forum.opennet.ru

"Инцидент с безопасностью GitHub подчеркнул проблемы Ruby on ..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Ссылки "<<" и ">>" открывают первые и последние 10 сообщений.

. "В GitHub устранена уязвимость, допускающая внедрение кода в ..."	+2 +/–
Сообщение от zy (?), 06-Мрт-12, 12:42
>>но это уведомление было закрыто с комментарием, что ошибка находится в зоне ответственности конечных разработчиков приложений на Ruby on Rails. Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, то не нужно нести чепухи. В наличии уязвимости виноваты только разработчики гитхаба так как в документации по mass-assignment чёрным по белому написано что по умолчанию работает стратегия чёрного списка, другое дело что всякие быдлокодеры не читают эту документацию. Теперь разработчики рельсов сделают что бы по умолчанию была включена стратегия белого списка, и все эти разработчики из за своей тупости получат кучу гемороя в види прописывания attr_accessible для нужных моделей, но они заслужили этого гемороя. Я к тому что если разработчик читал документацию, и писал правильно, то у него уязвмости нет. Так что это нихрена не уязвимость, а лишь потенциально опасное поведение по-умолчанию, которое превращается в уязвимость в случае тупости и криворукости разработчика которому лень было почитать документацию.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Инцидент с безопасностью GitHub подчеркнул проблемы Ruby on ..., opennews, 05-Мрт-12, 18:54 [смотреть все]

Затейник Их же граблями да по голове , Loooooker, 05-Мрт-12, 19:13 (5) //
- Security circus, как говаривал один американский швед финского происхождения , Andrey Mitrofanov, 05-Мрт-12, 19:21 (6)
операться надо на многократно проверенное, а не на удобное , Аноним, 05-Мрт-12, 20:05 (8) //
- на Perl, Аноним, 05-Мрт-12, 20:19 (12) //
  - Причем тут это Разрабы поленились написать код Разница, какой язык Никакой , kuraga, 05-Мрт-12, 20:52 (16) //
    - Ну разве что если лень разработчиков рельсы, тогда да , Аноним, 06-Мрт-12, 07:20 (45)
      - Ну А кто сказал, что она должна быть ВКЛЮЧЕНА Программист проекта САМ должен з, kuraga, 06-Мрт-12, 18:31 (80)
        
        да вы че это одна строчка в модели, которая к тому-жу по умолчанию попадает, е, Аноним, 07-Мрт-12, 09:21 (111)
        
        ВКЛЮЧАЕМА - значит ее можно включить, ЕСЛИ она выключена что по умолчанию это т, kuraga, 07-Мрт-12, 21:20 (113)
дьявол кроется в удобстве , Аноним, 05-Мрт-12, 20:06 (9) //
- коммита в чужие проекты , Аноним, 05-Мрт-12, 22:05 (29)
да надо было сразу в ядро комитить вот шухер то был , evgeny_t, 05-Мрт-12, 21:18 (23) //
- Да не, перец все правильно сделал, вкомитив фикс прямо виновникам бага Эпик лул, Аноним, 05-Мрт-12, 22:04 (28) //
  - товарищь, не ленись - пользуйся головой бага нет простой косяк разработчиков г, Псто, 05-Мрт-12, 23:59 (32) //
    - Добро пожаловать в матрицу Бага нет, а левые коммиты - есть Trollaface jpgКак , Аноним, 06-Мрт-12, 07:08 (41)
      - Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, , zy, 06-Мрт-12, 12:42 (58)
        
        Слушайте, прыг по граблям - многофазный процесс Один кладет грабли, второй не с, Аноним, 06-Мрт-12, 16:20 (73)
        
        Бред Отключенный белый список - ровно такая же грабля, как и наоборот Целью фр, kuraga, 06-Мрт-12, 18:35 (81)
        
        Зато более безопасная грабля Лучше пусть уж у грабель ручка будет обернута поро, Аноним, 09-Мрт-12, 23:21 (117)
    - Да ладно, тролю напоминать про голову бесполезно Для тех кто не понял Это не ба, SLK, 06-Мрт-12, 12:55 (59)
      - Следить, конечно, обязаны, тут они, конечно, ошиблись Но есть более приличные с, gegMOPO4, 06-Мрт-12, 15:01 (71)
        
        а кто вламывался-то O_Oсказали же это фича фичу можно использовать если замо, arisu, 06-Мрт-12, 19:41 (87)
        
        Если владелец цифрового замка оставляет код 12345 хотя в инструкции к замку нас, gegMOPO4, 06-Мрт-12, 20:54 (92)
        
        если не написано, что незаконно 8212 то законно разве в ToS гитхаба написано, arisu, 06-Мрт-12, 21:13 (95)
        
        А у вас на дверях написано, что нельзя входить и делать что хочется , gegMOPO4, 06-Мрт-12, 21:18 (97)
        
        это в законе написано в таком документе, который называется 171 Конституция , arisu, 06-Мрт-12, 21:26 (100)
        Иногда - очень доходчиво написано Например как-то так http leprastuff ru d, Аноним, 10-Мрт-12, 00:03 (126)
      - Для начала, дефолты должны быть безопасными А не так что мы разбросаем на поле , Аноним, 06-Мрт-12, 16:21 (74)
        
        Согласен Думаю, что всем разраобчикам ORM библиотек не только ActiveRecord и н, SLK, 06-Мрт-12, 18:25 (79)
        Спорно Ибо абсолютной безопасности пока нет Поэтому и безопасные по дефолту , kuraga, 06-Мрт-12, 18:39 (82)
        
        однако мне кажется, что более верный подход 8212 делать потенциально опасные , arisu, 06-Мрт-12, 19:42 (88)
        
        Согласен Но я считаю неправильным, если программист АПРИОРИ ПОЛАГАЕТ, что это т, kuraga, 06-Мрт-12, 22:19 (102)
        
        натурально, не панацея но разумные умолчания ещё никому не мешали, думается , arisu, 06-Мрт-12, 22:45 (107)
        
        Более того - сишные компилеры нынче насколько я помню умеют детектить подозрител, Аноним, 09-Мрт-12, 23:14 (116)
Егор, успехов , ЫыВ, 05-Мрт-12, 21:30 (24)
А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отка, Аноним, 05-Мрт-12, 21:49 (26) //
- это не баг, анон, 06-Мрт-12, 00:41 (35) //
  - Угу Это не баг, это фича На дефолтное register_globals в PHP ругаться - так , Crazy Alex, 06-Мрт-12, 01:07 (37)
  - С точки зрения хакеров и спецслужб - безусловно, фича офигительного калибра , Аноним, 06-Мрт-12, 07:09 (42) //
    - Может они от того и не хотели закрывать, что им настоятельно рекомендовали , Alen, 06-Мрт-12, 09:40 (49)
  - Конечно не Баг, это просто очередная такая фитча которая появляется время от вре, фклфт, 06-Мрт-12, 09:03 (48) //
    - 1 RoR ну совсем никак не относится к кернелам 2 Вы о каком кернеле О том в ко, Аноним, 06-Мрт-12, 16:23 (75)
- Жидкий мозг у тех, кто не следит за своим кодом и документацией Сегодня это - г, kuraga, 06-Мрт-12, 18:43 (83) //
  - Честно говоря, у почти всех вебдевелов мозг довольно жидковат Как минимум по ча, Аноним, 09-Мрт-12, 23:25 (118)
Радостно видеть, что ещё не все мозги из России уехали за рубеж Респект мужик, Ya, 05-Мрт-12, 22:00 (27) //
- Ну ничего, вот получит рабочую визу от того же github 3, Аноним, 05-Мрт-12, 23:20 (30) //
  - На колыму , Аноним, 05-Мрт-12, 23:31 (31) //
    - ЩО уже и там github , hummermania, 06-Мрт-12, 09:47 (50)
Кстати, не из Питера он, не видел я его тут , Аноним, 06-Мрт-12, 00:05 (33)
Ну молодец В пятницу сообщил GitHub об уязвимости, а в воскресенье уже атаковал, gegMOPO4, 06-Мрт-12, 00:23 (34) //
- Такое надо фиксить моментально, вообще-то , Crazy Alex, 06-Мрт-12, 01:05 (36) //
  - Ну вот моментально и пофиксили Как только узнали С кем он там переписывался в , gegMOPO4, 06-Мрт-12, 11:19 (51) //
    - Вообще-то багрепорт закрыли с сообщением, что это их не касается, Alex, 06-Мрт-12, 13:24 (63)
      - http mobile opennet ru cgi-bin openforum vsluhboard cgi az post om 83432 forum, Ваня, 06-Мрт-12, 13:30 (64)
        
        Я вообще не понимаю, как хакер нашел уязвимость и ступанул с тем, кому писать , kuraga, 06-Мрт-12, 22:22 (103)
        
        Хотя вот тут пишут, что это он так пошутил над RoR , kuraga, 06-Мрт-12, 22:25 (104)
      - Кто закрыл и кого не касается И причём здесь ГитХаб , gegMOPO4, 06-Мрт-12, 14:57 (70)
        
        Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи hin, Crazy Alex, 06-Мрт-12, 21:26 (101)
- Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг Ну е, Аноним, 06-Мрт-12, 07:13 (43) //
  - в общем да, всё логично раз это не баг, то какая проблема в том, что человек ис, arisu, 06-Мрт-12, 07:18 (44) //
    - Вот именно, Капитан В этом и состоит комизм ситуации , Аноним, 06-Мрт-12, 07:31 (46)
      - ну, я на всякий случай расшифровал Кэп я или нет надо ж реноме поддерживать , arisu, 06-Мрт-12, 07:35 (47)
        
        Спасибо, Капитан , Аноним, 06-Мрт-12, 16:24 (76)
  - А при чём здесь RoR Взломал он GitHub Где ссылка на репорт в багтрекере ГитХаб, gegMOPO4, 06-Мрт-12, 11:24 (52) //
    - Поручик Ржевский приехал к Безухову, но не застал того дома Может в рояль наср, Ваня, 06-Мрт-12, 13:11 (62)
      - Ваня, надо быть скромнее , Аноним, 09-Мрт-12, 00:04 (114)
        
        И вытаскивать дерьмо из карманов, когда выходите в свет , Аноним, 09-Мрт-12, 00:08 (115)
    - а бага нет авторы RoR сказали, что это вообще не баг а раз не баг 8212 это , arisu, 06-Мрт-12, 19:05 (84)
      - Баг не в самом RoR, а в GitHub Если программист на PHP напишет код, допускающий, gegMOPO4, 06-Мрт-12, 21:10 (94)
        
        а гитхаб никто не трогал, например , arisu, 06-Мрт-12, 21:14 (96)
        
        Как это не трогал А новость о чём , gegMOPO4, 06-Мрт-12, 21:20 (98)
        
        о том, что немножко пошутили над авторами RoR где в новости информация о том, ч, arisu, 06-Мрт-12, 21:25 (99)
        
        Ну он на него все равно че-т послал Та же инъекция-биекция , kuraga, 06-Мрт-12, 22:31 (105)
        
        таких 171 инъекций 187 8212 каждый первый коммит - , arisu, 06-Мрт-12, 22:44 (106)
    - p s гитхаб он не ломал он воспользовался штатной фичей RoR, чтобы немножко улы, arisu, 06-Мрт-12, 19:07 (85)
Хочу заметить, что написано не просто Егором Хомяковым , а Егором Хомяковым из, chemtech, 06-Мрт-12, 06:21 (40)
Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внят, Аноним, 06-Мрт-12, 11:40 (53) //
- Использовал русский язык 8212 не поняли Использовал английский язык 8212 н, AlexYeCu, 06-Мрт-12, 11:55 (55) //
  - --2 наряда вне очереди --Нэпанимаю --3 наряда вне очереди --Нэпанимаю --5 на, Andrey Mitrofanov, 06-Мрт-12, 12:03 (56)
В Арче, оказывается, тоже есть страшный баг Установка по-умолчанию не включает , Аноним, 06-Мрт-12, 14:40 (69) //
- Зачем iptables на десктопной системе Или к чему это было написано , Аноним, 06-Мрт-12, 15:23 (72) //
  - Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть Такого от , Аноним, 06-Мрт-12, 16:27 (77) //
    - потому что без файрвола винда похожа не просто на решето, а на решето без сита , arisu, 06-Мрт-12, 19:50 (89)
      - Там файрвол такой, конечно умеет только на вход и правила примитивные как топ, Аноним, 09-Мрт-12, 23:46 (122)
    - Назови хоть один случай когда нужно оперировать правилами iptables на десктопной, Аноним, 06-Мрт-12, 19:52 (90)
      - А легко Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю несколь, Аноним, 09-Мрт-12, 23:33 (119)
    - в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжениев венде, Клыкастый, 06-Мрт-12, 23:05 (110)
      - Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно бру, Аноним, 09-Мрт-12, 23:35 (120)
        
        да на здоровье , arisu, 09-Мрт-12, 23:40 (121)
        
        Я что-то не уверен что его пропрет что ремотная активность уперла его проц в пот, Аноним, 09-Мрт-12, 23:49 (123)
        
        ноут с гигабитным каналом и белым ip однако , Клыкастый, 12-Мрт-12, 13:51 (127)
  - К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в офиц, Аноним, 06-Мрт-12, 17:03 (78)
  - Что самое забавное, минусуют те, кто iptables в глаза не видел Зато у них в гол, Аноним, 06-Мрт-12, 20:00 (91)
да, кстати ведь у github насильный https 8212 откуда уязвимость ведь всем и, arisu, 06-Мрт-12, 19:08 (86) //
- Не так Но http при наличии https обязан быть отрублен , Аноним, 06-Мрт-12, 23:02 (108) //
  - как же это 171 не так 187 а зачем тогда насильно впаривать https, который и, arisu, 06-Мрт-12, 23:03 (109)
  - Кто это придумал И главное - что там такого ценного что предлагается шифровать , Аноним, 09-Мрт-12, 23:56 (124)
А у кого тут машина времени Релиз Ruby on Rails 3 2 вышел 20-го января , Maxim Filatov, 07-Мрт-12, 11:31 (112) //
- У того самого хацкера, он коммит на 1000 лет вперед сделал, чтоли , Аноним, 09-Мрт-12, 23:57 (125)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру