URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 123860
[ Назад ]
Исходное сообщение
"Отчёт о компрометации git-репозитория и базы пользователей проекта PHP"
Отправлено opennews , 07-Апр-21 10:36
Опубликованы первые результаты разбора инцидента, связанного с выявлением в Git-репозитории проекта PHP двух вредоносных коммитов с бэкдором, активируемым при передаче запроса со специально оформленным заголовком User Agent. В ходе изучения следов деятельности атакующих был сделан вывод, что непосредственно сервер git.php.net, на котором был размещён git-репозиторий не был взломан, но была скомпрометирована база данных с учётными записями разработчиков проекта...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54920
Содержание
- Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 10:36 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:01 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:45 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:17 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:28 , 10-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 10:42 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,тоже аноним, 10:43 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Леголас, 11:14 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:36 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Леголас, 11:47 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:51 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Клавиатур, 12:29 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:36 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,username, 02:04 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:51 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:01 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:41 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:06 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Онаним, 11:29 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:50 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Cradle, 11:33 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:00 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Gemorroj, 12:04 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,istepan, 12:21 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,fske, 13:19 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,funny.falcon, 04:50 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,FSA, 10:01 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 12:48 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 13:19 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:44 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:00 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Lex, 16:40 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:49 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 10:24 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:30 , 10-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:49 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Ordu, 12:23 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 10:52 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:51 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 12:12 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:20 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 12:26 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:22 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 14:04 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,istepan, 12:22 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:23 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:45 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:25 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 12:29 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:47 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 12:24 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:01 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 23:31 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,user90, 12:45 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:59 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,fske, 13:21 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:07 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 17:47 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 18:20 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:08 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 17:39 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,YetAnotherOnanym, 13:20 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,DEF, 13:46 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,erthink, 13:56 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:26 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 15:13 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:44 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:02 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Anona, 22:54 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:02 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:40 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:47 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 05:26 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 18:21 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 17:08 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,пох., 20:00 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Anona, 22:58 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Ilya Indigo, 20:41 , 07-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:34 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Ilya Indigo, 12:37 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:41 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,еманйам, 08:19 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,еманйам, 08:18 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 09:17 , 09-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 08:52 , 08-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:02 , 09-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:08 , 15-Апр-21
- Отчёт о компрометации git-репозитория и базы пользователей п...,Gemorroj, 19:00 , 07-Май-21
Сообщения в этом обсуждении
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено имя_ , 07-Апр-21 10:36
>master.php.netого, как нетолерантно в сегодняшние времена!
>main.php.net
а нет, все в порядке
лол
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 13:01
А что если не было никакого взлома, а всё было затеяно для переезда на Гитхаб и смены имени сервера?..
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 14:45
А не столман ли это? Надо было закрывать вопрос раз и навсегда.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 15:17
Свободное Сообщество само за Столлмана закроет вопрос.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 10-Апр-21 16:28
За ричарда стреляю в упор
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено имя_ , 07-Апр-21 10:42
>После обнаружения первого вредоносного коммита, совершённого через учётную запись Расмуса Лердорфа, основателя PHP, было сделано предположение, что взломан его аккаунт и Никита Попов, один из ключевых разработчиков PHP, откатил изменения и блокировал права коммита для проблемной учётной записи.
>Следом атакующие отправили вредоносный коммит от имени самого Никиты.Похоже, что взломщики следили за всеми действиями в прямом эфире. Представляю каково это было увидеть левый коммит от самого себя.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено тоже аноним , 07-Апр-21 10:43
> было сделано предположение, что взломан его аккаунт и Никита ПоповНикиту спасти удалось? Я переживаю.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Леголас , 07-Апр-21 11:14
если уж гнуть вашу линию, то это всего навсего предположение, и безопасность господина Попова, вполне возможно, вообще не была под вопросом
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 11:36
Тоже аноним имеет в виду, что перед "и Никита Попов" по правилам русской грамматики должна стоять запятая.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Леголас , 07-Апр-21 11:47
она может там стоять, но необязательно — всё банально зависит от смысла
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:51
смысл - это не банально
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Клавиатур , 07-Апр-21 12:29
Никита в полной безопасности.
Его тоже перепрошили.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:36
Чипировали
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено username , 08-Апр-21 02:04
Вайфаем
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:51
Еще пока он был в РФ :D
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 11:01
Пруфа нет, но примерно с месяц назад попадалась новость, что бекдор встроен в пхпшторм и шлет пароли кудато налево.
Возможно, та же ситуация и в данном случае (уверен, что и Расмус Лердорф и Никита Попов используют шторм)
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 13:41
Если пруфа нет, это называется клевета.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 14:06
IntelliJ IDEA держит открытым порт на 127.0.0.1и через запущенный браузер можно выполнить код на локально запущенной IDEA. Там баг в сериализации, могу продать payload
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Онаним , 07-Апр-21 11:29
Вот видите.
А озаботились бы раньше BLM и прочим SJW - глядишь и master.php.net бы не взломали.
Такие дела.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:50
Кто о чем, а барнаулец о наболевшем.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Cradle , 07-Апр-21 11:33
вот это особенно понравилось "Код для работы с СУБД переделан для использования параметризованных запросов, усложняющих подстановку SQL-кода"выходит, все предыдущие 25 лет они там не параметризованные были?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:00
именно! а еще древная не обновляемая ОС, а еще MD5 в качестве хеша пароля (не удивлюсь если они даже без соли хранились). похапешники - одним словом)))
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Gemorroj , 07-Апр-21 12:04
давай посмотрим на твой код 25 летней давности?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено istepan , 07-Апр-21 12:21
Речь наминуточку, об инфраструктре от которой зависит большая часть интернета.
Это просто какое-то позорище.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено fske , 07-Апр-21 13:19
>Речь наминуточку, об инфраструктре от которой зависит большая часть интернетабольшая часть....ты не стендапер часом? шутка хорошая.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено funny.falcon , 08-Апр-21 04:50
Если ударение поставить на а, то всё нормально.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено FSA , 08-Апр-21 10:01
Лет 15 назад я тоже в md5 хранил. Но потом открыл для себя password_hash. Просто так взять и разослать по пользователями сообщение о смене пароля не мог. Просто прикрутил костыль. Добавил дополнительное поле для хранения пароля в новом виде. Всем, кто успешно логинился в систему автоматически заполнял это поле и удалял старый хеш. У кого старого хеша не было, проверял пароль через password_verify. Ну, и, если что, сайт в локалке крутился. От прошлых утечек уже не защита, а от новых вполне себе.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено InuYasha , 07-Апр-21 12:48
> похапешники - одним словом)))пхп не просто допускает, позволяет, разрешает такие техники программирования, но, имхо, одобряет, способствует, подталкивает, учит говнокодингу.
Я, как сиплюплюшник, всегда был в шоке от того как пишется код всяких веб-поделок. От того как хреново (т.е. почти никак) поток инструкций изолируется от потока данных. В общем, макаки сами себя полностью закопали, отклонив инициативу P++. В php hell им дорога.
И дотнетчикам с ГОпниками туда же.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено имя_ , 07-Апр-21 13:19
с++ един и страуструп пророк его!
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 13:44
Как будто на С++ плохого кода нет.А так-то само собой разумеется, что чем проще язык, тем больше на нем будет непрофессионального кода.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 15:00
Здесь постоянно новости проходят о дырках в твоей плюшечке
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Lex , 07-Апр-21 16:40
> пхп не просто допускает, позволяет, разрешает такие техники программирования Какие «техники» ?
-Не трогать то, что и так успешно работает ? Ведь именно это явилось следствием упомянутых проблем.
А то можно подумать, что сишники свой код еженедельно переписывают.. и пакеты новейшие устанавливают.. и ось переустанавливают
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:49
> поток инструкций изолируется от потока данныхЭто что еще такое?!
Поток инструкций... изолируется. Это про сегменты? Виртуалки? OpenCL? Что_ты_черт_возьми_такое_несешь.jpg
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено InuYasha , 08-Апр-21 10:24
Тебе, наверное, фамилия Фон Нойман вообще ни о чём не говорит. Жуй дальше веб-бананы.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 10-Апр-21 16:30
> дотнетчикам с ГОпниками туда же. Зря ты так, зря, зря.... ой зря...
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 11:49
> Взлом master.php.net рассматривается как наиболее вероятный сценарий, так как для данного сервера было использовано неполиткорректное имя, возбуждающее криминальные элементы в среде SJW. В связи с этим решено сменить имя на main.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Ordu , 07-Апр-21 12:23
Если уж пошла такая пьянка, то надо было не менять: бесплатный пентест.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 10:52
Вот тебе бабушка и столман день.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 11:51
>Для хранения хэшей паролей в БД задействован алгоритм bcrypt (ранее пароли хранились с использованием ненадёжного хэша MD5).Выпилить вообще парольную аутентификацию и вместо этого ввести аутентификацию по публичным ключам.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено бублички , 07-Апр-21 12:12
как это поможет при краже приватного ключа с твоего компьютера, где ты в любимой десяточке откроешь какой-то веб-сайтик в устаревшем Chrome/Firefox? как это поможет когда баклан вроде тебя прощёлкает где-то ноутбук-планшет-мобильник где был приватный ключ в незащищщённом виде (C:\Users\Vasjan\Desktop\private.key)?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:20
При входе с новых мест включать 2FA с подтверждением Trust computer
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено InuYasha , 07-Апр-21 12:26
http://www.notcpa.org/
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:22
https://smallstep.com/sso-ssh/https://smallstep.com/docs/platform
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено бублички , 07-Апр-21 14:04
даже ужасаюсь представить это на практике, но с позиций маркетинга очень красиво: Pro версия, интеграция с AWS и Azure. от этих слов (ещё забыли Kubernets) у любого эффективного менеджера (или руководителя проекта без всякого опыта в ИТ) гарантирован экстаз. представляю презентации типа "мы сделали даже лучше чем хотели, ведь мы лучшие и всё самое лучшее делаем лишь для вас. только купите - мы с вас не слезем"
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено istepan , 07-Апр-21 12:22
Приватные ключи защищаются парольной фразой.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:23
ssh-agent будет держать в кеше без парольной фразы.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 15:45
И?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:25
ssh-agent is a key manager for SSH. It holds your keys and certificates in memory, unencrypted, and ready for use by ssh. It saves you from typing a passphrase every time you connect to a server. It runs in the background on your system, separately from ssh, and it usually starts up the first time you run ssh after a reboot.https://smallstep.com/blog/ssh-agent-explained/
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено бублички , 07-Апр-21 12:29
зашифрованной сверхнадёжными DES-MD5 при пароле типа vasja123?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:47
по глазу
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено InuYasha , 07-Апр-21 12:24
Надо было ставить антивирус однофамильца - и никакие взломы были бы не страшны.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 14:01
Тогда уж и сервер крутить на ПопенОС или как она там с нескучными
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 23:31
Болген, же.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено user90 , 07-Апр-21 12:45
> проекта PHP двух вредоносных коммитов"вредоносного проЭкта PHP", fixed!
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 12:59
Дырявый язык с дырявым репозиторием. Разаботчики хоть не дырявые?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено fske , 07-Апр-21 13:21
а как ты считаешь, если они переехали с master на main?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 15:07
Школьник-пубертат везде дырки ищет
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено имя_ , 07-Апр-21 17:47
не просто ищет, а еще и носом крутит - не нравятся ему некоторые!
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 18:20
Ну это всяко лучше типичного пэхапешника, который везде дырки находит, а потом страдает от болячек. Запомните нужно правильно выбирать партнера
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 13:08
Вот бы им мигрировать на Codeberg или Notabug в конце концов
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 17:39
А чем хорош Codeberg?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено YetAnotherOnanym , 07-Апр-21 13:20
> аутентификация выполнялась при помощи HTTP-сервера Apache2Эээ... имеется в виду аутентификация средствами HTTP?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено DEF , 07-Апр-21 13:46
Почему bcrypt, а не argon2? Чем они думают воообще там?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено erthink , 07-Апр-21 13:56
> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.Откровенно говоря, страшно подумать, что можно ожидать при таком уровне в собственном коде разработчиков, без ревью и аудита.
Ляпы у всех бывают, но тут как-то перебор.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 14:26
> Ляпы у всех бывают, но тут как-то перебор.Проблема в отсутствии ответственных за инфраструктуру людей.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено бублички , 07-Апр-21 15:13
ты правда хотел бы нести ответственность за подобных горе-разработчиков? или же ты надеешься их переубедить? за спиной будешь стоять и бить по рукам что тянутся сотворить очередную глупость? брось, это они переубедят тебя, ещё вдобавок задавят опытом а потом выпрут за проф-непригодность (и отсутствие толерантности к геям-неграм). ну обновили они сервер (PHP 8 вместо 5), но мышление то у них не обновилось. ждём продолжения
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:44
на моем веку в мастер загружали после ревю чудовищную бредятину, только потому что ревб - это не про разум, а про то кто больше орет, отказывается дискутировать, занимая принципиально бескомпромиссную позицию, и у кого выше позиция. Короче ни ревью, ни аудит, ни Open Source - сегодня ничего не гарантируют.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 16:02
> т.е. они заранее знали пароли Расмуса и Никиты, но не знали их логины. Если атакующие смогли получить доступ к СУБД, то непонятно, почему они сразу не использовали указанный там корректный логин.Видать они:
* использовали один пароль на несколько сервисов.
* подхватили кейлогер на своих рабочих компах.
Если дело в кейлогерах, то помогут ключи с аппаратной защитой секретного ключа.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Anona , 07-Апр-21 22:54
Не вполне: на зараженной машине можно перехватить пин токена, дождаться его подключения и подписать необходимое.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 16:02
MD5 - "я и балл"!
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 16:40
после взлома надо было удалить весь пхп
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 16:47
ВпоПЫХах.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 05:26
вПОПЫах
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 18:21
Шалун
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 07-Апр-21 17:08
>> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.Всё что нужно знать об отличиях git от svn
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено пох. , 07-Апр-21 20:00
костылинг и подпоркинг вместо аутентификации добавьте в списочек.Потомушта для "парежьте памельче, в экран нивлазиет, и пришлите в рассылку" все это, конечно, излишне.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Anona , 07-Апр-21 22:58
Вообще, для крупных изменений в ядре предусмотрено [GIT PULL].
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Ilya Indigo , 07-Апр-21 20:41
> на данном сервере был использован очень старый код и устаревшая ОС, которые давно не обновлялись и имели неисправленные уязвимости.Работает - не трожь! Говорили они.
> master --> main
А не ради этого ли всё затевалось?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 12:34
Последние обновления спасают от подбора паролей?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Ilya Indigo , 08-Апр-21 12:37
> Последние обновления спасают от подбора паролей?Вы новость читали?
Пароль НЕ подбирали его уже знали.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 06:41
Опять Никита Попов...Надо бы PHP-никам проверить его на связь с Лубяночкой кек
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено еманйам , 08-Апр-21 08:19
паяльник уже подключен к розетке - 100% сознается
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено еманйам , 08-Апр-21 08:18
master переделали в mainопять "хакеры во всём виноваты" - при чём, желательно русские.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 09-Апр-21 09:17
Во-первых, нежелательно, но все же все время русские, китайские или северо-корейские. Что логично, конечно.
Во-вторых, "причём" - слитно.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 08-Апр-21 08:52
Кстати, Столлман не имеет ничего против разработки customized software — специально заточенного софта для разных конторских нужд, и получения за сиё колдунство грязных денег.
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 09-Апр-21 11:02
Что будет с php, если представить, чисто гипотетически, что Лердорф и Попов перестанут им заниматься? Насколько большая команда вообще занимается развитием php?
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Аноним , 15-Апр-21 14:08
Небольшая, насколько понимаю, человек 30-40, из которых реально активных может быть 10
"Отчёт о компрометации git-репозитория и базы пользователей п..."
Отправлено Gemorroj , 07-Май-21 19:00
лердорф давно не занимается php. занимаются активно только попов и стогов.