текст свёрнут, показать
     
     
  • 12.111, Lex (??), 14:12, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимость в cdnjs, позволившая выполнить код на серверах Cl...... текст свёрнут, показать
     
  • 12.117, пох. (?), 15:07, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    разьве что в том, что, вероятно, этот бизнес как-то поинтереснее устроен А знач... текст свёрнут, показать
     
     
  • 13.119, n00by (ok), 15:27, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Так и на проводных сетях IP попадают в ЧС Спамхаусов и т п Но там вроде не заку... текст свёрнут, показать
     
  • 8.94, Аноним (79), 12:49, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Наивный сельский юноша, вам бы поменьше верить всему что пишут сайты вываливающи... текст свёрнут, показать
     
     
  • 9.105, Lex (??), 13:46, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У сеньора проблемы с пониманием написанного Кто-то с кого-то трясет штраф или ... текст свёрнут, показать
     
     
  • 10.112, Аноним (79), 14:12, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вряд ли можно что-то сделать с этим, ибо свободный доступ к информации не работа... текст свёрнут, показать
     
  • 8.121, Аноньимъ (ok), 16:09, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У меня статический ipv4 и подсеть ipv6 Никто другой моими ойпи не пользуется Т... текст свёрнут, показать
     
     
  • 9.126, Анонъимь (?), 17:58, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    - А может какая-то из железок моей сети в ботнете участвует - Да не, бред какой... текст свёрнут, показать
     
     
  • 10.147, Аноньимъ (ok), 23:21, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очень маловероятно Скорее всего эта чудоклаудфара помечает целые подсети Или в... текст свёрнут, показать
     
     
  • 11.204, Знаток (?), 18:39, 23/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Клаудфара помечает антипрививочников, гомофобов и трампистов инфа 100 ... текст свёрнут, показать
     
  • 3.46, Оно ним (?), 23:07, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ты попробуй впн с выходной точкой не в России - увидишь большую разницу.
     

     ....большая нить свёрнута, показать (28)

  • 1.2, макпыф (ok), 20:43, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >  Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.

    А возможно и смог

     
  • 1.3, pashev.me (?), 20:44, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Мыши плакали, кололись, но продолжали жрать кактусы.
     
  • 1.4, Sw00p aka Jerom (?), 20:46, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    девопсяти на лицо, давайка я втоматизирую.
     
     
  • 2.5, анонимас (?), 20:59, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    а как тогда по твоему лучше, по старинке rsync'ом в баш скриптике да по крончику ?
     
     
  • 3.18, Sw00p aka Jerom (?), 21:43, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а баш зачем тут, если можно сразу в крон команду пихнуть? просто CF решил, давайка облегчим труд и так загруженных девопсят. В гитхад не поленился запушил, в нпм не поленился запушил, что в CF лень было пушить? CF просто в последнее время слишком на себя берет, вот и плата. Пусть продолжают в том же духе.
     
  • 3.25, Аноним (-), 21:48, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Во всяком случае, при этом сайт не окажеся ВНЕЗАПНО взломан, да еще по причине "клаудспайварь взломали".
     
     
  • 4.74, Слышь васян (?), 10:08, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Не ври. Ломали вас говнокодеров и без клаудфлари 🤣
     
  • 3.201, PnD (??), 11:42, 20/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Какой ещё крон у девопсов?!
    systemd.timer нужен, не меньше! </sarcasm>
     
  • 2.20, пох. (?), 21:44, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    GITHUB_REPO_API_KEY и WORKERS_KV_API_TOKEN. В первой переменной хранился ключ к API для доступа с правом записи в репозиторий robocdnjs на GitHub. Во второй переменной хранился токен к хранилищу KV в cdnjs.

    Инфраструктурка аз эээ kokokokoде!

     
     
  • 3.26, Аноним (-), 21:49, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    А потом некоторые *даки обижаются когда их тыкают носом что мешать код с данными моветон.
     

  • 1.6, kissmyass (?), 21:02, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    в такие моменты я прям улыбаюсь, когда вспоминаю, как каленым железом выжигал ссылки на CDN и бандлил JS вместе с приложением
     
     
  • 2.16, YetAnotherOnanym (ok), 21:41, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Фи, какой ты немодный.
     
     
  • 3.21, Sw00p aka Jerom (?), 21:45, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    бармен, смузи этому джентельмену за счет заведения :)
     
     
  • 4.28, Аноним (-), 21:49, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дедлок твоему гироскутеру в фирмварь!
     
     
  • 5.41, InuYasha (??), 22:25, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Эфирного масла рафлезии в ваш вейп! )
     
  • 4.66, Аноним (66), 05:09, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не бармен, а барист, попрошу!
     
  • 3.50, Аноним (50), 23:37, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +8 +/
    >> Фи, какой ты немодный

    Дожили, стало комплиментом

     
  • 2.110, Анон123амм (?), 14:11, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ты бумер штoле?
     
     
  • 3.149, Гентушник (ok), 01:58, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Бум-бум-бум, бу-бу-бу-бу-бумер!
     
  • 2.171, Аноним (171), 11:46, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    На cdnjs тэг script дается с атрибутом integrity (нет в старом IE и нет в iOS <11.3), в котором хэш SHA2-512. А также referrerpolicy="no-referrer" (нет в Edge <79 и нет в iOS <14). И crossorigin="anonymous", дабы куки не посылались. Но да, если нет fallback и файлы бы поменяли, то сайт бы перестал работать из-за несовпадения хэшей.
    Чужие CDN могут падать (тогда загрузка сайта временно застывает даже при fallback) и быть забанены РКН, поэтому не знаю зачем CDN для обязательных файлов (js, css, лого, фон). Разве что бесплатные хостинги с маленьким трафиком (100—500 МБ).
     

  • 1.9, Аноним (9), 21:09, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А сейчас представьте, сколько неизвестных уязвимостей эксплуатируется в данный момент... 🤔
     
     
  • 2.90, Нанобот (ok), 12:25, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Как страшно жить😱
     
     
  • 3.190, Led (ok), 14:39, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Надеюсь, ты правильный вывод для себя сделаешь из своего заключения.
     

  • 1.10, th3m3 (ok), 21:14, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    JS - ненужен. Сайты которые не используют js или минимально - летают как ракета по сравнению в остальными. Это деградация веба в чистом виде.
     
     
  • 2.42, нах.. (?), 22:28, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Тссссс, тихо, хомяк рогатый хочет только жевать что дали да почавкивать.
     
  • 2.45, Аноним (79), 22:47, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он нужен банкам для нарушения анонимности и определения оборудования, айпи адреса и установления личности, о чем они открыто и пишут. Больше ни за чем жопоскрипт ненужен.
     
     
  • 3.135, СеменСеменыч777 (?), 20:37, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > установления личности

    чего бххх ? правильный логин + правильный пароль + правильные ключи (приватный + публичный + сертификат публичного) = личность установлена. все остальное - муть, гадание на кофейной гуще, эвристический скоринг с плавающими от -бесконечность до +бесконечность весами.
    таково мое скромное мнение.

     
  • 3.165, Аноним (165), 11:06, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для выявления IP адреса нафиг не нужен js
     
     
  • 4.172, Анончик (?), 12:25, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ты ему об этом говоришь, он теперь как спать то будет?
     
  • 3.180, abi (?), 13:12, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Простите конечно, но мы не по своей инициативе, нас ЦБ наставляет
     
  • 2.68, Lex (??), 05:51, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но ведь.. проблема в распаковщике архивов на го
     
  • 2.88, Аноним (88), 11:01, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Он действительно потерял смысл. Один большой мега-костыль на костыле. Бандлят скрипты в несколько мегабайт, это дело всё грузится только через 5G или локалке. И зачем читаемый скрипт, если там уже давно нечеловечий текст из-за вебпаков, минимайзеров, костыль TypeScript компилится в JS. Тогда уж лучше WASM, но и тут подстава, он без JS-костылей не работает. Пакеты и фреймворки сегодня живут, завтра уже нет, либо если не обновишься, то вообще собрать не сможешь, если хоть что-то посвежее.
     
     
  • 3.118, Аноним (118), 15:15, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а как ты предлагаешь кормить миллионы вебмакак ? отправить их на трубопрокатный завод вкалывать?
     
     
  • 4.120, kissmyass (?), 15:46, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а как ты предлагаешь кормить миллионы вебмакак ? отправить их на трубопрокатный
    > завод вкалывать?

    как-будто это кого-то останавливало, была бы возможность - давно бы отправили

     
  • 4.123, пох. (?), 17:05, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    из них труб не понаделать, так себе матерьял. Кроме как на мыло макаку вообще ни к какому делу приспособить нельзя. Ну, вон, еще, можно вирусы новые в них разводить.

     
  • 4.160, 1 (??), 09:20, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "Гвозди бы делать из этих людей !" (с)
     
     
  • 5.191, Led (ok), 14:41, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Из г-на - гвозди? Оригинально...
     
  • 2.132, Ананимас123 (?), 19:00, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сейчас смотрю в какую сторону цсс и волосы шевелятся не только на голове, какие-то анимации, циклы.
    Скоро из-за него еще отсыпят тормозов.
     

  • 1.11, Аноним (11), 21:17, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    не проходите мимо!!! хе хех е
    кто-нибудь знает, почему у меня часто блокируется учетная запись при блокировке в plasma?? бесконечные круги из 10 минутных блокировок.
    использую gdm, ctrl+alt+Fn, wayland.
    кстати говоря, падает, за счёт виджетов.
     
     
  • 2.12, Аноним (11), 21:18, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    опечатка "при работе в plasma_session"
    пользователи разные а трудность одна и та же.
     
  • 2.13, Аноним (11), 21:20, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    кстати говоря, arch.
     
     
  • 3.55, Аноним (-), 00:13, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Казалось бы, при чем тут CDNJS? И не стремно что ответы будут под стать вопросу? Т.е. очередной патч Бармина.
     
     
  • 4.63, дядя Пэдро (?), 00:50, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    деньги за интернет уплочены.
    чё тебе еще надо?
     
  • 3.192, Led (ok), 14:42, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > кстати говоря, arch.

    Скорей бы уже 1-е сентября...

     
  • 2.31, Аноним (11), 21:57, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    вот что нарыл

    username : user NOT in sudoers ; PWD=/home/username ; USER=root ; COMMAND=/usr/share/plasma/plasmoids/gr.ictpro.jsalatas.plasma.pstate/contents/code/set_prefs.sh -read-all

    и собственно почему пользователю без sudo предлагают ввести пароль для оного? как это заблокиовать изначально, т.е. до самого запроса мгновенным отказом в вводе оного. sudoers править?

     
     
  • 3.158, Аноним (158), 08:46, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > и собственно почему пользователю без sudo предлагают ввести пароль для оного?

    сначала понаставят всякого не глядя, а потом вопросы задают. Ридми для виджета не осилил?

    > The widget uses a shell script that needs to be run as root user (sudo) and which apparently floods your log files with security related messages as described in issue #16.

     
  • 2.87, Аноним (88), 10:53, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    7 лет сидел на плазме, всё было хорошо. Два года не сидел. Щаз присматриваю обратно, они вообще всё портят, федора KDE не выключается, всё как-то с задержкой открывается, вяленый-не вяленый, падать стало больше, особенно, если быстро кликать. Чего-то качает с инета постоянно.
     

  • 1.14, Аноним (14), 21:27, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > выявлена критическая уязвимость
    > осуществляет загрузку пакетов из Git или репозитория NPM

    ЧТД

     
     
  • 2.27, пох. (?), 21:49, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    доступ с production серверов на ЗАПИСЬ в шитхаб и все ключики от всего удобно сложенные кучкой там же - тоже git с npm виноваты?
     
     
  • 3.29, Аноним (-), 21:51, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Если уж хипстер - то во всем.
     

  • 1.15, Аноним (15), 21:41, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Обожаю баги использующие работу с символическими ссылками. Это та вещь, которая автоматически создаёт тебе уязвимость, если только ты специально не обработал и не закрыл эту дыру. Т.е. оно уязвимо по-умолчанию и приходится прилагать дополнительные усилия, чтобы сделать всё секьюрно.
     
     
  • 2.39, Аноним (39), 22:21, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Точно такая же дыра (с перезаписью файлов вне текущего каталога при распаковке архивов) была лет 10 назад при обработке вакансий в фейсбук. Годы идут, новые поколения подрастают, баги не меняются.
     
     
  • 3.60, Аноним (60), 00:19, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Годы идут, новые поколения подрастают, баги не меняются.

    Поколения растаманов: "Зачем думать, система позаботится обо мне!".

     
     
  • 4.95, Аноним (-), 12:52, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Годы идут, новые поколения подрастают, баги не меняются.
    > Поколения растаманов: "Зачем думать, система позаботится обо мне!".

    То ли дело поколения опеннетных расто-подгорельцев, бдительно выискивающих и разоблачаюзиъ происки "растаманов" …

     
     
  • 5.163, Аноним (163), 10:42, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Забавно что рустик даже не пытается начать думать. И все равно будет писать на «системном» языке как на джаваскрипте. Но виноваты конечно же хейтеры, а не сами рустики.
     
  • 3.166, Аноним (165), 11:08, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Неужели так сложно ограничить пользователя в правах, чтобы из под него нельзя было лезть и писать туда, куда лезть и писать ему не надо?
     
  • 2.58, Аноним (-), 00:17, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Баги с ../../../ стары как мир. И ведут к почти 100% уязвимости если специально не заткнуть. Более того. Если софт можно спровоцировать на шарахание по ФС без ограничений - у меня для вас очень плохие новости: кто-то уже бубнит "all your base are belongs to us". А может быть, они уже давно у вас. Потому что это стандартный тест для любого кулхацкерского барахла много лет.
     

  • 1.17, Аноним (15), 21:41, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Ну хотя б postinstall скрипты не зовут из npm пакетов. И на том спасибо.
     
  • 1.19, YetAnotherOnanym (ok), 21:44, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    А вспомнить как клаудфлара щёки надувала - мы вас от всего защитим, от взлома, от доса, переходите к нам, бебебебебе...
     
     
  • 2.22, пох. (?), 21:46, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    ну вот и защитила - клаудшмару-то ломануть поинтереснее, чем твой васян-сайт. До него, глядишь, дело так и не дойдет вообще.

     
     
  • 3.30, Аноним (-), 21:57, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Благодаря клаудспайвари, вот, и до васян сайтов дошло. Одно дело ломать миллион васянов - и другое всем им с CDN вгрузить им всем крупным оптом.
     
  • 2.24, Аноним (9), 21:47, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Помимо этого у них проблемы со стабильностью. Часто можно просто потерять соединение.
     

  • 1.32, Аноним (-), 22:01, 17/07/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • –2 +/
     
  • 1.34, Аноним (-), 22:04, 17/07/2021 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +1 +/
     
  • 1.35, Онаним (?), 22:08, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Муахах, два смузи всем любителям тянуть сотни лефтпадов.
    Остальным - задуматься.
     
     
  • 2.49, anonymous (??), 23:35, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я всё не могу понять, чего всем тут так не нравится в смузи? Например пробовали кививый смузи в Шоколадцице? Вкусная штука же.
     
     
  • 3.57, Аноним (60), 00:15, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Настоящие айтишники бухают в пивнушках, а не слоняются по шоколадницам.
     
     
  • 4.62, kissmyass (?), 00:42, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Настоящие айтишники бухают в пивнушках, а не слоняются по шоколадницам.

    это сисадмины пивасик, а программеры жрут вискарь, если здоровье позволяет ))

     
     
  • 5.69, Lex (??), 05:55, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вискарь для начинающих
    Воистину продвинутые предпочитают коньяк
     
     
  • 6.156, ыы (?), 08:12, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А просветленное совершенство- ведет здоровый образ жизни... делает зарядку, катается на гироскутерах, кушает сму.. ах да.. с этого и начали... :)
     
     
  • 7.203, Онаним (?), 22:03, 20/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Но на выходе у них получается cdnjs и лефтпады.
     
  • 4.92, anonymous (??), 12:38, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть вы думаете, что люди не потребляющих алкоголь не могут быть хорошими инженерами?
     
     
  • 5.106, пох. (?), 13:47, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > То есть вы думаете, что люди не потребляющих алкоголь не могут быть
    > хорошими инженерами?

    конечно, как бы они на инженера-то выучились?

     
  • 3.59, Аноним (-), 00:18, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Я всё не могу понять, чего всем тут так не нравится в смузи?

    Пожиратели оного на гироскутерах.

     
     
  • 4.93, anonymous (??), 12:40, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так и говорите про водителей гироскутеров, а не про смузи. Мне вот нравятся некоторые смузи. И никогда не понимал эти претензии в мою сторону лишь за то, что я изредка пью смузи.
     
  • 3.71, Аноним (15), 08:31, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нам не нравится смузи потому что это дорого. А мы бедные программисты едим дошик и пельмени.
     
  • 3.116, Аноним (116), 14:59, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала смузи в шоколаднице, потом js... потом задний привод?
     
     
  • 4.144, Аноним (144), 22:36, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала смузи в шоколаднице, потом не совсем смузи и не в совсем шоколаднице.
     
  • 4.194, Led (ok), 14:47, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Сначала смузи в шоколаднице, потом js... потом задний привод?

    "Смузи в шоколаднице" - это и есть задний привод.

     
  • 3.137, СеменСеменыч777 (?), 20:46, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > чего всем тут так не нравится в смузи?

    смузи-уюзи. я посмотрел на ru.wikipedia.org/wiki/Смузи - это обычный КИСЕЛЬ !
    (ладно, необычный, с фантазией и креативом).
    и вот еще хорошая цитата: "Себестоимость производства смузи в США составляет 10—15 центов, а цена продажи 2,5—4,5 доллара". т.е. киселехлебы, упротребляющие кем-то сделанный напиток - еще и лохи.

     
     
  • 4.146, ыы (?), 22:54, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну какой же это кисель?
    В смузи разве есть агар-агар? Его разве варят?

    "
    Сму́зи (от англ. smoothie, происходящего из англ. smooth — «однородный, мягкий, приятный») — густой напиток в виде смешанных в блендере или миксере ягод, фруктов или овощей (обычно одного вида) с возможным добавлением молока, сока, льда, мороженого и т. д.
    "

    Это не кисель, это детский фруктовый йогурт.

     
     
  • 5.150, n00by (ok), 05:46, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Йогурт кисломолочный продукт же. А выше описано "пюре разбодяженное".
     
     
  • 6.170, anonymous (??), 11:28, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Если разбодяженное, то это не смузи. Смузи делается и цельных продуктов и подаётся сразу (свежим).
     
     
  • 7.173, n00by (ok), 12:34, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Если разбодяженное, то это не смузи. Смузи делается и цельных продуктов и
    > подаётся сразу (свежим).

    Вам следует это писать в ответ на то сообщение, на которое отвечал я:

    "с возможным добавлением молока, сока, льда"

    Лёд это вода.

     
  • 5.169, anonymous (??), 11:26, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Йогурт -- это продукт работы бактерий. А тут всё свежее.
     
     
  • 6.189, n00by (ok), 13:45, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А кефир, яйцо и банан - это смузи?
     
  • 4.167, anonymous (??), 11:25, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Я пил много киселя и некоторое количество смузи -- вообще разные вещи.
     
     
  • 5.195, Led (ok), 14:49, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Я пил много киселя

    И в шоколадницу заливал? не слиплось?

     
  • 2.65, Аноним (65), 04:14, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Облажалась либа Go, а задуматься про js? И где логика?
     
     
  • 3.80, Онаним (?), 10:28, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В конечном итоге при любых дырах в говнорепозитариях "облажаются" бездумно тянущие лефтпады.
    Поэтому тут не особо важно, го, жс, или что там ещё прочее хипстерское.
     
     
  • 4.86, пох. (?), 10:53, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    тут даже не дыра - технологическое отверстие. Его затыкать никто и не собирался.

     
  • 3.85, пох. (?), 10:52, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    действительно, ведь npm совершенно не виноват в том, что не проверяет, что в его репо пихают - то ли зип-бомбу, то ли вот архивчик с ../../.. - да и зачем, со смузи зайдет.

     
     
  • 4.97, anonymous (??), 13:08, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Вот та ситуация, где по сути правильно написано, а по форме зачем-то претензии к смузи. И не понятно ставить плюс или минус :)
     
     
  • 5.101, n00by (ok), 13:31, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    "Смузи" тут пишут в тех случаях, когда я пишу "Rosa Tresh", а тащ. майор говорит [вырезано цензурой]. Не обязательно всё принимать на свой счёт.
     
  • 4.107, Онаним (?), 13:58, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Смузи вместо вазелина.
     

  • 1.38, InuYasha (??), 22:19, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Эксперименты с демонстрацией взлома cdnjs для получения премии

    Как я и писал три новости назад, это тот случай когда великая возможность нагнуть корпорацию зла просрана ради возможной денежной подачки и тешения ЧСВ среди нерд..технических специалистов?

     
     
  • 2.44, Аноним (44), 22:46, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В тюрьме таких мамкиных революционеров очень любят. Поэтому кто поумнее, тот сразу выбирает деньги. Но ты всегда можешь выбрать приз, в анализ безопасности только научись сначала. И очко разработай.
     
  • 2.51, пох. (?), 23:42, 17/07/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    А че копрорация? Отряхнет брызги под хвостом и дальше пошлепает. Кумара какого может депремирует.

    А у тебя да, могут выйти _проблемы_. Так что если чего такое нашел - бери деньгами, не раздумывай!

     

  • 1.48, Аноньимъ (ok), 23:28, 17/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Эта клаудфара помойный вымогатель.

    Их защита задолбала вечно "проверять " браузер.

    Кроме того последнее время эта нечистая гадость стала блокировать меня на некоторых зарубежных сайтах, мол - "вы заблокированы, код инцидента такой-то с претензиями можете идти в ****"

     
     
  • 2.56, Аноним (60), 00:13, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Их защита задолбала вечно "проверять " браузер.

    Суть "проверки" - заставить тебя включить скрипты.

     
     
  • 3.82, пох. (?), 10:41, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    с недостаточно модным браузером это уже не помогает. Нужны модные скрипты.

     
     
  • 4.96, InuYasha (??), 12:59, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Даже достаточно модный User Agent уже недостаточен :(

    Если раньше давали решить капчу на слух, то теперь - только палить велосипедистов и номера домов.

     
     
  • 5.103, пох. (?), 13:41, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Если раньше давали решить капчу на слух, то теперь - только палить
    > велосипедистов и номера домов.

    это мы немножко о другом - никакая капча не вылазит, просто вместо сайта - "клаудшмара обнюхивает твой браузер". Вечно. При этом еще и пожирая 100% cpu.

    Полагаю, ей нужен последний хромоног, ни на чем больше чудо-скрипты не тестируют вообще.

     
     
  • 6.176, InuYasha (??), 12:52, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > При этом еще и пожирая 100% cpu.
    > и пожирая 100% cpu.
    > пожирая 100% cpu.

    (0_0)
    *шок*
    Да они ж ещё и майнят!

     
     
  • 7.187, пох. (?), 13:39, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    да вот самое глупое как раз в том, что даже и не майнят. Просто такие вот т-пые. Именно в том случае, когда полезли что-то там обнюхивать именно потому что браузер не совсем типичный - конечно же ж надо использовать последние вебмакачьи выcepы, и ни разу не проверять их с немодными браузерами.

     

  • 1.53, Аноним (-), 00:11, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Cloudflare жулики, не дают нормально просматривать сайты!
     
     
  • 2.61, Аноним (-), 00:21, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Они еще SSL бампают, если ты не заметил. Сама возможность воткнуть тебе эту проверку обеспечена тем что очень умный админ вгрузил ключи клаудспайвари. Та на своей стороне снимает SLL, видит траф, может претендовать что они ваш сервер и есть, а заодно, вот может плашку врезать. Или что угодно еще. Итого - MITM чистой воды. И тому кто юзает клаудспайварь с https следует плевать в лицо за на...лово.
     
     
  • 3.64, Sw00p aka Jerom (?), 01:38, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Итого - MITM чистой воды. И тому кто юзает клаудспайварь с https следует плевать в лицо за на...лово.

    ну да терминируют, нет резона им прозрачно проксировать ваш трафик, и могут ссылаться на то, что - "а как мы вас будем защищать WAF-ом".


     
  • 2.145, th3m3 (ok), 22:48, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Cloudflare жулики, не дают нормально просматривать сайты!

    Это зависит от настроек владельца сайта. Там можно выставить минимальный уровень этой фигни, тогда никакой капчи и проверок.

     

  • 1.70, КО (?), 06:34, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Когда уже гугл ломанут, чтоб его счетчики отовсюду поубирали.
     
     
  • 2.89, Аноним (89), 11:25, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ага, например с опеннета)
     
  • 2.100, Аноним (100), 13:21, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Этот день станет национальным праздником.
     
  • 2.143, Аноним (144), 22:31, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Странно почему не сломали до сих пор, там ведь все на гавне пишется полоумными неопределённого гендера попивающие смузи, да?)
     
     
  • 3.155, ыы (?), 08:08, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    а cdnjs кто писал?
     
  • 3.164, Аноним (163), 10:45, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А тебе не приходила в голову такая мысль что качество когда не зависит ни от гендера, ни от смузи и ни от того кого ты считаешь полоумным?
     
     
  • 4.168, ыы (?), 11:26, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зависит. Сейчас все лучшее делается гендером, смузи, и теми кого аноним с опеннета считает полоумными. Просто это другой мир... Мир свободы, состоятельности, инноваций и движения вперед.
    А его туда не берут...
     

  • 1.91, Павел Отредиез (ok), 12:37, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Делов то проверить путь на ../. А уж слов то развели...
     
     
  • 2.122, Аноним (60), 16:36, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Делов то проверить путь

    Для поколения растаманов это немыслимая трудность. "Как, надо что-то проверять?! А что, система за меня это не сделает?".

     

  • 1.125, Аноним (125), 17:48, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    AdGuard DNS продукт российских спецслужб?
     
     
  • 2.127, Анонъимь (?), 18:21, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Похоже на то.
    Компания зарегистрирована на Кипре, но главный офис находится в Москве.
     
     
  • 3.131, Аноним (125), 18:51, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У меня возникали подозрения в процессе использования. Сейчас гугловский дох поставил, пока ищу альтернативу.
     
     
  • 4.152, ыы (?), 07:15, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Что же выдавало в Штирлице русского разведчика Волочившийся за спиной парашют... большой текст свёрнут, показать
     
     
  • 5.161, Аноним (9), 09:21, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Комментарии ботов на различных ресурсах.
    Ну и развитие кампании. Слишком быстро у них всё получилось. Откуда деньги? На платных услугах, которые они предоставляют, много не заработаешь.
     
     
  • 6.162, ыы (?), 09:27, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а сколько у них денег? вы как их деньги посчитали?
     
     
  • 7.174, Анончик (?), 12:35, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    посмотрели отчеты налоговой
     
  • 7.177, Аноним (125), 12:56, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Простая логика. Организация, создавшая простой блокировщик рекламы имеет 55 сотрудников и продолжает набирать новых. Выручка 150 000 000 рублей, а прибыль 0.
    https://www.rbc.ru/companies/id/1127746508262-ooo-performiks/
    https://sbis.ru/contragents/7728812120/772501001
     
     
  • 8.179, Аноним (125), 13:01, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И судя по всему ещё большое количество связанных с ними организаций Одна из них... текст свёрнут, показать
     
     
  • 9.183, ыы (?), 13:20, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Безусловно это интересно Главное в этом расследовании не переступить черту ... текст свёрнут, показать
     
  • 9.184, ыы (?), 13:27, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Основной заказчик ИТАР-ТАСС, ТАСС Вот где непаханное поле выявления скрыты... текст свёрнут, показать
     
     
  • 10.186, Аноним (9), 13:35, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Да-да 128516 я о том же... текст свёрнут, показать
     
  • 8.182, ыы (?), 13:19, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    я не вижу в этих цифрах чегото криминального Небольшая мебельная фирма имеет та... текст свёрнут, показать
     
     
  • 9.185, Аноним (9), 13:34, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Основной заказчик итар-тасс Вот и прикрытие для финансирования ... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (13)

  • 1.130, Анонъимь (?), 18:33, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    CDNы в общем и Cloudflare в частности в некоторой степени препятствуют быстрому разворачиванию Чебурнета.
    Товарищу майору такое положение вещей очень не нравится.
     
     
  • 2.133, Ананимас123 (?), 19:15, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Лет пять мамкины хакиры ноют про чебурнет, а его все нет, бида...
     
     
  • 3.134, аннонн (?), 19:36, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Кастрюлю с водой, в которой сидит лягушка, нужно нагревать медленно.
     
     
  • 4.136, Аноним (60), 20:42, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Cloudflare так и делает.
     
     
  • 5.138, аннонн (?), 20:53, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Товарищ майор так делает, поэтому Чебурнет вводится в эксплуатацию весьма неторопливо. Так всё и задумано.


     
     
  • 6.139, Аноним (9), 21:30, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Армия ботов комперсирует жтот недостаток. А так они пытаются препятствовать внедрению doh и quic.
    >"По экспертным оценкам, возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной записке к законопроекту, размещенному на портале проектов нормативных правовых актов."
     
     
  • 7.142, аннонн (?), 22:22, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Армия ботов комперсирует жтот недостаток.

    У меня иногда создаётся впечатление, что на одного бота приходится девять полезных ему иди0т0в.

    > А так они пытаются препятствовать внедрению doh и quic.
    > "... распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной записке к законопроекту,...

    Да, видел это.
    И читал где-то здесь, на опеннете,  в комментариях, что DoH + eSNI как минимум один из провайдеров уже перекрывает.

     
  • 3.151, lockywolf (ok), 05:51, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Логина по номеру телефона в "безопасный телеграмм", Фейсбук, ВК и Юмани нет?

    Отправки смс для выхода из дома по время локдауна не было?

     
  • 2.148, Аноньимъ (ok), 23:24, 18/07/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще не мешает.

    Увы, было бы круто если бы мешало, но не мешает.

    Не в этом дело. Захотят - будет чебурнет. Как там было - "то что вы еще на свободе это не ваша заслуга, а наша недоработка".

     
     
  • 3.153, аннонн (?), 07:18, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мешает уже тем, что блокировка по IP, который реально принадлежит CDNу, помимо целевого сайта вызывает блокировку ещё десятков сайтов, блокировать которые задачи не стояло.
    Владельцы этих сайтов, которые вообще ни при чём, иногда начинают жаловаться и поднимать шум, что контролирующим органам не нравится, по разным причинам.

    eSNI решает вопрос с именем хоста, которое передаётся уже зашифрованным при установлении TLS соединения. Но TLS соединения с шифрованным SNI уже начинают отфильтровывать...
    Но за eSNI придёт ECH, с которым они тоже будут бороться.
    Задача - создать им такой головняк с блокировками, что они устанут с этим всем бороться.

    Хотя правильное решение проблемы лежит вовсе не в технической плоскости.

     
     
  • 4.154, ыы (?), 08:02, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То есть вы за белорусский вариант :)
     
  • 4.157, Аноним (79), 08:44, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это потому что айпи в6 до сих пор не стал стандартом, заменив айпи в4 в интернетах. А там хоть убанься, адресов лет на 100 хватит. Скоро варварские методв все равно перестанут работать. Сделают айпи в16 и будет им адресов еще много миллиардов на забанить.
     
     
  • 5.178, Анончик (?), 12:59, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Расскажу страшную штуку, бан листы ipv6 занимают не намного больше места чем ipv4.
    а твои миллионы адресов баняться добавлением одного префикса.
     
  • 5.196, аннонн (?), 15:43, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Это потому что айпи в6 до сих пор не стал стандартом, ...

    Банить по ipv6 ещё проще. Если "на пальцах", то примерно так:

    "По cron-у" резолвить имя хоста и добавлять полученный IPv6-адрес в список фильтруемых, если такого адреса ещё нет в списке.
    По другому крону производить агрегирование фильтруемых IP-адресов в сети. Затем скармливать полученный список файерволлам.
    Это всё.

     
  • 4.200, Аноньимъ (ok), 18:34, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Обяжут держать все CDN и прочие прокси на территории РФ.
    Всё, "проблема" решена.
    А пускать во внешний мир будут по пропускам, если захотят.

    А могут и обрубить внешний мир совсем, то-же не что-то из ряда вон.

    Так что не зазнавайтесь.

    То что вы читаете в прессе, все эти блокировки, это имеет целью кошмарить население, а не серьезно создавать чебурнет.

     

  • 1.140, Аноним (140), 21:38, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Опасность проблемы усугубляется тем, что для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов в интернете и компрометация инфраструктуры позволяет подменить библиотеки, отдаваемые любым из этих сайтов.

    Нет, не позволяет. Нормальные сайты используют subresource integrity. Говносайты ... не ходите на них.

     
  • 1.141, Аноним (140), 21:41, 18/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.
    >Эксперименты с демонстрацией взлома cdnjs для получения премии на HackerOne

    Зачем же whitehatа называть злоумышленником?

     
  • 1.181, Аноним (181), 13:16, 19/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов

    А зачем?

     
     
  • 2.198, Аноним (181), 17:47, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    То есть зачем так делают 12,7% всех сайтов, когда все остальные обходятся без этого, - никто не здесь знает.
    Ну что ж, молодцы.
     
     
  • 3.199, Аноним (181), 17:49, 19/07/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Д.б. "никто здесь не знает", конечно.
     

  • 1.188, lockywolf (ok), 13:44, 19/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Много успели намайнить?
     
  • 1.197, Аноним (197), 16:31, 19/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мечта запустить на их серверах
    rm -rf /*, может сбыться=)
     
  • 1.202, Аноним (202), 16:08, 20/07/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всё чир нужно знать о javascript
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру