The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Более половины npm-пакетов могли быть скомпрометированы из-з..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от opennews on 27-Июн-17, 20:58 
Никита Сковорода, входящий в управляющий технический комитет проекта Node.js, опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM. Результат оказался более чем печальным - в ходе проверки удалось получить доступ к 12% аккаунтов (13% пакетов) из-за использования в них предсказуемых и тривиальных паролей, таких как "123456". Среди подобных учётных записей есть и популярные модули, которые находятся в зависимостях у других пакетов. С учётом загрузки других модулей по цепочке зависимостей, компрометация ненадёжных учётных записей может поразить в сумме до 52% от всех модулей в NPM.

Всего удалось получить доступ к 15495 учётным записям, используемым для управления 66876 пакетами. В том числе был получен доступ к 4 учётным записям пользователей из Top20 самых популярных пакетов. Также был получен контроль над 13 пользователями, пакеты которых загружают более 50 млн раз в месяц, 40 пользователями с более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. Компания NPM Inc приняла исследование во внимание и инициировала процесс смены паролей для ненадёжных учётных записей. Для усиления защиты NPM запрещено использование словарных и коротких паролей, скоро будет ограничена поддержка "HTTP Basic auth", в более отдалённых планах внедрение двухфакторной аутентификации.

Контроль над 2545 учётными записями (5470 пакетов) был получен в ходе проведения Bruteforce-атаки по подбору типовых паролей. Данные об 12150 учётных записях (57112 пакетов) были получены путём сопоставления сведений из крупных публичных утечек баз паролей (когда пользователь использовал идентичные пароли на NPM и взломанных сайтах, базы паролей которых были выложены в открытый доступ). Допуск к 732 учётным записям (4786 пакетов) удалось получить путём варьирования пароля из публичных утечек (например, добавление цифр, замена имени на npm и т.п.). Контроль над оставшимися 120 проблемными учётными записями (582 пакета) был получен через поиск утечек параметров входа в файлах, опубликованных на GitHub (например, вместе с другими файлами загружены .npmrc, config.json, .gitconfig и т.п.).

Некоторые интересные факты:

* В учётной записи для доступа к модулю koa, который в прошлом месяце был загружен 300 тысяч раз, использовался пароль "password";
* Один из пользователей, контролирующий более 20 млн загрузок в месяц, в ответ на отзыв скомпрометированного пароля, установил в качестве нового пароля содержимое старого, добавив к нему символ "!";
* Пользователь, входящий в top-20, после сброса скомпрометированного пароля опять вернул свой старый пароль через некоторое время;
* У 662 пользователей был установлен пароль "123456", у 168 - "123", у 115 - "password";
* 1409 пользователей (1%) указали в качестве пароля свой логин;
* 10% пользователей повторно использовали свой заведомо скомпрометированный пароль: 9.7% в изначальном виде, а 0.6% внеся в него незначительное изменение;
* Трафик всех пакетов, к которым был получен доступ в ходе исследования, составляет почти два миллиарда (1 946 302 172) загрузок в месяц, что примерно 20% от общего объёма загрузок.


URL: https://github.com/ChALkeR/notes/blob/master/Gathering-weak-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=46768

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от анон on 27-Июн-17, 20:58 
вопрос очень простой, а какого черта нет валидации при установке пароля? что за детские болезни?

а вообще феерично. проверку на сложность пароля никакого нет, так они еще и исследование провели, мол "смотрите какие у нас пользователи тупые, ставят простые пароли".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +11 +/
Сообщение от Аноним (??) on 27-Июн-17, 21:05 
> вопрос очень простой, а какого черта нет валидации при установке пароля? что
> за детские болезни?

Главное не переборщить, а то некоторые такую валидацию устроят, что пользователи на бумажке пароль к монитору сразу клеят. Или ещё хуже когда раз в месяц просят менять пароль, тоже гарантированная бумажка и смена через +1 к прошлому паролю. Простые пароли не проблема, проблема предсказуемые и короткие пароли. Как говориться, пять простых слов в пароле гораздо надёжнее 8-символьных паролей типа d4&Gr0N@.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +10 +/
Сообщение от gogo on 27-Июн-17, 21:13 
Бумажка гораздо безопаснее очень многих других способов хранения.
А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе понятными сокращениями/вариациями/намеками, то один из самых безопасных.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от пох on 28-Июн-17, 00:14 
> А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе
> понятными сокращениями/вариациями/намеками, то один

хрен через два-три года не сможешь вспомнить, что тут записано. Не благодари.

ну и да - требовать чего-то от пользователей можно начинать, когда у тебя на сайте хотя бы защита от тупого перебора уже есть. Иначе они добавят '!' и будут абсолютно правы.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

35. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от gogo on 28-Июн-17, 00:56 
Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...
Я лично не первый десяток лет пользуюсь таким методом. НИ РАЗУ записанный пароль не забылся  намертво.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

51. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от пох on 28-Июн-17, 08:39 
> Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные...

да нет, просто паролей - много, некоторые нужны раз в пару лет, не везде можно выбрать такое, что в принципе запоминаемо.
Вот и сидишь потом: так? Не...так что-ли? Не... Может тут было... блин! Может скобка в другую сторону, или другая скобка? Да ну его нахрен, ...але, пятый ряд третья стойка ####, дерните там, пожалуйста, питание.

При этом два самых ходовых пароля у меня длинные и абсолютно бессмысленные (не потому что я этого хотел ;-) - но я их набираю в день несколько десятков раз. А вот что там было в 2014м году - хорошо, когда вовремя успел записать - целиком и без всяких намеков. Причем это как раз простые и запоминаемые (иначе бы записал сразу).

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

57. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от тоже Аноним email(ok) on 28-Июн-17, 09:26 
А что мешает пользоваться длинными, но осмысленными паролями?
Внезапно, в базах паролей, например, ни разу не встречается ни одна из десяти общеизвестных фраз, приведенных подряд в самой популярной книге на планете. Даже если забудешь - не проблема освежить в памяти...
Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

71. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Онанимус on 28-Июн-17, 13:39 
> ... ни одна из десяти общеизвестных фраз

Согласен. Сам так делаю и знакомым советую.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

75. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от rshadow (ok) on 28-Июн-17, 14:33 
А зачем вообще запоминать пароли к сайтам? Сгенерил, авторизовался, браузер запомнил. Ходи сколько хочешь. Если что-то стер/забыл/потерял просто восстанавливаешь пароль средствами сайта.

С чужих компов то не часто по сайтам лазишь, а для остального есть синхронизация.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

82. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от тоже Аноним (ok) on 28-Июн-17, 17:06 
Интернет-банки, например, не дают браузеру запоминать логин и пароль. И правильно делают.
Ну, и не только для аккаунтов бывают пароли, вообще-то.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

67. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от freehck email(ok) on 28-Июн-17, 13:07 
>> А если хранить ее не на мониторе и записывать пароль не полностью, а только с тебе
>> понятными сокращениями/вариациями/намеками, то один
> хрен через два-три года не сможешь вспомнить, что тут записано.

Пффф. Просто запомните соль, которую приписываете в конце каждого своего пароля, записанного на бумажке.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +3 +/
Сообщение от YetAnotherOnanym (ok) on 28-Июн-17, 00:49 
Бумажка может и в бумажнике лежать. И - да, лучже пароль на бумажке, который могут видеть трое коллег в комнате, чем 12345.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

52. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –3 +/
Сообщение от пох on 28-Июн-17, 08:43 
> Бумажка может и в бумажнике лежать. И - да, лучже пароль на
> бумажке, который могут видеть трое коллег в комнате, чем 12345.

камера, в той же комнате, или не в той же (раз в бумажнике - значит ты предполагаешь им пользоваться вне этого помещения), не-лох, отжавший бумажник (тут скорее dos чем компроментация, но все равно обидно)

А 123#45. - уже при хоть мало-мальской защите от подбора вполне надежен для большинства нормальных применений, и набирать удобно. (не годится, если есть шанс что сперли базу encrypted паролей, но...э...ну вы поняли, да, куда в этом случае надо пройти ответственному за безопасность)

Но забывается моментально, чем и плох - я их мильен таких забыл ;-)

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

5. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +5 +/
Сообщение от Led (ok) on 27-Июн-17, 21:08 
> смотрите какие у нас пользователи тупые

Как будто другие вэб-макаки бывают?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

16. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от Отражение луны (ok) on 27-Июн-17, 22:06 
Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах и бекендах не только к апи для сайтов, но и для аппликух. Будь ты компетентным - не пришлось бы тебе это объяснять.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

18. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +8 +/
Сообщение от Led (ok) on 27-Июн-17, 22:21 
>> Как будто другие вэб-макаки бывают?
> Нода не совсем о вебе в привычном его понимании. Скорее о веб сервисах

Ок, признаю, был неправ.
Корректирую:

Как будто другие вэб-сервисные-не-совсем-в-привычном-понимании-макаки бывают?

P.S. Кстати, как на латыни правильно пишется этот вид?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +4 +/
Сообщение от Аноним (??) on 27-Июн-17, 22:37 

> P.S. Кстати, как на латыни правильно пишется этот вид?

веб-макакус-илитус-нон-вулгарис

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от Аноним (??) on 27-Июн-17, 22:39 

>> P.S. Кстати, как на латыни правильно пишется этот вид?
> веб-макакус-илитус-нон-вулгарис

Хотел было приписать один "сапиенс", но вовремя увидел
>После сброса паролей 9.7% пользователей сразу вернули свой старый заведомо скомпрометированный пароль

что как бы намекает.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

80. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –3 +/
Сообщение от Добрый анон on 28-Июн-17, 15:26 
  Иронизирующая илитка нарисовалась, как же хорошо! Я не понимаю, зачем пытаться шутить или смеяться над людьми, которые используют nodejs, electron и прочие, возможно, не самые лучшие технологии.

  Если посмотреть вакансии на рынке веб-разработчиков, то окажется, что nodejs очень востребован. Люди может и хотят писать на чем-то, по их мнению, более хорошем, быстрым и так далее (нужное подчеркнуть). Но крупные компании сделали ставку на node, php и прочих.

  Эти технологии можно быстро освоить, разработчик не стоит слишком дорого денег, ему легко найти замену. Если не понимать таких простых вещей, того, что у бизнеса тоже есть какие-то потребности и ожидания от рынка соискателей, то конечно очень смешно писать про веб-макак. Это и правда весело ребята, что вы выше такого тупого ремесла.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

108. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Спрашивающий анон on 07-Окт-17, 11:00 
Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, — дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

109. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Спрашивающий анон on 07-Окт-17, 11:00 
Ну, внезапно, обычные мартышки появились тоже не просто так, правда? Их сформировали природные условия. Это не отменяет того, что их ужимки смешные. И склонность смеяться над обезьяньими кривляньями у людей, — дар эволюции. Но ты оправдываешь обезьян за кривляния,(Слово сознательно написано по-разному. FYGN) но осуждаешь людей за насмешки.
Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

26. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +7 +/
Сообщение от Аноним (??) on 27-Июн-17, 23:32 
> Нода не совсем о вебе в привычном его понимании.

Яваскрипт в рот тянут именно бывшие "веберы". И именно им нужна серверная часть именно на яваскрипте. Потому что после последнего курса вуза и десяти лет фриланса зарплату хочется большую (то есть конкурировать с такими же как они раньше школьниками не планируется), а учить второй язык уже, увы, некогда: жена, ребёнок и собственный стартап по платной обфускации js-кода не оставляют свободного времени.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

74. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –3 +/
Сообщение от Аноним (??) on 28-Июн-17, 14:11 
Я тяну яваскрипт просто потому, что это лучший язык программирования. Никогда под веб ничего не писал.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

78. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +4 +/
Сообщение от Аноним (??) on 28-Июн-17, 14:49 
> лучший

Чтоб понять, насколько вы адекватны и можно ли доверять вашему мнению, назовите, пожалуйста, также лучшую операционную систему, лучшую модель процессора, лучшую модель автомобиля, лучший город на планете, лучшую марку пива и лучшее время суток?

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

87. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Crazy Alex (ok) on 28-Июн-17, 19:43 
Вообще-то один язык там и там - это выгодное решение по куче причин, как технических, так э организационных. Если бы это только не JS был...
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

60. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +3 +/
Сообщение от Аноним (??) on 28-Июн-17, 10:04 
Большинство пользователей ноды -- веб-макаки, решившие освоить фулл-стэк. И принцип работы NPM со своими рекурсивно уложенными node_modules, возможностью удалить из репозитория модуль и т. д. это только подтверждает. Ведь нельзя просто так взять и посмотреть, как работают пакетные менеджеры во всём остальном мире, будь то rpm, джемы или что угодно другое -- надо изобрести свою полурабочую дичь, которая будет соответствовать духу остального мира JS.

И да, везде есть свои исключения. Есть в сообществе много адекватных людей. Я о среднем уровне интеллекта говорю.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

33. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Anonminus on 28-Июн-17, 00:51 
kernel.org месяцами лежал в maintenance, но макаки при этом npm.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

68. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 13:21 
Так это одни и теже макаки :-))
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

14. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 27-Июн-17, 21:43 
Надеюсь возможность брутфорса на этом репозитарии пресекается?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

40. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +3 +/
Сообщение от Аноним (??) on 28-Июн-17, 02:22 
Это же жабаскриптеры, у них в голове при слове security ничего не возникает.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

42. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от mumu (ok) on 28-Июн-17, 05:18 
Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

72. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от Онанимус on 28-Июн-17, 13:46 
> Что за проверка на сложность? qwertQWERT1234!@#$ Это сложный пароль или нет?

Легкий для перебора. Перебирают не только посимвольно, но и сочетаниями "квертей".

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

2. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от A.Stahl (ok) on 27-Июн-17, 21:04 
>установил в качестве нового пароля содержимое старого, добавив к нему символ "!";

И что в этом не так? Вполне секьюрно. Сомневаюсь, что в словарях есть какой-то там qwerty! или 123456!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от Crazy Alex (ok) on 27-Июн-17, 23:21 
Сто лет как. Банально потому что словари во многом составлены из утёкших реальных паролей, а такого добра там валом.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

48. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +8 +/
Сообщение от тоже Аноним (ok) on 28-Июн-17, 08:14 
123456! - это очень серьюрный пароль, если его правильно посчитать.
В базе такого точно нет. Не всякий калькулятор справится...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

69. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от freehck email(ok) on 28-Июн-17, 13:23 
> 123456! - это очень серьюрный пароль, если его правильно посчитать.
> В базе такого точно нет. Не всякий калькулятор справится...

Очень длинный пароль выходит: в нём ведь 574965 цифер. Задолбаешься вводить.
Может, лучше обойтись его хэш-суммой sha256? Она покороче будет:


1433d2107a6933730464d979562ff6921c8d4f4c6543f05ad1340f43c0b6886b

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

107. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от щи on 04-Июл-17, 13:40 
Да я бы сказал, и 1234567 тоже секьюрный пароль, в шестизначной базе его нет. Как нет его и в семифигурной базе окончаний. И набирать удобно - именно по этому принципу и выбираются пароли.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +10 +/
Сообщение от Аноним (??) on 27-Июн-17, 21:07 
npm прочел как rpm. Фух. Мимо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Константавр (ok) on 27-Июн-17, 21:09 
Так може они кому "порулить" дают и чтобы если что не оказаться виноватым - ой, у меня пароль взломали! Не зря я их всех ненавидел.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 27-Июн-17, 21:13 
Кодеры пролазят в любые щели. Это только начало.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Виталик (??) on 27-Июн-17, 21:15 
И как уберечься?
Ну, вот допустим, хочу я поставить глобально какой-то пакет из npm, например create-react-app, как ей ограничить доступ чтоб она не могла украсть файлы с моего диска в случае если там есть скомпрометированная зависимость?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 27-Июн-17, 21:31 
Отдельного пользователя заведи и из-под него работай.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +5 +/
Сообщение от Аноним (??) on 27-Июн-17, 22:02 
>И как уберечься?

Использовать другую платформу?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от Аноним (??) on 27-Июн-17, 22:20 
В докер ту ноду вместе с её нпмами, заодно и деплой с самого начала заготовишь
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

47. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от istepan email(ok) on 28-Июн-17, 08:11 
Основной риск будет на твоих клиентах. В библиотеки встроят XSS и все, гуляй вася. Миллионы фронтов.

Сам пишу фронт, и жутко бесит npm, поэтому стараюсь писать в основном на ванили.
Максимум это вебпак, полифилы и jquery. И еще мелкие библиотеки без зависимостей, исходники которых я как правило смотрю изначально из интереса, сейчас в целях безопасности буду.

Второй способ защиты это зафиксировать версии библиотек, чтоб npm не самостоятельно обновлялся на последние версии.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от corvuscor (ok) on 27-Июн-17, 21:17 
Ну блин... хоть peerflix удаляй нафиг...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от ке on 27-Июн-17, 21:38 
Он у меня из нпм только и стоит
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +6 +/
Сообщение от Аноним (??) on 27-Июн-17, 21:31 
Краткое содержание комментариев к этой новости:
1. А я говорил!
2. Эти веб-макаки...
3. Я таких ошибок никогад не делал, а программировать начал сразу в машинных кодах еще с детского сада...
4. Ну что с них взять, это же js, вот был бы православный C, не было бы такого!
5. Прочие виды снобизма
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +3 +/
Сообщение от Ordu email(ok) on 27-Июн-17, 22:37 
Я бы согласился со снобизмом, если бы не раздел в новости "интересные факты". Хотя тут конечно возникает вопрос: они просто инициировали смену пароля, или объяснили причины? И если объяснили причины, то насколько подробно? Можно же просто сказать "ваш пароль небезопасен смените его", а можно сказать "ваш аккаунт был взломан методом подбора пароля, поэтому смените его на что-нибудь пристойное". Вот если имел место последний вариант и при этом вылезли сии интересные факты, то я присоединюсь к хору, поющему про веб-макак.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от пох on 28-Июн-17, 00:20 
> Хотя тут конечно возникает вопрос: они просто инициировали смену пароля,
> или объяснили причины?

или неубедительно объяснили причины.

> же просто сказать "ваш пароль небезопасен смените его", а можно сказать
> "ваш аккаунт был взломан методом подбора пароля, поэтому смените его на

а то мы все никак не соберемся озаботиться защитой от подбора. Ага, двадцать раз поменял, с кисточкой.

Ну и то что занимаясь всей этой херней, они даже не почесались ограничить в интерфейсе возможность установки подбираемых паролей, тоже говорит о том, что макаки, похоже, в основном среди рулящих самим проектом.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

79. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от Ordu email(ok) on 28-Июн-17, 14:50 
> Ну и то что занимаясь всей этой херней, они даже не почесались ограничить в интерфейсе возможность установки подбираемых паролей, тоже говорит о том, что макаки, похоже, в основном среди рулящих самим проектом.

Это палка о двух концах. Чем сложнее поменять пароль, тем реже и неохотнее пользователи будут это делать. Вплоть до детских реакций, типа назло мамке в лужу сяду, например, пароль меняется принудительно, пользователя просто не пускают в систему пока он не сменит пароль, а пользователь выпендривается мухой на стекле, пытаясь "сломать систему", то есть установить новый пароль максимально похожий на старый.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

105. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от пох on 29-Июн-17, 09:25 
> Чем сложнее поменять пароль, тем реже и неохотнее пользователи будут это делать.

так менять и не надо (вообще). Это тоже очередной псевдо-безопасный жупел, когда (с помощью административного ресурса) требуешь обосновать необходимость - начинают что-то неразборчиво мямлить.
Потому что необходимостей две - пароли украдены из инфраструктуры борца за их сменяемость - ну, сам понимаешь... и пароль кто-то смог подсмотреть (перехватить - это предыдущий пункт).

Во втором случае крайне маловероятно, что его подсмотрели и занесли в папочку "хранить вечно" - скорее всего, сразу и употребят, и меняешь ты его раз в две недели или вовсе раз в три дня - почти без разницы (а месячные и больше интервалы вообще фатально бессмысленны).

А так да - я обычно использую сложный неподбираемый пароль - ровно до прихода сообщения что его, оказывается, раз в три месяца надо новый и несовпадающий с пятьюдесятью тысячами старых. После чего меняю на что-то вроде приведенного qwerty, и вешаю на монитор... Звиняйте, ребята, мне работать надо, и есть что менее бессмысленного помнить.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

106. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Ordu email(ok) on 29-Июн-17, 15:45 
>[оверквотинг удален]
> (с помощью административного ресурса) требуешь обосновать необходимость - начинают что-то
> неразборчиво мямлить.
> Потому что необходимостей две - пароли украдены из инфраструктуры борца за их
> сменяемость - ну, сам понимаешь... и пароль кто-то смог подсмотреть (перехватить
> - это предыдущий пункт).
> Во втором случае крайне маловероятно, что его подсмотрели и занесли в папочку
> "хранить вечно" - скорее всего, сразу и употребят, и меняешь ты
> его раз в две недели или вовсе раз в три дня
> - почти без разницы (а месячные и больше интервалы вообще фатально
> бессмысленны).

Может быть. Но отсутствие практики смены паролей даст атакующим возможность долгосрочно пользоваться доступом к аккаунту. Не спешить, не приступать прямо сейчас к действиям, которые раскроют факт взлома, а тихонько пользоваться аккаунтом в конкурентном режиме с владельцем. Чем выше вероятность смены пароля, тем менее эта стратегия привлекательна.
Но, отмечу -- действительно, может быть оно и не стоит того. Я не в курсе того, кто, зачем и как взламывает аккаунты.

> А так да - я обычно использую сложный неподбираемый пароль - ровно
> до прихода сообщения что его, оказывается, раз в три месяца надо
> новый и несовпадающий с пятьюдесятью тысячами старых. После чего меняю на
> что-то вроде приведенного qwerty, и вешаю на монитор... Звиняйте, ребята, мне
> работать надо, и есть что менее бессмысленного помнить.

Да ладно, я вообще не понимаю этих проблем. Есть же браузер и он умеет помнить пароли. Если это по каким-то причинам не подходит -- можно придумать пяток других решений, вплоть до портабл-версии менагера паролей на флешке, который будет запускаться оттуда, спрашивать мастер пароль, а потом вводить пароль в любое поле ввода, куда я попрошу.
Кстати, а нет ли виртуальных клавиатур в формате флешки, которые бы запоминали пароли, воспроизводили бы их, генерировали, и всё это через какой-нибудь простенький интерфейс в две кнопки?

Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

19. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 27-Июн-17, 22:31 
самое смешное что все они верны
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 27-Июн-17, 22:49 
Зачем сразу 2-факторная авторизация?
Неужто килобайтный ключ вместо паролей - не поможет?
Персональных данных разве что захотелось собрать...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 10:55 
Во-первых, двухфакторная аутентификация, а не авторизация. Во-вторых, она не обязательно предполагает сбор персональных данных.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от pda on 27-Июн-17, 23:16 
Гг. Ребята окунулись в реальный мир. До этого всё думали, что в сказку попали...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от th3m3 (ok) on 28-Июн-17, 00:01 
Вот не зря ушёл с Node.js и вернулся на Python.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –5 +/
Сообщение от Anonminus on 28-Июн-17, 00:35 
А я ушел с Node.js на Java. Кстати, по бенчмаркам в десятки раз быстрее питона. Кстати, настоящее ООП, в отличие от питона. Кстати, богата спецификациями, в отличие от питгна. Кстати... список можно продолжать.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

37. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от th3m3 (ok) on 28-Июн-17, 01:16 
Проиграл. Ну хоть не php.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

38. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от Anonminus on 28-Июн-17, 01:32 
> Проиграл. Ну хоть не php.

Издеваешься что ли. Даже питон лучше пыха.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

45. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от A.Stahl (ok) on 28-Июн-17, 07:57 
Чем лучше-то? Они практически идентичны. Типизация скрыта, управление памятью отсутствует... У РНР хоть синтаксис классический. Потому и "взлетел".
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

59. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-17, 09:51 
Ты что с ума сошел? это в похапе синтаксис класный. Да таких укурков еще не видел
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

65. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от th3m3 (ok) on 28-Июн-17, 11:31 
>>Они практически идентичны.

Опять проиграл. Ребята, с вами и башорг ненужен :)

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

84. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Anonminus on 28-Июн-17, 18:03 
Астахл, я понимаю твои чувства, говорю как человек, который покинул php и попробовал чуток пописать на питоне. У питона стд библиотека хотя бы продумана, а у пыха непоследовательно всё, вообще всё. Часть функционала реализована в сишном стайле (функции, возвращающие код ошибки; функции, не возвращающие ничего, а чтобы узнать, не отвалилась ли предыдущая функция, нужно вызывать другую функцию, по типу json_encode + json_last_error). Часть функционала реализована в Java/C++ стайле (функции, которые бросаются исключениями). Функции по работе со строками начинаются одновременно и с "str" (strtok), и с "str_" (str_replace). Все это кажется мелочью, но из таких мелочей и состоит пых. Полностью.

Если что, я питоно-хейтер, а сам пишу на Java.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

88. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Crazy Alex (ok) on 28-Июн-17, 19:50 
бардак в этом плане - мелочи по сравнению с общиии бедами скриптодинамики на не совсем мелких проектах. Сейчас там Go какой-нибудь надо брать, или JVM для чего побольше. Это если о вебе.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

46. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-17, 08:10 
Да, не зря, раз не различаешь ноду и npm. Они связаны, но не единое целое. И у npm есть альтернативы, либо можно просто не использовать пакетный менеджер и писать/вставлять код самому.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

55. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от пох on 28-Июн-17, 09:04 
> Да, не зря, раз не различаешь ноду и npm. Они связаны, но
> не единое целое. И у npm есть альтернативы, либо можно просто
> не использовать пакетный менеджер и писать/вставлять код самому.

угу, весь мир с нуля за недельку создам? (начиная с leftpad ;-) весь смысл ноды-то в простоте доступа к чужому хавнокоду. И чем альтернативы лучше - у них какие-то более правильные авторизации для разработчиков?

Но чем тут пихон так уж лучше - понятия не имею (глядя на ведро зависимостей, притащенное банальным hg, которые чорта с два хоть раз кто кроме их авторов вообще открывал)

Это еще не вспоминая про качество кода, которое, мнэ...

Проблеме лет двадцать - еще со времен перехода perl на версию 5, когда из милого простенького скриптоязыка для админов онли сделали очередное "зачем писать свое, в cpan давно уже лежит готовое". С тех пор все только и развивается в сторону "rapid development", когда вчерашняя версия уже немодна, и несовместима с версией чего-то еще что уже точно нужно новое.

P.S. в этом плане меня всегда искренне удивлял php. Как ни странно, его модули ухитряются почти всегда работать в весьма причудливых комбинациях. Причем крайне редко требуют новой версии чего-то того, что уже установлено год назад. Возможно, потому что язык достаточно высокоуровневый, и, действительно, всякие лефтпады каждый пишет себе сам, обращаясь к pear только когда нужно действительно что-то нетривиальное. А такое пишут нормальные кодеры.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

61. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 10:15 
> Да, не зря, раз не различаешь ноду и npm. Они связаны, но
> не единое целое. И у npm есть альтернативы, либо можно просто
> не использовать пакетный менеджер и писать/вставлять код самому.

Альтернативы npm решают только огрехи в принципе резолвинга версий зависимостей самим npm и всё равно опираются на репозитории npm. Так что в тред призывается Эскобар.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

30. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 00:22 
вспомнити npm leftpad!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от YetAnotherOnanym (ok) on 28-Июн-17, 00:53 
А что вы хотели от людей, которые возводят в ранг добродетели свою неспособность выучить больше одного языка?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –3 +/
Сообщение от Мы on 28-Июн-17, 00:57 
От тебя ничего не хотим.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

39. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 02:06 
>I will not include the full list (it won't fit here), nor will I include all the top packages

Интересно, из каких побуждений он не желает публиковать полный список? Глупая отмазка "не влезет все" не котируется - сделать список и дать на него ссылку никто не отменял.
То-бишь, я тут сломал, но всех называть не буду, пользуйтесь на здоровье!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

85. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 19:21 
Конкретных людей палить нехорошо, там же написано.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +4 +/
Сообщение от mumu (ok) on 28-Июн-17, 05:14 
Хипсторы не умеют в it безопасность
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-17, 05:46 
...сказал нехипстер, сидя из-под провайдера, хранящего его трафик минимум полгода.
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +4 +/
Сообщение от mumu (ok) on 28-Июн-17, 07:51 
И сколько полугодий потребуется провайдеру, чтобы расшифровать https рафик, м?
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

49. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –4 +/
Сообщение от rpm on 28-Июн-17, 08:19 
Нисколько. Они его и так незашифрованным хранят.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

62. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –2 +/
Сообщение от Аноним (??) on 28-Июн-17, 10:18 
> Нисколько. Они его и так незашифрованным хранят.

Дай угадаю, мало того, что ты хохол, ты ещё и на JS пишешь? Ибо с принципом работы HTTPS ты, судя по всему, не знаком.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

50. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от odity (ok) on 28-Июн-17, 08:32 
А статейка безумно полезная. Прям описание группового поведения приматов. Теперь наглядно можно видеть,как приматы разделяются и их предсказуемость
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Меломан1 on 28-Июн-17, 08:44 
> опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
> Всего удалось получить доступ к 15495 учётным записям

Да кому интересны эти результаты? По удалял бы эти акки и дело с концом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от Аноним (??) on 28-Июн-17, 10:21 
>> опубликовал результаты анализа надёжности паролей для доступа к учётным записям в репозитории NPM
>> Всего удалось получить доступ к 15495 учётным записям
> Да кому интересны эти результаты? По удалял бы эти акки и дело
> с концом.

Ты ж помнишь, что после удаления аккаунта можно посоздавать модули с такими же именами и залить туда свой код, да? Если не помнишь, google://npm+leftpad+accident

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

56. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-17, 09:07 
А без работы всё равно ты, "${username}".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +2 +/
Сообщение от qwerty_qwert1 on 28-Июн-17, 09:26 
ну теперь точно вся надежда на webassemble, придут ребята с большыми ....ками, и похоронят js.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от istepan email(ok) on 28-Июн-17, 11:37 
Один хер инициализация на JS идет. DOM опять же еще не завезли. Печально пока.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

70. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от wins proxy on 28-Июн-17, 13:26 
Всё, что надо знать о веб-разработчиках
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +1 +/
Сообщение от Аноним (??) on 28-Июн-17, 13:57 
Человеческая тупось безгранична.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

83. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Ненужно on 28-Июн-17, 17:25 
Никогда такого не было и вновь произошло
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

86. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от anomymous on 28-Июн-17, 19:31 
NPM = No Password Management
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

96. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  –1 +/
Сообщение от Аноним (??) on 28-Июн-17, 21:58 
> NPM = No Password Management

https://github.com/npm/npm-expansions/blob/master/expansions...

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

89. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 21:35 
> а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

А вот это просто неверный перевод.

И «Главная ссылка к новости» на агрегатор ссылок без описаний — это чуть-чуть странно =).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

90. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 21:38 
> 10% of users reused their leaked passwords: 9.7% — directly, and 0.6% — with very minor modifications.

Вот так в оригинале.

> а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

Вот это додумано. Перебор модификаций применялся ко всем потенциальным паролям, слинкованным с аккаунтами по утечкам, а не только к тем, которые подошли.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

91. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 21:48 
>> 10% of users reused their leaked passwords: 9.7% — directly, and 0.6% — with very minor modifications.
> а 0.6% вернули старый пароль, но внеся в него незначительное изменение;

И что здесь додумано? Ровно то, что в оригинале, "with very minor modifications" это и есть "внеся в него незначительное изменение", а про 9.7% вы кусок не процитировали.

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

93. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 21:52 
> вернули старый пароль,

Вот это додумано. 0.6% — это пользователи, у которых с другого сервиса утёк пароль вида «abcdef», а на npm они при этом использовали что-то вида «Abcdef1». Это не значит, что они использовали «abcdef» на npm и не значит что они его вернули с изменениями.

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

97. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:01 
> что-то вида «Abcdef1». Это не значит, что они использовали «abcdef»
> на npm и не значит что они его вернули с изменениями.

Логично,  но можно и так и так понять. Что именно подразумевалось под reused не уточняется в тексте. Может речь про пересечения базы npm и других баз, а может про ситуацию после сброса паролей.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

92. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 21:52 
>Перебор модификаций применялся ко всем потенциальным паролям,

Совсем нет - "reused _their_ leaked passwords"

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

95. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 21:54 
>>Перебор модификаций применялся ко всем потенциальным паролям,
> Совсем нет - "reused _their_ leaked passwords"

_their leaked passwords_

Пароли, утёкшие с других сервисов использовались на npm почти в том же виде, но с незначительными изменениями. По-моему, ок сформулировано.

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

98. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:03 
> был получен через подбор типовых паролей к сторонним серисами, таким как GitHub и Google.

Ох, ну это вообще трэш.

Там речь о том, что токены или пароли были запушены человеками на гитхаб или выложены где-то в другом месте и проиндексированы гуглом.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

99. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:05 
Вы в тесте новости смотрите, а не в левом черновике на форуме.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

100. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:06 
> Вы в тесте новости смотрите, а не в левом черновике на форуме.

В смысле?

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

103. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:12 
>> Вы в тесте новости смотрите, а не в левом черновике на форуме.
> В смысле?

Актуальный текст на https://www.opennet.ru/opennews/art.shtml?num=46768

На https://www.opennet.ru/openforum/vsluhforumID3/111590.html начальный черновик, который начали обсуждать до публикации, а поправить забыли (сейчас уже поправили).

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

104. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:16 
Ох. Спасибо, я этого не заметил.

Я сюда перешёл по ссылке «[смотреть все]» у комментария со страницы новости.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

101. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:06 
> Вы в тесте новости смотрите, а не в левом черновике на форуме.

Я как раз и жалуюсь на то, что вот этот перевод слишком левый.

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

102. "Более половины npm-пакетов могли быть скомпрометированы из-з..."  +/
Сообщение от Аноним (??) on 28-Июн-17, 22:09 
>> Вы в тесте новости смотрите, а не в левом черновике на форуме.
> Я как раз и жалуюсь на то, что вот этот перевод слишком
> левый.

Кстати, кажется, поправили. И это хорошо =).

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Ideco
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру