forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 млн загрузок в неделю, opennews (??), 11-Янв-23, (0) [смотреть все]

Откуда такие цифры В интернете реально столько много сайтов, что какая-то левая, Аноним (1), 13:52 , 11-Янв-23, (1) –6 //

Первый день в интернете Или гуманитарий Или млао витаминов ел Тебе бы порабо, Аноним (2), 13:55 , 11-Янв-23, (2) +10 //

Гуманитарии это фронтенд-верстальщики, не осилившие бэкенд , Деанон (?), 14:16 , 11-Янв-23, (10) +4 //

node js это бэкэнд JavaScript универсальный язык , Аноним (14), 14:32 , 11-Янв-23, (14) +1

так я и говорю, что не осилили и сделали nodeJS, Деанон (?), 15:44 , 11-Янв-23, (28) +2

Это же вебмакаки Там нельзя без обновлений и передёргиваний npm install и т п , Деанон (?), 14:15 , 11-Янв-23, (9) +2
Роботы грузят, Вы забыли заполнить поле Name (?), 15:52 , 11-Янв-23, (31) +1
Например если не заморачиваться, и не подымать локальный реп А просто при сборк, rshadow (ok), 17:10 , 11-Янв-23, (41)
Эта либа качается каждый раз при открытии сайтов, которые юзают эту либу , . (?), 21:00 , 11-Янв-23, (55)

И тут как вы уже догадались никакой бы безопасный язык не помог Зачем тогда лом, Аноним (2), 13:58 , 11-Янв-23, (4) –1 //

ну вроде, чтобы в расте передать хренпоймичто, вместо чего-то другого все же над, амоним (?), 21:59 , 11-Янв-23, (58)

Ничего интересного, расходимся , Аноним (5), 14:05 , 11-Янв-23, (5) –1
чушь какая-то, как этот объект сформировать-то удаленно https github com gith, Аноним (6), 14:06 , 11-Янв-23, (6) +5
Никогда такого не было и опять то же самое , Аноним (7), 14:10 , 11-Янв-23, (7)
Если ты передаёшь с клиента объект и никак его не проверяешь, то это сама по себ, Весельчак У (?), 14:14 , 11-Янв-23, (8) +2 //

Хуже когда ты тянешь с гитхаба npm импорт, а за ним еще 20 импортов, половину из, Деанон (?), 14:18 , 11-Янв-23, (11) +1 //

Хуже когда он, не не глядя наваял за 5 минут А специально несколько часов сидел, Аноним (20), 15:07 , 11-Янв-23, (20) +2 //

иногда даже много дней, амоним (?), 22:00 , 11-Янв-23, (59)

Как раз-таки учитывается, именно поэтому и приводится явно к строке, потому как , Аноним (12), 14:27 , 11-Янв-23, (12) +1 //

нету же статической типизации в jsхотя конечно я не знаю как нужно, как лучше js, Аноним (14), 14:42 , 11-Янв-23, (16) –1
secretOrPublicKey is a string utf-8 encoded , buffer, or KeyObject containing , Аноним (14), 14:47 , 11-Янв-23, (17) –1
Книжку какую-нибудь умную почитай 171 Не должна 187 , совсем вебмакаки облен, Аноним (20), 15:04 , 11-Янв-23, (18) –4 //

Но как чистая архитектура относится к библиотеке для работы с тренерами Она же п, Аноним (14), 15:13 , 11-Янв-23, (23) +2 //

С токенами, Аноним (14), 15:16 , 11-Янв-23, (25) +1

Ты эти свои книжки-то хоть сам открывал В особенности те места, где настоятельн, Аноним (12), 15:14 , 11-Янв-23, (24) +3 //

Ну нодежс проверяет аргументы своего апи в рантайме, хотя тайпскрипт декларации , Вы забыли заполнить поле Name (?), 15:57 , 11-Янв-23, (32)
в документации явно указано что функция может Buffer принять И в определениях ty, Аноним (34), 16:06 , 11-Янв-23, (34)
Толку от тайпскриптовой 8220 типизации 8220 , если некорректные типы данных м, Бывалый смузихлёб (?), 17:33 , 11-Янв-23, (42)

В жабоскрипте сейчас реально можно в таком виде объекты передать и они разберутс, Омномним (?), 15:06 , 11-Янв-23, (19) –1 //

Нет, нельзя Новость можно удалять, т к RCE собираются пометить как withdrawn , another_one (ok), 15:19 , 11-Янв-23, (26) //

А, ну то есть ещё до такого не докатились, и то ладно , Омномним (?), 16:19 , 11-Янв-23, (36)

Ну пойди, передай, через JSON notabug, wontfix , Аноним (21), 15:09 , 11-Янв-23, (21) +1
И откуда объект возьмется на бэкенде то JSON не передает функции Это не уязвим, another_one (ok), 15:13 , 11-Янв-23, (22)
Эта новость - фейк По сети невозможно передать объект с методом Никакого RCE т, Аноним (27), 15:42 , 11-Янв-23, (27) +1 //

CVE присвоен и исправление авторами пакета выпущено Какая же это шутка , Аноним (56), 21:02 , 11-Янв-23, (56)
https nvd nist gov vuln detail CVE-2022-23529 Base Score 9 8 CRITICAL Уведо, Аноним (56), 21:09 , 11-Янв-23, (57) //

Этот фейк уже вышел за пределы гитхаба Возможно, после такого скандала перестан, another_one (ok), 10:06 , 12-Янв-23, (61)

Шаблон для новостей Джаваскрипта RCE-уязвимость в NPM-пакете ______, насчитывающ, Вы забыли заполнить поле Name (?), 16:03 , 11-Янв-23, (33) //

Милый комментарий на фоне того, что очередная уязвимость оказалась фейком вслед, Аноним (37), 16:21 , 11-Янв-23, (37) +3
Шаблон комментария для опеннет эксперта Веб-макаки, растоманы, смузихлебы, формо, Аноним (34), 16:23 , 11-Янв-23, (38) +3 //

Хотя бы эксперта, а не просто вебмакаки и непричастных к расту домоседов, называ, Деанон (?), 17:59 , 11-Янв-23, (44) –1
Так оно же истина Копипаст и в продакшен, node_modules из десятка тысяч файлов , Деанон (?), 18:03 , 11-Янв-23, (45)
Для работы чата достаточно было 75КБ ELF-приложения на ARMv6 и GPRS 5КБ с, а не , Деанон (?), 18:09 , 11-Янв-23, (47) //

75кб Не дохрена ли это, это целый жаббер клиент со всеми колобками поместится , Аноним (49), 18:36 , 11-Янв-23, (49)
Тогда напишите, в чем проблема Покажите веб-ма ам формош м, как надо под тел, Аноним (34), 19:54 , 11-Янв-23, (52) +1

Это просто лол Подобных использований toString можно найти миллиард в каждой в, Аноним (39), 16:30 , 11-Янв-23, (39) +2 //

Из всех языков мира макак выбрал раст для примера Случайность Не думаю , Вы забыли заполнить поле Name (?), 18:09 , 11-Янв-23, (48) //

Конечно, не случайность, я же на опеннете , Аноним (50), 18:43 , 11-Янв-23, (50)

Вы только посмотрите, как они оформляют комиты https github com auth0 node-jso, ip1982 (ok), 16:40 , 11-Янв-23, (40) –3 //

Ну это всё-таки мердж , Бывалый смузихлёб (?), 17:36 , 11-Янв-23, (43)
Если речь про сообщение коммита, то он автоматически сформирован git ом Попробу, Вы забыли заполнить поле Name (?), 18:08 , 11-Янв-23, (46) //

Да плевать как такое происходит Главное 8212 результат, а он ужасен П С И , ip1982 (ok), 19:19 , 11-Янв-23, (51) –1
git же название коммита спрашивает при merge И в интерфейсе gitlab можно вписат, Аноним (14), 20:32 , 11-Янв-23, (54) //

При merge --squash он открывает редактор и сам подставляет в сообщение все комми, Вы забыли заполнить поле Name (?), 00:38 , 12-Янв-23, (60)

Сообщения [Сортировка по времени | RSS]

20. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..." +2 +/–

Сообщение от Аноним (20), 11-Янв-23, 15:07

Хуже когда он, не не глядя наваял за 5 минут. А специально несколько часов сидел и внедрял бекдор.

Ответить | Правка | Наверх | Cообщить модератору

59. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..." +/–

Сообщение от амоним (?), 11-Янв-23, 22:00

иногда даже много дней

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	20. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+2 +/–
	Сообщение от Аноним (20), 11-Янв-23, 15:07
	Хуже когда он, не не глядя наваял за 5 минут. А специально несколько часов сидел и внедрял бекдор.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "RCE-уязвимость в NPM-пакете JsonWebToken, насчитывающем 10 м..."	+/–
	Сообщение от амоним (?), 11-Янв-23, 22:00
	иногда даже много дней
	Ответить \| Правка \| Наверх \| Cообщить модератору