OpenForum RSS: Незащищённость NPM к атакам по внедрению вредоносных модулей... https://opennet.ru/openforum/vsluhforumID3/107295.html Инцидент (https://www.opennet.ru/opennews/art.shtml?num=44104) с нарушением работы многих известных проектов после удаления модуля из NPM-репозитория, привёл к обсуждению незащищённости NPM от атак, инициированных со стороны разработчиков модулей. В том числе раскрыты (http://blog.npmjs.org/post/141702881055/package-install-scripts-vulnerability) данные об незащищённости (https://www.kb.cert.org/vuls/id/319816) инфраструктуры NPM к атаке по <br>внедрению (https://medium.com/@nm_johnson/npm-package-hijacking-from-the-hijackers-perspective-af0c48ab9922#.e1binmt3t) в репозиторий самораспространяющихся вредоносных модулей.<br><br><br><br>Совершению атаки способствуют несколько факторов:<br><br><br>- Использование семантического версионирования (https://docs.npmjs.com/getting-started/semantic-versioning) (SemVer), по умолчанию не привязывающего приложение к конкретным версиям модулей, что позволяет инициировать установку обновления модуля через выпуск его новой версии;<br>- Применение постоянного кэширования параметров аутентификац Незащищённость NPM к атакам по внедрению вредоносных модулей... (Клыкастый) https://opennet.ru/openforum/vsluhforumID3/107295.html#50 Thu, 31 Mar 2016 11:54:58 GMT это одна из причин по которой жабасофт считается (и является) убогим говном.<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (Аноним) https://opennet.ru/openforum/vsluhforumID3/107295.html#49 Wed, 30 Mar 2016 06:41:30 GMT &gt; ... на питоне...<br><br>Который не тормозит еще больше чем js.<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (Очередной аноним) https://opennet.ru/openforum/vsluhforumID3/107295.html#48 Tue, 29 Mar 2016 05:48:55 GMT Не знаю как в "голой" яве (раньше часто в саму jar-ку приложения сразу библиотеки нужных версий всовывали), а вот в Weblogic'е (наверное и в других серверах приложений тоже) есть старое банальное понятие "разделяемой библиотеки" (shared library). Такая библиотека имеет номер версии. А в приложениях (в дескрипторе развертывания), которые потом деплоятся на сервер приложений и используют эту библиотеку, ты указываешь номер требуемой версии, причем можешь указать "строго этот номер версии" или "начиная с этого номера и выше". На сервере приложений крутится несколько нужных версий одной и той же shared library. При деплое приложения сервер подсовывает нужную версию в зависимости от того что указано в дескрипторе развертывания этого приложения (ну или ошибку, если нет нужной версии)<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (anonimous) https://opennet.ru/openforum/vsluhforumID3/107295.html#47 Mon, 28 Mar 2016 09:31:44 GMT &gt; но непонятна ситуация с владельцами NPM<br><br>Как и с любым другим онлайн-сервисом. Хочешь надежности -- проверяй и держи на своих машинах.<br><br>&gt; cargo индекс, виден всем (на гитхабе) и человек может понять перед загрузкой, кто, когда и где стоит за таким-то пакетом перед загрузкой его через cargo!<br><br>Как и в любом другом хранилище пакетов. Но см пункт 1 -- ты никогда не сможешь гарантировать, что чужой сервис вернет тебе правильную информацию.<br><br>&gt; Кроме-то в Rust(cargo) сейчас запрещены вайлдкарды версий(*) в зависимостях<br><br>В любой системе зависимостей можно выбрать -- привязаться к последней версии или по * -- это исключительно выбор разработчика. Наркоманское ограничение в cargo, кстати, только говорит о его убогости -- да, да когда-нибудь кому-нибудь может понадобиться эта фича и придётся городить костыли с авто-генератором зависимостей для билд-скрипта.<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (agent_007) https://opennet.ru/openforum/vsluhforumID3/107295.html#46 Mon, 28 Mar 2016 09:23:20 GMT &gt; Кто будет проверять соответсвие подписи и личности автора?<br><br>Поинтересуйтесь, как этот вопрос решается в различных дистрибутивах Linux. Например, в Debian. <br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (anonimous) https://opennet.ru/openforum/vsluhforumID3/107295.html#45 Mon, 28 Mar 2016 09:15:57 GMT Т.е. владельцам NPM ты не доверяешь, а владельцам Гитхаба -- всем сердцем и душой?<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (Аноним) https://opennet.ru/openforum/vsluhforumID3/107295.html#44 Mon, 28 Mar 2016 07:38:17 GMT &gt; проще некуда: запилить новый нпм с ссл, гитом, подписями и без шавок у руля.<br><br>... на питоне...<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (Аноним) https://opennet.ru/openforum/vsluhforumID3/107295.html#43 Mon, 28 Mar 2016 05:16:23 GMT &gt; npm install systemjs<br><br>а там копирастический червь скачается?<br> Незащищённость NPM к атакам по внедрению вредоносных модулей... (Anonimous) https://opennet.ru/openforum/vsluhforumID3/107295.html#42 Sun, 27 Mar 2016 19:05:18 GMT + независишь от интернета/авторов, выпиливающих свои модули/политиков, блокирующих гитхаб<br>+ нормальные, повторяемые сборки<br><br>