forum.opennet.ru - "Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации" (23)

"Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации"	+/–
Сообщение от opennews (??), 21-Май-24, 09:07
В корректирующих обновлениях платформы GitHub Enterprise Server 3.12.4, 3.11.10, 3.10.12 и 3.9.15, предназначенной для развёртывания на собственном оборудовании обособленного окружения для совместной разработки на основе технологий GitHub, выявлена уязвимость (CVE-2024-4985), позволяющая получить доступ с правами администратора без прохождения аутентификации. Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, в которых включено шифрование сообщений от провайдеров идентификации ("encrypted assertions"). По умолчанию данный режим отключён, но преподносится как дополнительная возможность для усиления безопасности, активируемая в настройках "Settings/Authentication/Require encrypted assertions"... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61220
Ответить \| Правка \| Cообщить модератору

Оглавление

Это просто прекрасно , Аноним (2), 09:12 , 21-Май-24, (2) +9

эпик фейл, Аноним (5), 09:43 , 21-Май-24, (5) +1
Напомню, кличка первой собачки или фамилия по матери, тоже до сих пор для безопа, дАнон (?), 16:43 , 21-Май-24, (18) –1

Надо по заповедям бородатого жиртреста делать Шли семидесятые годы, и Ричард Сто, Аноним (25), 21:04 , 22-Май-24, (25) +2

Clouds - это надежно, scale on demand SSO - это централизованный надежный спо, penetrator (?), 16:53 , 21-Май-24, (19) +2

Все это в умелых руках решает массу проблем, в основном организационных, но и те, Аноним (20), 00:40 , 22-Май-24, (20)

массой там даже и не пахнет, при том одно лечим, другое калечим, так еще и плати, penetrator (?), 16:23 , 22-Май-24, (21)
да что ж такое, не прошло и полдня, и опять чьи-то неумелые рукиFluent Bit нас, penetrator (?), 16:26 , 22-Май-24, (22)

Кто хотел свой маааленький обособленный житик А не идти на поклон к мелкомягки, 1 (??), 09:15 , 21-Май-24, (3)

Ни разу не видел, чтобы в работе использовали житхаб es А уж для себя так вообщ, Аноним (4), 09:22 , 21-Май-24, (4) –1

Спасибо, понятно где аноним доселе работал точнее где никогда не работал , Электрон (?), 19:46 , 22-Май-24, (24) +1
Заметно, по тому как вы его называние, устоящийся акторим - GHE А ES что то с И, Аноним (26), 12:13 , 26-Май-24, (26)

Скрыто модератором, Пряник (?), 10:00 , 21-Май-24, (6) +1

Скрыто модератором, Аноним (8), 10:01 , 21-Май-24, (8)

Скрыто модератором, User (??), 10:42 , 21-Май-24, (11) +2

Скрыто модератором, Нейм (?), 11:06 , 21-Май-24, (12)

Скрыто модератором, User (??), 12:09 , 21-Май-24, (16) –1

Скрыто модератором, Аноним (20), 11:41 , 21-Май-24, (14) +1

Скрыто модератором, User (??), 12:26 , 21-Май-24, (17)

А, что Атакующему тоже централизация удобно оказалась Надо же Ну так напис, Аноним (8), 10:00 , 21-Май-24, (7) +1
Энтерпрайзненько, К.О. (?), 10:37 , 21-Май-24, (10) +1
Однозначно бэкдор В принципе, любой софт от корпораций, использующийся в чувств, Аноним (20), 11:54 , 21-Май-24, (15) +2

Неа Просто вебня, она такая вебня, что надёжно не сделает никогда Ну вот так д, Аноним (23), 17:50 , 22-Май-24, (23) +1

Сообщения [Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 21-Май-24, 09:12 +9 +/–

> По умолчанию данный режим отключён,
> но преподносится как дополнительная возможность для усиления безопасности
Это просто прекрасно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #18, #19

3. Сообщение от 1 (??), 21-Май-24, 09:15 +/–

Кто хотел свой маааленький обособленный житик ? А не идти на поклон к мелкомягким ?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 21-Май-24, 09:22 –1 +/–

Ни разу не видел, чтобы в работе использовали житхаб es. А уж для себя так вообще бред.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #24, #26

5. Сообщение от Аноним (5), 21-Май-24, 09:43 +1 +/–

эпик фейл

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

6. Сообщение от Пряник (?), 21-Май-24, 10:00 Скрыто ботом-модератором +1 +/–

Долой авторизации и аутентификации! Даёшь свободу и равенство!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (8), 21-Май-24, 10:00 +1 +/–

> Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML,
А, что? Атакующему тоже централизация удобно оказалась?! Надо же! :)
> в которых включено шифрование сообщений от провайдеров идентификации ("encrypted
> assertions"). По умолчанию данный режим отключён, но преподносится как
> дополнительная возможность для усиления безопасности,
Ну так написано же - это не баг, это фича. Видите, все зашифровано, централизовано, безопасТнее просто некуда. Расслабьтесь и получайте удовольствие.

Ответить | Правка | Наверх | Cообщить модератору

8. Сообщение от Аноним (8), 21-Май-24, 10:01 +/–

> Долой авторизации и аутентификации! Даёшь свободу и равенство!
А что мешает гит инстальнуть? Там ничего этого нет - внезапно :). И вот можно системой контроля версий пользоваться бесплатно, без смс и даже одобрение шефа на комит можно не спрашивать. Я проверял!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #11

10. Сообщение от К.О. (?), 21-Май-24, 10:37 +1 +/–

Энтерпрайзненько

Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от User (??), 21-Май-24, 10:42 +2 +/–

Ну да - только сама СКВ нужна вот примерно "никому" - нужна система организации совместной работы с CI\CD, ишью, пр\ревью, репозиторий артефактов, аутентификация-авторизация, интеграцией с системой управления проектами и вот это все.
А вот собственно git - не то, чтобы совсем не нужен - но использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12, #14

12. Сообщение от Нейм (?), 21-Май-24, 11:06 +/–

>за последние 10 лет
Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку исправить, всё встанет на свои места

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #16

14. Сообщение от Аноним (20), 21-Май-24, 11:41 +1 +/–

Весь этот обвес в действительности не необходим. Он нужен манагерам. Программерам нужен из всей этой дряни только гит. Выкатка по коммиту в ветку со сборкой на тег latest - это ультрахрень, карго традиции веб мартышек. Сама выкатка должна быть автоматизирована, безусловно, но к коммитам это привязывать никакой необходимости.
Ну и конечно нет никакой проблемы хук подвесить на bare репозиторий, который будет на коммит в ветку делать clone/docker build push run. Скрипт из 10 строчек. Логика ваших энтерпрайзных комбайнов укладывается в это вполне.
Добавление комментика в джиру при коммите еще одним скриптом в 10 строк.
>использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел"
"Тут так принято"

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #17

15. Сообщение от Аноним (20), 21-Май-24, 11:54 +2 +/–

Однозначно бэкдор.
В принципе, любой софт от корпораций, использующийся в чувствительных вещах, где сосредотачиваются данные и управление ими, протроянен с вероятностью 1.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

16. Сообщение от User (??), 21-Май-24, 12:09 –1 +/–

>>за последние 10 лет
> Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку
> исправить, всё встанет на свои места
Ну, ты конечно же приведешь пример организаций, использующих в своей работе голый git, ведь да? Да?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от User (??), 21-Май-24, 12:26 +/–

Ну, что я могу сказать? Единственный широкоизвестный мне пример использования git'а в голом (Ммммм... относительно) виде - разработка linux kernel'а, но это прям настолько хтонический ужас, что тиражировать данный "бест практис" дураков тьфу-тьфу-тьфу не нашлось. Самое смешное, что те, что есть - в общем-то ни ci\cd ни регрессионное тестирование того-этого - ниасилили-с.
А так да-да, конечно - нет никаких причин не использовать для разработки голый git, но по какой-то неведомой (Масоны или рептилоиды?) причине - его не используют. Чудеса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

18. Сообщение от дАнон (?), 21-Май-24, 16:43 –1 +/–

Напомню, кличка первой собачки или фамилия по матери, тоже до сих пор для безопаски юзера используется...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

19. Сообщение от penetrator (?), 21-Май-24, 16:53 +2 +/–

Clouds - это надежно, scale on demand )))
SSO - это централизованный надежный способ аутенфикации )))
Docker - безопасность, изоляция и отличное управление ресурсами )))
Не не, никакого оверхеда и усложнения технического решения, все просто тяп-ляп и в продакшен )))

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #20

20. Сообщение от Аноним (20), 22-Май-24, 00:40 +/–

Все это в умелых руках решает массу проблем, в основном организационных, но и технических тоже. В руках неумелых никаких не решает и добавляет оверхед на всех уровнях.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #21, #22

21. Сообщение от penetrator (?), 22-Май-24, 16:23 +/–

массой там даже и не пахнет, при том одно лечим, другое калечим, так еще и платим по барски за этот банкет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

22. Сообщение от penetrator (?), 22-Май-24, 16:26 +/–

> Все это в умелых руках решает массу проблем, в основном организационных, но
> и технических тоже. В руках неумелых никаких не решает и добавляет
> оверхед на всех уровнях.
да что ж такое, не прошло и полдня, и опять чьи-то "неумелые" руки
Fluent Bit насчитывает более 10 миллиардов внедрений и применяется для обработки и сбора логов и метрик во многих компаниях и облачных платформах, например, среди пользователей отмечаются Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В течение марта было загружено 13 млн Docker-образов с Fluent Bit. По данным компании Tenable, выявившей уязвимости, многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime, и для обработки обращений к подобным API используется Fluent Bit.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (23), 22-Май-24, 17:50 +1 +/–

Неа. Просто вебня, она такая вебня, что надёжно не сделает никогда. Ну вот так дано в природе.
Причина в ценах и востребованности. В ущерб безопасности лабают продукты, т.к. тогда хомка приносит сам деньги, иногда даже неосознанно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

24. Сообщение от Электрон (?), 22-Май-24, 19:46 +1 +/–

Спасибо, понятно где аноним доселе работал (точнее где никогда не работал).

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

25. Сообщение от Аноним (25), 22-Май-24, 21:04 +2 +/–

Надо по заповедям бородатого жиртреста делать:
Шли семидесятые годы, и Ричард Столлман начал замечать изменения в своем любимом заповеднике. Первое нашествие произошло, когда Официально Санкционированным Пользователям стали назначаться пароли, а все неавторизованные пользователи не допускались к системе. Как истинный хакер, РМС презирал пароли, и он гордился тем фактом, что компьютеры, которые он обслуживал, не имели никаких паролей. Но департамент компьютерной науки в МТИ (которым управляли другие люди, не имевшие отношения к лаборатории ИИ) решил установить на его машине систему безопасности.
Столлман поднял целую кампанию, чтобы отменить эту практику. Он призывал людей использовать пароль в виде пустой строки — «возврат каретки» вместо целого слова. Так что когда машина спрашивала у вас пароль, вам было достаточно нажать RETURN, и вы могли войти в систему. Столлман также сумел взломать код системы шифрации и сумел расшифровать файл, в котором лежали пароли. Он начал рассылать пользователям сообщения, которые появлялись на экране, после того как они регистрировались в системе:

Я вижу, что вы выбрали пароль [такой-то]. Я предполагаю, что вы можете переключиться на пароль «возврат каретки». Его гораздо легче набирать, и это соответствует принципу, по которому здесь не должно быть паролей.

«В конце концов, я сумел добиться, чтобы пятая часть пользователей на машине имела пустой пароль», — хвастался потом РМС.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (26), 26-Май-24, 12:13 +/–

> Ни разу не видел, чтобы в работе использовали житхаб es.
Заметно, по тому как вы его называние, устоящийся акторим - GHE. А ES что то с Испанией было бы связано.
Администрирую несколько GHE и GitLab и GitLab инстансов. С GHE всегда сложности, т.к. он установлен официальным способом через образы для VM. А GitLab в Docker развернут, гораздо проще обновлять, бекапить и т.д.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

2. Сообщение от Аноним (2), 21-Май-24, 09:12	+9 +/–
> По умолчанию данный режим отключён, > но преподносится как дополнительная возможность для усиления безопасности Это просто прекрасно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #5, #18, #19

3. Сообщение от 1 (??), 21-Май-24, 09:15	+/–
Кто хотел свой маааленький обособленный житик ? А не идти на поклон к мелкомягким ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 21-Май-24, 09:22	–1 +/–
Ни разу не видел, чтобы в работе использовали житхаб es. А уж для себя так вообще бред.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #24, #26

5. Сообщение от Аноним (5), 21-Май-24, 09:43	+1 +/–
эпик фейл
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

6. Сообщение от Пряник (?), 21-Май-24, 10:00 Скрыто ботом-модератором	+1 +/–
Долой авторизации и аутентификации! Даёшь свободу и равенство!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8

7. Сообщение от Аноним (8), 21-Май-24, 10:00	+1 +/–
> Проблема проявляется только в конфигурациях с единой точкой входа на основе технологии SAML, А, что? Атакующему тоже централизация удобно оказалась?! Надо же! :) > в которых включено шифрование сообщений от провайдеров идентификации ("encrypted > assertions"). По умолчанию данный режим отключён, но преподносится как > дополнительная возможность для усиления безопасности, Ну так написано же - это не баг, это фича. Видите, все зашифровано, централизовано, безопасТнее просто некуда. Расслабьтесь и получайте удовольствие.
Ответить \| Правка \| Наверх \| Cообщить модератору

8. Сообщение от Аноним (8), 21-Май-24, 10:01	+/–
> Долой авторизации и аутентификации! Даёшь свободу и равенство! А что мешает гит инстальнуть? Там ничего этого нет - внезапно :). И вот можно системой контроля версий пользоваться бесплатно, без смс и даже одобрение шефа на комит можно не спрашивать. Я проверял!
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #11

10. Сообщение от К.О. (?), 21-Май-24, 10:37	+1 +/–
Энтерпрайзненько
Ответить \| Правка \| Наверх \| Cообщить модератору

11. Сообщение от User (??), 21-Май-24, 10:42	+2 +/–
Ну да - только сама СКВ нужна вот примерно "никому" - нужна система организации совместной работы с CI\CD, ишью, пр\ревью, репозиторий артефактов, аутентификация-авторизация, интеграцией с системой управления проектами и вот это все. А вот собственно git - не то, чтобы совсем не нужен - но использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #12, #14

12. Сообщение от Нейм (?), 21-Май-24, 11:06	+/–
>за последние 10 лет Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку исправить, всё встанет на свои места
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #16

14. Сообщение от Аноним (20), 21-Май-24, 11:41	+1 +/–
Весь этот обвес в действительности не необходим. Он нужен манагерам. Программерам нужен из всей этой дряни только гит. Выкатка по коммиту в ветку со сборкой на тег latest - это ультрахрень, карго традиции веб мартышек. Сама выкатка должна быть автоматизирована, безусловно, но к коммитам это привязывать никакой необходимости. Ну и конечно нет никакой проблемы хук подвесить на bare репозиторий, который будет на коммит в ветку делать clone/docker build push run. Скрипт из 10 строчек. Логика ваших энтерпрайзных комбайнов укладывается в это вполне. Добавление комментика в джиру при коммите еще одним скриптом в 10 строк. >использующих git в коммерческой разработке без соответствующей обвязки я не то, чтобы "за последние 10 лет" - а вот просто "не видел" "Тут так принято"
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #17

15. Сообщение от Аноним (20), 21-Май-24, 11:54	+2 +/–
Однозначно бэкдор. В принципе, любой софт от корпораций, использующийся в чувствительных вещах, где сосредотачиваются данные и управление ими, протроянен с вероятностью 1.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

16. Сообщение от User (??), 21-Май-24, 12:09	–1 +/–
>>за последние 10 лет > Ты забыл вычесть из этого срока старшие классы, чувак. Если твою ошибку > исправить, всё встанет на свои места Ну, ты конечно же приведешь пример организаций, использующих в своей работе голый git, ведь да? Да?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

17. Сообщение от User (??), 21-Май-24, 12:26	+/–
Ну, что я могу сказать? Единственный широкоизвестный мне пример использования git'а в голом (Ммммм... относительно) виде - разработка linux kernel'а, но это прям настолько хтонический ужас, что тиражировать данный "бест практис" дураков тьфу-тьфу-тьфу не нашлось. Самое смешное, что те, что есть - в общем-то ни ci\cd ни регрессионное тестирование того-этого - ниасилили-с. А так да-да, конечно - нет никаких причин не использовать для разработки голый git, но по какой-то неведомой (Масоны или рептилоиды?) причине - его не используют. Чудеса.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

18. Сообщение от дАнон (?), 21-Май-24, 16:43	–1 +/–
Напомню, кличка первой собачки или фамилия по матери, тоже до сих пор для безопаски юзера используется...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #25

19. Сообщение от penetrator (?), 21-Май-24, 16:53	+2 +/–
Clouds - это надежно, scale on demand ))) SSO - это централизованный надежный способ аутенфикации ))) Docker - безопасность, изоляция и отличное управление ресурсами ))) Не не, никакого оверхеда и усложнения технического решения, все просто тяп-ляп и в продакшен )))
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #20

20. Сообщение от Аноним (20), 22-Май-24, 00:40	+/–
Все это в умелых руках решает массу проблем, в основном организационных, но и технических тоже. В руках неумелых никаких не решает и добавляет оверхед на всех уровнях.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #21, #22

21. Сообщение от penetrator (?), 22-Май-24, 16:23	+/–
массой там даже и не пахнет, при том одно лечим, другое калечим, так еще и платим по барски за этот банкет
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

22. Сообщение от penetrator (?), 22-Май-24, 16:26	+/–
> Все это в умелых руках решает массу проблем, в основном организационных, но > и технических тоже. В руках неумелых никаких не решает и добавляет > оверхед на всех уровнях. да что ж такое, не прошло и полдня, и опять чьи-то "неумелые" руки Fluent Bit насчитывает более 10 миллиардов внедрений и применяется для обработки и сбора логов и метрик во многих компаниях и облачных платформах, например, среди пользователей отмечаются Google Cloud, AWS, DigitalOcean, vmWare, Cisco, Microsoft, Lyft, LinkedIn, Walmart, Couchbase, Swift и Dell. В течение марта было загружено 13 млн Docker-образов с Fluent Bit. По данным компании Tenable, выявившей уязвимости, многие облачные сервисы не блокируют доступ к Web API для получения внутренних метрик, таких как uptime, и для обработки обращений к подобным API используется Fluent Bit.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

23. Сообщение от Аноним (23), 22-Май-24, 17:50	+1 +/–
Неа. Просто вебня, она такая вебня, что надёжно не сделает никогда. Ну вот так дано в природе. Причина в ценах и востребованности. В ущерб безопасности лабают продукты, т.к. тогда хомка приносит сам деньги, иногда даже неосознанно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15

24. Сообщение от Электрон (?), 22-Май-24, 19:46	+1 +/–
Спасибо, понятно где аноним доселе работал (точнее где никогда не работал).
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

25. Сообщение от Аноним (25), 22-Май-24, 21:04	+2 +/–
Надо по заповедям бородатого жиртреста делать: Шли семидесятые годы, и Ричард Столлман начал замечать изменения в своем любимом заповеднике. Первое нашествие произошло, когда Официально Санкционированным Пользователям стали назначаться пароли, а все неавторизованные пользователи не допускались к системе. Как истинный хакер, РМС презирал пароли, и он гордился тем фактом, что компьютеры, которые он обслуживал, не имели никаких паролей. Но департамент компьютерной науки в МТИ (которым управляли другие люди, не имевшие отношения к лаборатории ИИ) решил установить на его машине систему безопасности. Столлман поднял целую кампанию, чтобы отменить эту практику. Он призывал людей использовать пароль в виде пустой строки — «возврат каретки» вместо целого слова. Так что когда машина спрашивала у вас пароль, вам было достаточно нажать RETURN, и вы могли войти в систему. Столлман также сумел взломать код системы шифрации и сумел расшифровать файл, в котором лежали пароли. Он начал рассылать пользователям сообщения, которые появлялись на экране, после того как они регистрировались в системе: Я вижу, что вы выбрали пароль [такой-то]. Я предполагаю, что вы можете переключиться на пароль «возврат каретки». Его гораздо легче набирать, и это соответствует принципу, по которому здесь не должно быть паролей. «В конце концов, я сумел добиться, чтобы пятая часть пользователей на машине имела пустой пароль», — хвастался потом РМС.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #18

26. Сообщение от Аноним (26), 26-Май-24, 12:13	+/–
> Ни разу не видел, чтобы в работе использовали житхаб es. Заметно, по тому как вы его называние, устоящийся акторим - GHE. А ES что то с Испанией было бы связано. Администрирую несколько GHE и GitLab и GitLab инстансов. С GHE всегда сложности, т.к. он установлен официальным способом через образы для VM. А GitLab в Docker развернут, гораздо проще обновлять, бекапить и т.д.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4