The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare"  +/
Сообщение от opennews (??), 17-Июл-21, 20:34 
В предоставляемой компанией Cloudflare сети доставки контента cdnjs, предназначенной для ускорения доставки JavaScript-библиотек, выявлена критическая уязвимость, позволяющая выполнить произвольный код на серверах CDN. Опасность проблемы усугубляется тем, что сервисом пользуется для загрузки JavaScript-библиотек около 12.7% всех сайтов в интернете и компрометация инфраструктуры позволяет подменить библиотеки, отдаваемые любым из этих сайтов...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=55499

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +8 +/
Сообщение от Аноним (1), 17-Июл-21, 20:34 
А сколько таких прошло незамеченно?
Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +11 +/
Сообщение от Аноним (-), 17-Июл-21, 21:47 
Дофига. Если кто нанял хипстеров в фирму - он и получает то что получает. Вебня вообще штука весьма дырявая. Хипстеры поди и не знали что так можно было. Хотя этому багу лет 30 если не больше.
Ответить | Правка | Наверх | Cообщить модератору

72. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Слышь васян (?), 18-Июл-21, 10:04 
Да ты и есть этот хипстер(понахватались словечек и суют куда ни попадя, дебилы). Давай расскажи нам тут как ты идеально говнокодишь без багов и уязвимостей🤣
Ответить | Правка | Наверх | Cообщить модератору

98. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Аноним (98), 18-Июл-21, 13:09 
Он только комменты писать умеет, и то пока каникулы не закончились.
Ответить | Правка | Наверх | Cообщить модератору

99. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (98), 18-Июл-21, 13:10 
Только дырявой оказалась не вебня, но ты текст новости не читай, ты сразу комменть!
Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

33. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +19 +/
Сообщение от Аноним (-), 17-Июл-21, 22:01 
У меня половина сайтов вообще не открывается. Идет вечная "Проверка браузера". Пробую другие браузеры - то же самое. Галимый клаудфлейр не дает пользоваться интернетом!
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

36. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +20 +/
Сообщение от Аноним (-), 17-Июл-21, 22:16 
Идет проверка браузера на количество мегахэшей в секунду, не закрывайте вкладку...
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Аноним (-), 17-Июл-21, 22:17 
А сколько она идет? Иногда жду минуту, две, три... И что?
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от Аноним (43), 17-Июл-21, 22:45 
Если это браузер TOR, то будете ждать долго.
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +4 +/
Сообщение от Аноньимъ (ok), 17-Июл-21, 23:25 
У меня без всяких торов эта проверка зависает от секунд до бесконечности.
Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (-), 18-Июл-21, 00:03 
> А сколько она идет? Иногда жду минуту, две, три... И что?

А сколько электричества не жалко - столько и майни, нелох :). Может хакеры натурально доперли майнеры под клаудспайварь маскировать, не? :)

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

67. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Lex (??), 18-Июл-21, 05:48 
При долгом ожидании, можно зайти на главную страницу гуглового поисковика.

Прямой закономерности не знаю, но, обычно, если клаудфаер отваливается, гугловый поисковик начинает запрашивать капчу, ругаясь на «множество подозрительных запросов с этого айпи», после прохождения которой, и клаудфаер волшебным образом включается

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

79. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (79), 18-Июл-21, 10:27 
Это происходит когда анальный зонд не работает из-за ublock origin/umatrix. Тогда типа подозрительно станоаится, что у тебя из задницы не торчит ничего. Это как зайти на мобильную версию почты рамблера, и сразу "подозрительная активность, надо бы привязать почту к номеру телеыона". Лечится полноценной версией сайта.
Ответить | Правка | Наверх | Cообщить модератору

81. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Lex (??), 18-Июл-21, 10:38 
Нередко не в этом дело. Имеется немало "ферм", состоящих из сборок кучи мобильных модемов( с симками ) + какое-то управление скриптами.
Задачи они выполняют разные, будь то "прокачка" нужных поисковых запросов и ответов на них, цирк с капчами, обшаривание нужных сайтов для скачивания их содержимого итд..

Но гугель и порч быстро раскусывают подобное и требуют ввести капчу для продолжения веселья, после чего.. модем автоматом перезапускают( по содержимому ответа легко понять, все ок или спалились ) - он получает новый айпи, на котором все повторяется..

А "паленый" айпи достается кому-то другому из абонентов провайдера.. и, при попытке зайти на поиск гугла или любой сайт, где есть какой-нибудь к.ф. - с них, как с тех самых ботов, или требуют ввода капчи или обрезают доступ( при заходе на третьи сайты, где подключен к.ф., он тупо не переедает никакие ресурсы подобному пользователю и страница выглядит "сломавшейся" или зависшей ).

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от пох. (?), 18-Июл-21, 10:46 
> Нередко не в этом дело. Имеется немало "ферм", состоящих из сборок кучи мобильных модемов( с
> симками )

с этого места, пожалуйста, поподробнее?
Откуда у этих м-ков деньги на симки и модемы? При массовом использовании - удовольствие, вроде, недешевое?

Ответить | Правка | Наверх | Cообщить модератору

102. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Lex (??), 18-Июл-21, 13:40 
т.н веб-скрэпинг, еще и жирного сайта с энными защитами едва ли стоит по 1 руб  20 коп / шт

Модем сейчас.. полтинник-сотня рублей на авито. Этого барахла( 3/4 джЫ ) сейчас полным-полно, как и подержанных телефонов, которые толком и не нужны никому.
Симки - тем более. Никто никому не запрещает использовать тырнет по своему усмотрению, если это не касается терроризма итд, а то, что как-то охре.фигевшей конторе кажется какая-то деятельность подозрительной - так это другая история. Учитывая нынешние тарифы - денег на подобное хватит даже у Васи, который работает грузчиком.

Несколько секунд/минут поместили нужный сайт, завалив тоннами запросов и попав в бан - переподключились и, с новыми айпишниками, продолжили с того же места, на котором остановились и так до бесконечности.

На ресурсах типа хренабра даже повествования на этот счет были, только от лица тех, кто этим и занимается( руки оторвать го.внюкам за это - что фактически сваливают бан на отдельных ресурсах на третьих лиц, занимаясь коммерческой деятельностью ).

Ответить | Правка | Наверх | Cообщить модератору

104. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от пох. (?), 18-Июл-21, 13:46 
ну а скока он может стоить-то?

> Модем сейчас.. полтинник-сотня рублей на авито.

ну, если только совсем барахло. Мои на порядок дороже - причем они тоже виснут, могу представить как работают те что за полтинник. Это ж как позатрахаться-то надо?

Симки либо по паспорту либо 200 ржублей вынь да положь. Потом еще 600 за интернеты, иначе за пять секунд все выжрет в ноль.

> Учитывая нынешние тарифы - денег на подобное хватит даже у Васи, который работает грузчиком.

нууу хз что он грузит. Таможенные броневики видел? Думаю, у этого Васи да, хватит, но ему не надо.

А тут как-то не очень просто и дешево выходит, им же ж нужно не один экземпляр, а сотню.

Ответить | Правка | Наверх | Cообщить модератору

108. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Lex (??), 18-Июл-21, 14:05 
Ты меня в чем пытаешь убедить ?
-В том, что "скачивание" веб-реусрсов - это деятельность исключительно себе в убыток, притом, серьёзный ? [ложь]
-В том, что это невозможно никому чисто физически и делать этого никто не может ? [ложь]
-В том, что у тебя гов.но а не качество связи ? [очень возможно, но к теме это не относится и эти проблемы меня не беспокоят]

600 р - это безлимит на месяц кагбэ..
Сотня безлимитов.. при норм качестве связи и средней скорости в 1,5 мб / с, один 4Г модем( или телефон с с 4Г ) за сутки тянет из сети 2,5*60*60*24 / 1024 = ~125 Гб / сут.. или 125 * 30 / 1024 = ~3,5 Тб / мес. Неплохо для 600р, "васи" и "сайта", на "скачивание" которого даже 1 тыс руб бюджета - уже многовато ?)

Для сотни устройств, речь о 125 * 100 / 1024 = ~ 12 Тб / сут и 125*100*30 / 1024 = ~366 Тб / мес
ТРИСТА ШЕСТЬДЕСЯТ ТЕРАБАЙТ В МЕСЯЦ
Это уже нифига не уровень "васи", для которого и шестьсот рублей - много )
Ему тупо не хватит денег на хранение и обработку такого потока данных

Ответить | Правка | Наверх | Cообщить модератору

111. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Lex (??), 18-Июл-21, 14:12 
> 2,5*60*60*24 / 1024
> 1,5*60*60*24 / 1024 конечно же. Изначально считал по 2,5, но подобная средняя скорость для мобильного интернета - нечастое явление. Забыл в формуле поправить )
Ответить | Правка | Наверх | Cообщить модератору

117. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от пох. (?), 18-Июл-21, 15:07 
> Ты меня в чем пытаешь убедить ?

разьве что в том, что, вероятно, этот бизнес как-то поинтереснее устроен. А значит, возможно и наблюдаемые явления объясняются еще каким-то способом. Ну либо услышать какие-то мелкие детали в подтверждение гипотезы.

> 600 р - это безлимит на месяц кагбэ..

ну, так на два дня не продадут. Поэтому сотня уже не так чтоб бесплатна.

> Сотня безлимитов.. при норм качестве связи и средней скорости в 1,5 мб

тут, кстати, тоже интересно - а может ли базовая станция в 800 мегабит в нашей реальности.

> Ему тупо не хватит денег на хранение и обработку такого потока данных

ну так тут вопрос - а если ему хватит, нафига все это было делать и не купить вместо этого пару 10G портов в Селектеле?

Ответить | Правка | К родителю #108 | Наверх | Cообщить модератору

119. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от n00by (ok), 18-Июл-21, 15:27 
>> Ты меня в чем пытаешь убедить ?
> разьве что в том, что, вероятно, этот бизнес как-то поинтереснее устроен. А
> значит, возможно и наблюдаемые явления объясняются еще каким-то способом. Ну либо
> услышать какие-то мелкие детали в подтверждение гипотезы.

Так и на проводных сетях IP попадают в ЧС Спамхаусов и т.п. Но там вроде не закупают железо "фермами", просто дают скачать интересное кино без регистраций и СМС. А "кину" не важно, проводной провайдер или мобильный. Да и смартфон можно принять в бот-нет, что за дискриминация? Там по 8 ядер уже.

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (79), 18-Июл-21, 12:49 
Наивный сельский юноша, вам бы поменьше верить всему что пишут сайты вываливающие несуществующий предлог. В суде они не доказали, что была какая-то подозрительная активность с этого адреса. Они по факту если не видят анальный зонд действуют по принципу "все что без анального зонда - подозрительная активность".
Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

105. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Lex (??), 18-Июл-21, 13:46 
У сеньора проблемы с пониманием написанного ?
Кто-то с кого-то трясет штраф или садит в тюрьму ? Хотя, будь [у меня] лишние деньги на юристов, можно было бы славно посудиться из-за слишком субъективных ограничений доступа по невнятным причинам ибо едва ли это полностью законно - ограничивать кому-то доступ к общедоступной информации и службам.

Речь про случай, когда ничего не отключалось, в т.ч жс. Используется один и тот же браузер типа хрома/огнелиса/сафари итд.
Примерно один раз из двадцати, имеет место блокировка со стороны к.ф. и гугла. Тогда целая куча сайтов( вплоть до хренабра ) грузится кое-как и выглядят откровенно ушатанными. Один раз из ста - со стороны яндекса.
И решается она, в первом случае, прохождением гугловой капчи на гугловой же странице.

Ответить | Правка | Наверх | Cообщить модератору

112. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (79), 18-Июл-21, 14:12 
Вряд ли можно что-то сделать с этим, ибо свободный доступ к информации не работает даже на опеннете, где модераторы скрывают или удаляют неугодный контент, который прошел цензуру даже. Вряд ли кто заставит гугл отменить существование капчи. Это же фанатиками обосновывается как необходимая безопасность. Вот вам и ИИ в действии. Вместо блокировки ботов цепляются ко всем людям. Клаудфлар лезет часто там, где хоть какая-то информация есть в виде элементарных руководств на инглише. И это не раз из 20, а всегда. Хорошо бы нагнули хакеры их по полной.
Ответить | Правка | Наверх | Cообщить модератору

121. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноньимъ (ok), 18-Июл-21, 16:09 
У меня статический ipv4 и подсеть ipv6.

Никто другой моими ойпи не пользуется. Тем не менее проверка браузера тупит, а на некоторые сайты не пускает.

Ответить | Правка | К родителю #81 | Наверх | Cообщить модератору

126. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Анонъимь (?), 18-Июл-21, 17:58 
- А может какая-то из железок моей сети в ботнете участвует?
- Да не, бред какой-то.
Ответить | Правка | Наверх | Cообщить модератору

147. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноньимъ (ok), 18-Июл-21, 23:21 
Очень маловероятно.

Скорее всего эта чудоклаудфара помечает целые подсети. Или вообще по регионам.

Ответить | Правка | Наверх | Cообщить модератору

204. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Знаток (?), 23-Июл-21, 18:39 
Клаудфара помечает антипрививочников, гомофобов и трампистов. инфа 100%
Ответить | Правка | Наверх | Cообщить модератору

46. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Оно ним (?), 17-Июл-21, 23:07 
А ты попробуй впн с выходной точкой не в России - увидишь большую разницу.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

2. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от макпыф (ok), 17-Июл-21, 20:43 
>  Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.

А возможно и смог

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –5 +/
Сообщение от pashev.me (?), 17-Июл-21, 20:44 
Мыши плакали, кололись, но продолжали жрать кактусы.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Sw00p aka Jerom (?), 17-Июл-21, 20:46 
девопсяти на лицо, давайка я втоматизирую.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –3 +/
Сообщение от анонимас (?), 17-Июл-21, 20:59 
а как тогда по твоему лучше, по старинке rsync'ом в баш скриптике да по крончику ?
Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Sw00p aka Jerom (?), 17-Июл-21, 21:43 
а баш зачем тут, если можно сразу в крон команду пихнуть? просто CF решил, давайка облегчим труд и так загруженных девопсят. В гитхад не поленился запушил, в нпм не поленился запушил, что в CF лень было пушить? CF просто в последнее время слишком на себя берет, вот и плата. Пусть продолжают в том же духе.
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (-), 17-Июл-21, 21:48 
Во всяком случае, при этом сайт не окажеся ВНЕЗАПНО взломан, да еще по причине "клаудспайварь взломали".
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

74. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Слышь васян (?), 18-Июл-21, 10:08 
Не ври. Ломали вас говнокодеров и без клаудфлари 🤣
Ответить | Правка | Наверх | Cообщить модератору

201. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от PnD (??), 20-Июл-21, 11:42 
Какой ещё крон у девопсов?!
systemd.timer нужен, не меньше! </sarcasm>
Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

20. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –3 +/
Сообщение от пох. (?), 17-Июл-21, 21:44 
GITHUB_REPO_API_KEY и WORKERS_KV_API_TOKEN. В первой переменной хранился ключ к API для доступа с правом записи в репозиторий robocdnjs на GitHub. Во второй переменной хранился токен к хранилищу KV в cdnjs.

Инфраструктурка аз эээ kokokokoде!

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

26. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Аноним (-), 17-Июл-21, 21:49 
А потом некоторые *даки обижаются когда их тыкают носом что мешать код с данными моветон.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +4 +/
Сообщение от kissmyass (?), 17-Июл-21, 21:02 
в такие моменты я прям улыбаюсь, когда вспоминаю, как каленым железом выжигал ссылки на CDN и бандлил JS вместе с приложением
Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от YetAnotherOnanym (ok), 17-Июл-21, 21:41 
Фи, какой ты немодный.
Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Sw00p aka Jerom (?), 17-Июл-21, 21:45 
бармен, смузи этому джентельмену за счет заведения :)
Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (-), 17-Июл-21, 21:49 
Дедлок твоему гироскутеру в фирмварь!
Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от InuYasha (??), 17-Июл-21, 22:25 
Эфирного масла рафлезии в ваш вейп! )
Ответить | Правка | Наверх | Cообщить модератору

66. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (66), 18-Июл-21, 05:09 
Не бармен, а барист, попрошу!
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

50. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +8 +/
Сообщение от Аноним (50), 17-Июл-21, 23:37 
>> Фи, какой ты немодный

Дожили, стало комплиментом

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

110. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Анон123амм (?), 18-Июл-21, 14:11 
ты бумер штoле?
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

149. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Гентушник (ok), 19-Июл-21, 01:58 
Бум-бум-бум, бу-бу-бу-бу-бумер!
Ответить | Правка | Наверх | Cообщить модератору

171. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (171), 19-Июл-21, 11:46 
На cdnjs тэг script дается с атрибутом integrity (нет в старом IE и нет в iOS <11.3), в котором хэш SHA2-512. А также referrerpolicy="no-referrer" (нет в Edge <79 и нет в iOS <14). И crossorigin="anonymous", дабы куки не посылались. Но да, если нет fallback и файлы бы поменяли, то сайт бы перестал работать из-за несовпадения хэшей.
Чужие CDN могут падать (тогда загрузка сайта временно застывает даже при fallback) и быть забанены РКН, поэтому не знаю зачем CDN для обязательных файлов (js, css, лого, фон). Разве что бесплатные хостинги с маленьким трафиком (100—500 МБ).
Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

9. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (9), 17-Июл-21, 21:09 
А сейчас представьте, сколько неизвестных уязвимостей эксплуатируется в данный момент... 🤔
Ответить | Правка | Наверх | Cообщить модератору

90. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –4 +/
Сообщение от Нанобот (ok), 18-Июл-21, 12:25 
Как страшно жить😱
Ответить | Правка | Наверх | Cообщить модератору

190. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Led (ok), 19-Июл-21, 14:39 
Надеюсь, ты правильный вывод для себя сделаешь из своего заключения.
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +21 +/
Сообщение от th3m3 (ok), 17-Июл-21, 21:14 
JS - ненужен. Сайты которые не используют js или минимально - летают как ракета по сравнению в остальными. Это деградация веба в чистом виде.
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –3 +/
Сообщение от нах.. (?), 17-Июл-21, 22:28 
Тссссс, тихо, хомяк рогатый хочет только жевать что дали да почавкивать.
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (79), 17-Июл-21, 22:47 
Он нужен банкам для нарушения анонимности и определения оборудования, айпи адреса и установления личности, о чем они открыто и пишут. Больше ни за чем жопоскрипт ненужен.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

135. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от СеменСеменыч777 (?), 18-Июл-21, 20:37 
> установления личности

чего бххх ? правильный логин + правильный пароль + правильные ключи (приватный + публичный + сертификат публичного) = личность установлена. все остальное - муть, гадание на кофейной гуще, эвристический скоринг с плавающими от -бесконечность до +бесконечность весами.
таково мое скромное мнение.

Ответить | Правка | Наверх | Cообщить модератору

165. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Анонимemail (165), 19-Июл-21, 11:06 
Для выявления IP адреса нафиг не нужен js
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

172. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Анончик (?), 19-Июл-21, 12:25 
Зачем ты ему об этом говоришь, он теперь как спать то будет?
Ответить | Правка | Наверх | Cообщить модератору

180. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от abi (?), 19-Июл-21, 13:12 
Простите конечно, но мы не по своей инициативе, нас ЦБ наставляет
Ответить | Правка | К родителю #45 | Наверх | Cообщить модератору

68. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Lex (??), 18-Июл-21, 05:51 
Но ведь.. проблема в распаковщике архивов на го
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

88. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Аноним (88), 18-Июл-21, 11:01 
Он действительно потерял смысл. Один большой мега-костыль на костыле. Бандлят скрипты в несколько мегабайт, это дело всё грузится только через 5G или локалке. И зачем читаемый скрипт, если там уже давно нечеловечий текст из-за вебпаков, минимайзеров, костыль TypeScript компилится в JS. Тогда уж лучше WASM, но и тут подстава, он без JS-костылей не работает. Пакеты и фреймворки сегодня живут, завтра уже нет, либо если не обновишься, то вообще собрать не сможешь, если хоть что-то посвежее.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

118. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (118), 18-Июл-21, 15:15 
а как ты предлагаешь кормить миллионы вебмакак ? отправить их на трубопрокатный завод вкалывать?
Ответить | Правка | Наверх | Cообщить модератору

120. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от kissmyass (?), 18-Июл-21, 15:46 
> а как ты предлагаешь кормить миллионы вебмакак ? отправить их на трубопрокатный
> завод вкалывать?

как-будто это кого-то останавливало, была бы возможность - давно бы отправили

Ответить | Правка | Наверх | Cообщить модератору

123. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от пох. (?), 18-Июл-21, 17:05 
из них труб не понаделать, так себе матерьял. Кроме как на мыло макаку вообще ни к какому делу приспособить нельзя. Ну, вон, еще, можно вирусы новые в них разводить.

Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

160. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от 1 (??), 19-Июл-21, 09:20 
"Гвозди бы делать из этих людей !" (с)
Ответить | Правка | К родителю #118 | Наверх | Cообщить модератору

191. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Led (ok), 19-Июл-21, 14:41 
Из г-на - гвозди? Оригинально...
Ответить | Правка | Наверх | Cообщить модератору

132. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Ананимас123 (?), 18-Июл-21, 19:00 
Сейчас смотрю в какую сторону цсс и волосы шевелятся не только на голове, какие-то анимации, циклы.
Скоро из-за него еще отсыпят тормозов.
Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

11. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –4 +/
Сообщение от Аноним (11), 17-Июл-21, 21:17 
не проходите мимо!!! хе хех е
кто-нибудь знает, почему у меня часто блокируется учетная запись при блокировке в plasma?? бесконечные круги из 10 минутных блокировок.
использую gdm, ctrl+alt+Fn, wayland.
кстати говоря, падает, за счёт виджетов.
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (11), 17-Июл-21, 21:18 
опечатка "при работе в plasma_session"
пользователи разные а трудность одна и та же.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –4 +/
Сообщение от Аноним (11), 17-Июл-21, 21:20 
кстати говоря, arch.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

55. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (-), 18-Июл-21, 00:13 
Казалось бы, при чем тут CDNJS? И не стремно что ответы будут под стать вопросу? Т.е. очередной патч Бармина.
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от дядя Пэдро (?), 18-Июл-21, 00:50 
деньги за интернет уплочены.
чё тебе еще надо?
Ответить | Правка | Наверх | Cообщить модератору

192. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Led (ok), 19-Июл-21, 14:42 
> кстати говоря, arch.

Скорей бы уже 1-е сентября...

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

31. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (11), 17-Июл-21, 21:57 
вот что нарыл

username : user NOT in sudoers ; PWD=/home/username ; USER=root ; COMMAND=/usr/share/plasma/plasmoids/gr.ictpro.jsalatas.plasma.pstate/contents/code/set_prefs.sh -read-all

и собственно почему пользователю без sudo предлагают ввести пароль для оного? как это заблокиовать изначально, т.е. до самого запроса мгновенным отказом в вводе оного. sudoers править?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

158. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (158), 19-Июл-21, 08:46 
> и собственно почему пользователю без sudo предлагают ввести пароль для оного?

сначала понаставят всякого не глядя, а потом вопросы задают. Ридми для виджета не осилил?

> The widget uses a shell script that needs to be run as root user (sudo) and which apparently floods your log files with security related messages as described in issue #16.

Ответить | Правка | Наверх | Cообщить модератору

87. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –3 +/
Сообщение от Аноним (88), 18-Июл-21, 10:53 
7 лет сидел на плазме, всё было хорошо. Два года не сидел. Щаз присматриваю обратно, они вообще всё портят, федора KDE не выключается, всё как-то с задержкой открывается, вяленый-не вяленый, падать стало больше, особенно, если быстро кликать. Чего-то качает с инета постоянно.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

14. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (14), 17-Июл-21, 21:27 
> выявлена критическая уязвимость
> осуществляет загрузку пакетов из Git или репозитория NPM

ЧТД

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от пох. (?), 17-Июл-21, 21:49 
доступ с production серверов на ЗАПИСЬ в шитхаб и все ключики от всего удобно сложенные кучкой там же - тоже git с npm виноваты?
Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +5 +/
Сообщение от Аноним (-), 17-Июл-21, 21:51 
Если уж хипстер - то во всем.
Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Аноним (15), 17-Июл-21, 21:41 
Обожаю баги использующие работу с символическими ссылками. Это та вещь, которая автоматически создаёт тебе уязвимость, если только ты специально не обработал и не закрыл эту дыру. Т.е. оно уязвимо по-умолчанию и приходится прилагать дополнительные усилия, чтобы сделать всё секьюрно.
Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (39), 17-Июл-21, 22:21 
Точно такая же дыра (с перезаписью файлов вне текущего каталога при распаковке архивов) была лет 10 назад при обработке вакансий в фейсбук. Годы идут, новые поколения подрастают, баги не меняются.
Ответить | Правка | Наверх | Cообщить модератору

60. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (60), 18-Июл-21, 00:19 
> Годы идут, новые поколения подрастают, баги не меняются.

Поколения растаманов: "Зачем думать, система позаботится обо мне!".

Ответить | Правка | Наверх | Cообщить модератору

95. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (-), 18-Июл-21, 12:52 
>> Годы идут, новые поколения подрастают, баги не меняются.
> Поколения растаманов: "Зачем думать, система позаботится обо мне!".

То ли дело поколения опеннетных расто-подгорельцев, бдительно выискивающих и разоблачаюзиъ происки "растаманов" …

Ответить | Правка | Наверх | Cообщить модератору

163. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (163), 19-Июл-21, 10:42 
Забавно что рустик даже не пытается начать думать. И все равно будет писать на «системном» языке как на джаваскрипте. Но виноваты конечно же хейтеры, а не сами рустики.
Ответить | Правка | Наверх | Cообщить модератору

166. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Анонимemail (165), 19-Июл-21, 11:08 
Неужели так сложно ограничить пользователя в правах, чтобы из под него нельзя было лезть и писать туда, куда лезть и писать ему не надо?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

58. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Аноним (-), 18-Июл-21, 00:17 
Баги с ../../../ стары как мир. И ведут к почти 100% уязвимости если специально не заткнуть. Более того. Если софт можно спровоцировать на шарахание по ФС без ограничений - у меня для вас очень плохие новости: кто-то уже бубнит "all your base are belongs to us". А может быть, они уже давно у вас. Потому что это стандартный тест для любого кулхацкерского барахла много лет.
Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

17. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (15), 17-Июл-21, 21:41 
Ну хотя б postinstall скрипты не зовут из npm пакетов. И на том спасибо.
Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +4 +/
Сообщение от YetAnotherOnanym (ok), 17-Июл-21, 21:44 
А вспомнить как клаудфлара щёки надувала - мы вас от всего защитим, от взлома, от доса, переходите к нам, бебебебебе...
Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от пох. (?), 17-Июл-21, 21:46 
ну вот и защитила - клаудшмару-то ломануть поинтереснее, чем твой васян-сайт. До него, глядишь, дело так и не дойдет вообще.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Аноним (-), 17-Июл-21, 21:57 
Благодаря клаудспайвари, вот, и до васян сайтов дошло. Одно дело ломать миллион васянов - и другое всем им с CDN вгрузить им всем крупным оптом.
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (9), 17-Июл-21, 21:47 
Помимо этого у них проблемы со стабильностью. Часто можно просто потерять соединение.
Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

32. Скрыто модератором  –2 +/
Сообщение от Аноним (-), 17-Июл-21, 22:01 
Ответить | Правка | Наверх | Cообщить модератору

34. Скрыто модератором  +1 +/
Сообщение от Аноним (-), 17-Июл-21, 22:04 
Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Онаним (?), 17-Июл-21, 22:08 
Муахах, два смузи всем любителям тянуть сотни лефтпадов.
Остальным - задуматься.
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от anonymous (??), 17-Июл-21, 23:35 
Я всё не могу понять, чего всем тут так не нравится в смузи? Например пробовали кививый смузи в Шоколадцице? Вкусная штука же.
Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Аноним (60), 18-Июл-21, 00:15 
Настоящие айтишники бухают в пивнушках, а не слоняются по шоколадницам.
Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от kissmyass (?), 18-Июл-21, 00:42 
> Настоящие айтишники бухают в пивнушках, а не слоняются по шоколадницам.

это сисадмины пивасик, а программеры жрут вискарь, если здоровье позволяет ))

Ответить | Правка | Наверх | Cообщить модератору

69. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Lex (??), 18-Июл-21, 05:55 
Вискарь для начинающих
Воистину продвинутые предпочитают коньяк
Ответить | Правка | Наверх | Cообщить модератору

156. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от ыы (?), 19-Июл-21, 08:12 
А просветленное совершенство- ведет здоровый образ жизни... делает зарядку, катается на гироскутерах, кушает сму.. ах да.. с этого и начали... :)
Ответить | Правка | Наверх | Cообщить модератору

203. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Онаним (?), 20-Июл-21, 22:03 
Но на выходе у них получается cdnjs и лефтпады.
Ответить | Правка | Наверх | Cообщить модератору

92. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от anonymous (??), 18-Июл-21, 12:38 
То есть вы думаете, что люди не потребляющих алкоголь не могут быть хорошими инженерами?
Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

106. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от пох. (?), 18-Июл-21, 13:47 
> То есть вы думаете, что люди не потребляющих алкоголь не могут быть
> хорошими инженерами?

конечно, как бы они на инженера-то выучились?

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Аноним (-), 18-Июл-21, 00:18 
> Я всё не могу понять, чего всем тут так не нравится в смузи?

Пожиратели оного на гироскутерах.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

93. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от anonymous (??), 18-Июл-21, 12:40 
Ну так и говорите про водителей гироскутеров, а не про смузи. Мне вот нравятся некоторые смузи. И никогда не понимал эти претензии в мою сторону лишь за то, что я изредка пью смузи.
Ответить | Правка | Наверх | Cообщить модератору

71. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (15), 18-Июл-21, 08:31 
Нам не нравится смузи потому что это дорого. А мы бедные программисты едим дошик и пельмени.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

116. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (116), 18-Июл-21, 14:59 
Сначала смузи в шоколаднице, потом js... потом задний привод?
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

144. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (144), 18-Июл-21, 22:36 
Сначала смузи в шоколаднице, потом не совсем смузи и не в совсем шоколаднице.
Ответить | Правка | Наверх | Cообщить модератору

194. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Led (ok), 19-Июл-21, 14:47 
>Сначала смузи в шоколаднице, потом js... потом задний привод?

"Смузи в шоколаднице" - это и есть задний привод.

Ответить | Правка | К родителю #116 | Наверх | Cообщить модератору

137. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от СеменСеменыч777 (?), 18-Июл-21, 20:46 
> чего всем тут так не нравится в смузи?

смузи-уюзи. я посмотрел на ru.wikipedia.org/wiki/Смузи - это обычный КИСЕЛЬ !
(ладно, необычный, с фантазией и креативом).
и вот еще хорошая цитата: "Себестоимость производства смузи в США составляет 10—15 центов, а цена продажи 2,5—4,5 доллара". т.е. киселехлебы, упротребляющие кем-то сделанный напиток - еще и лохи.

Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

146. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от ыы (?), 18-Июл-21, 22:54 
Ну какой же это кисель?
В смузи разве есть агар-агар? Его разве варят?

"
Сму́зи (от англ. smoothie, происходящего из англ. smooth — «однородный, мягкий, приятный») — густой напиток в виде смешанных в блендере или миксере ягод, фруктов или овощей (обычно одного вида) с возможным добавлением молока, сока, льда, мороженого и т. д.
"

Это не кисель, это детский фруктовый йогурт.

Ответить | Правка | Наверх | Cообщить модератору

150. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от n00by (ok), 19-Июл-21, 05:46 
Йогурт кисломолочный продукт же. А выше описано "пюре разбодяженное".
Ответить | Правка | Наверх | Cообщить модератору

170. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от anonymous (??), 19-Июл-21, 11:28 
Если разбодяженное, то это не смузи. Смузи делается и цельных продуктов и подаётся сразу (свежим).
Ответить | Правка | Наверх | Cообщить модератору

173. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от n00by (ok), 19-Июл-21, 12:34 
> Если разбодяженное, то это не смузи. Смузи делается и цельных продуктов и
> подаётся сразу (свежим).

Вам следует это писать в ответ на то сообщение, на которое отвечал я:

"с возможным добавлением молока, сока, льда"

Лёд это вода.

Ответить | Правка | Наверх | Cообщить модератору

169. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от anonymous (??), 19-Июл-21, 11:26 
Йогурт -- это продукт работы бактерий. А тут всё свежее.
Ответить | Правка | К родителю #146 | Наверх | Cообщить модератору

189. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от n00by (ok), 19-Июл-21, 13:45 
А кефир, яйцо и банан - это смузи?
Ответить | Правка | Наверх | Cообщить модератору

167. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –4 +/
Сообщение от anonymous (??), 19-Июл-21, 11:25 
Я пил много киселя и некоторое количество смузи -- вообще разные вещи.
Ответить | Правка | К родителю #137 | Наверх | Cообщить модератору

195. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Led (ok), 19-Июл-21, 14:49 
>Я пил много киселя

И в шоколадницу заливал? не слиплось?

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (65), 18-Июл-21, 04:14 
Облажалась либа Go, а задуматься про js? И где логика?
Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

80. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Онаним (?), 18-Июл-21, 10:28 
В конечном итоге при любых дырах в говнорепозитариях "облажаются" бездумно тянущие лефтпады.
Поэтому тут не особо важно, го, жс, или что там ещё прочее хипстерское.
Ответить | Правка | Наверх | Cообщить модератору

86. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от пох. (?), 18-Июл-21, 10:53 
тут даже не дыра - технологическое отверстие. Его затыкать никто и не собирался.

Ответить | Правка | Наверх | Cообщить модератору

85. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от пох. (?), 18-Июл-21, 10:52 
действительно, ведь npm совершенно не виноват в том, что не проверяет, что в его репо пихают - то ли зип-бомбу, то ли вот архивчик с ../../.. - да и зачем, со смузи зайдет.

Ответить | Правка | К родителю #65 | Наверх | Cообщить модератору

97. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от anonymous (??), 18-Июл-21, 13:08 
Вот та ситуация, где по сути правильно написано, а по форме зачем-то претензии к смузи. И не понятно ставить плюс или минус :)
Ответить | Правка | Наверх | Cообщить модератору

101. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от n00by (ok), 18-Июл-21, 13:31 
"Смузи" тут пишут в тех случаях, когда я пишу "Rosa Tresh", а тащ. майор говорит [вырезано цензурой]. Не обязательно всё принимать на свой счёт.
Ответить | Правка | Наверх | Cообщить модератору

107. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Онаним (?), 18-Июл-21, 13:58 
Смузи вместо вазелина.
Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

38. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от InuYasha (??), 17-Июл-21, 22:19 
> Эксперименты с демонстрацией взлома cdnjs для получения премии

Как я и писал три новости назад, это тот случай когда великая возможность нагнуть корпорацию зла просрана ради возможной денежной подачки и тешения ЧСВ среди нерд..технических специалистов?

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –4 +/
Сообщение от Аноним (44), 17-Июл-21, 22:46 
В тюрьме таких мамкиных революционеров очень любят. Поэтому кто поумнее, тот сразу выбирает деньги. Но ты всегда можешь выбрать приз, в анализ безопасности только научись сначала. И очко разработай.
Ответить | Правка | Наверх | Cообщить модератору

51. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –3 +/
Сообщение от пох. (?), 17-Июл-21, 23:42 
А че копрорация? Отряхнет брызги под хвостом и дальше пошлепает. Кумара какого может депремирует.

А у тебя да, могут выйти _проблемы_. Так что если чего такое нашел - бери деньгами, не раздумывай!

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

48. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноньимъ (ok), 17-Июл-21, 23:28 
Эта клаудфара помойный вымогатель.

Их защита задолбала вечно "проверять " браузер.

Кроме того последнее время эта нечистая гадость стала блокировать меня на некоторых зарубежных сайтах, мол - "вы заблокированы, код инцидента такой-то с претензиями можете идти в ****"

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (60), 18-Июл-21, 00:13 
> Их защита задолбала вечно "проверять " браузер.

Суть "проверки" - заставить тебя включить скрипты.

Ответить | Правка | Наверх | Cообщить модератору

82. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от пох. (?), 18-Июл-21, 10:41 
с недостаточно модным браузером это уже не помогает. Нужны модные скрипты.

Ответить | Правка | Наверх | Cообщить модератору

96. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от InuYasha (??), 18-Июл-21, 12:59 
Даже достаточно модный User Agent уже недостаточен :(

Если раньше давали решить капчу на слух, то теперь - только палить велосипедистов и номера домов.

Ответить | Правка | Наверх | Cообщить модератору

103. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от пох. (?), 18-Июл-21, 13:41 
> Если раньше давали решить капчу на слух, то теперь - только палить
> велосипедистов и номера домов.

это мы немножко о другом - никакая капча не вылазит, просто вместо сайта - "клаудшмара обнюхивает твой браузер". Вечно. При этом еще и пожирая 100% cpu.

Полагаю, ей нужен последний хромоног, ни на чем больше чудо-скрипты не тестируют вообще.

Ответить | Правка | Наверх | Cообщить модератору

176. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от InuYasha (??), 19-Июл-21, 12:52 
> При этом еще и пожирая 100% cpu.
> и пожирая 100% cpu.
> пожирая 100% cpu.

(0_0)
*шок*
Да они ж ещё и майнят!

Ответить | Правка | Наверх | Cообщить модератору

187. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от пох. (?), 19-Июл-21, 13:39 
да вот самое глупое как раз в том, что даже и не майнят. Просто такие вот т-пые. Именно в том случае, когда полезли что-то там обнюхивать именно потому что браузер не совсем типичный - конечно же ж надо использовать последние вебмакачьи выcepы, и ни разу не проверять их с немодными браузерами.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от Аноним (-), 18-Июл-21, 00:11 
Cloudflare жулики, не дают нормально просматривать сайты!
Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (-), 18-Июл-21, 00:21 
Они еще SSL бампают, если ты не заметил. Сама возможность воткнуть тебе эту проверку обеспечена тем что очень умный админ вгрузил ключи клаудспайвари. Та на своей стороне снимает SLL, видит траф, может претендовать что они ваш сервер и есть, а заодно, вот может плашку врезать. Или что угодно еще. Итого - MITM чистой воды. И тому кто юзает клаудспайварь с https следует плевать в лицо за на...лово.
Ответить | Правка | Наверх | Cообщить модератору

64. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Sw00p aka Jerom (?), 18-Июл-21, 01:38 
> Итого - MITM чистой воды. И тому кто юзает клаудспайварь с https следует плевать в лицо за на...лово.

ну да терминируют, нет резона им прозрачно проксировать ваш трафик, и могут ссылаться на то, что - "а как мы вас будем защищать WAF-ом".


Ответить | Правка | Наверх | Cообщить модератору

145. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от th3m3 (ok), 18-Июл-21, 22:48 
> Cloudflare жулики, не дают нормально просматривать сайты!

Это зависит от настроек владельца сайта. Там можно выставить минимальный уровень этой фигни, тогда никакой капчи и проверок.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

70. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от КО (?), 18-Июл-21, 06:34 
Когда уже гугл ломанут, чтоб его счетчики отовсюду поубирали.
Ответить | Правка | Наверх | Cообщить модератору

89. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (89), 18-Июл-21, 11:25 
ага, например с опеннета)
Ответить | Правка | Наверх | Cообщить модератору

100. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (100), 18-Июл-21, 13:21 
Этот день станет национальным праздником.
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

143. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (144), 18-Июл-21, 22:31 
Странно почему не сломали до сих пор, там ведь все на гавне пишется полоумными неопределённого гендера попивающие смузи, да?)
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

155. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от ыы (?), 19-Июл-21, 08:08 
а cdnjs кто писал?
Ответить | Правка | Наверх | Cообщить модератору

164. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от Аноним (163), 19-Июл-21, 10:45 
А тебе не приходила в голову такая мысль что качество когда не зависит ни от гендера, ни от смузи и ни от того кого ты считаешь полоумным?
Ответить | Правка | К родителю #143 | Наверх | Cообщить модератору

168. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от ыы (?), 19-Июл-21, 11:26 
Зависит. Сейчас все лучшее делается гендером, смузи, и теми кого аноним с опеннета считает полоумными. Просто это другой мир... Мир свободы, состоятельности, инноваций и движения вперед.
А его туда не берут...
Ответить | Правка | Наверх | Cообщить модератору

91. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от Павел Отредиез (ok), 18-Июл-21, 12:37 
Делов то проверить путь на ../. А уж слов то развели...
Ответить | Правка | Наверх | Cообщить модератору

122. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от Аноним (60), 18-Июл-21, 16:36 
> Делов то проверить путь

Для поколения растаманов это немыслимая трудность. "Как, надо что-то проверять?! А что, система за меня это не сделает?".

Ответить | Правка | Наверх | Cообщить модератору

125. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (125), 18-Июл-21, 17:48 
AdGuard DNS продукт российских спецслужб?
Ответить | Правка | Наверх | Cообщить модератору

127. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Анонъимь (?), 18-Июл-21, 18:21 
Похоже на то.
Компания зарегистрирована на Кипре, но главный офис находится в Москве.
Ответить | Правка | Наверх | Cообщить модератору

131. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (125), 18-Июл-21, 18:51 
У меня возникали подозрения в процессе использования. Сейчас гугловский дох поставил, пока ищу альтернативу.
Ответить | Правка | Наверх | Cообщить модератору

152. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от ыы (?), 19-Июл-21, 07:15 
"
Что же выдавало в Штирлице русского разведчика? Волочившийся за спиной парашют или красные трусы?
"

История AdGuard
Посёлок Коммунарка, Московская область
Посёлок Коммунарка, Московская область
2009
Как всё начиналось
Москва, 2009 год. Мировой экономический кризис, отсчитываемый с 2008 года, свирепствует вовсю и осложняет жизнь стартаперам. Будущие создатели AdGuard заняты разработкой NetChart — бесплатного сервиса интернет-аналитики. Именно работа над NetChart позволила нам понять потенциал пользовательских данных — какую информацию можно получать о людях, что можно с ней сделать и как злоупотребить. Понять и то, что сами пользователи этого потенциала и опасностей не осознают. Так мы пришли к созданию AdGuard.
Эволюция логотипа....

Команда

Dmitry Zaytsev Founder, CEO
Andrey Meshkov Founder, CTO
Igor Lukyanov Founder, COO


Ответить | Правка | Наверх | Cообщить модератору

161. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (9), 19-Июл-21, 09:21 
Комментарии ботов на различных ресурсах.
Ну и развитие кампании. Слишком быстро у них всё получилось. Откуда деньги? На платных услугах, которые они предоставляют, много не заработаешь.
Ответить | Правка | Наверх | Cообщить модератору

162. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от ыы (?), 19-Июл-21, 09:27 
а сколько у них денег? вы как их деньги посчитали?
Ответить | Правка | Наверх | Cообщить модератору

174. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Анончик (?), 19-Июл-21, 12:35 
посмотрели отчеты налоговой
Ответить | Правка | Наверх | Cообщить модератору

177. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (125), 19-Июл-21, 12:56 
Простая логика. Организация, создавшая простой блокировщик рекламы имеет 55 сотрудников и продолжает набирать новых. Выручка 150 000 000 рублей, а прибыль 0.
https://www.rbc.ru/companies/id/1127746508262-ooo-performiks/
https://sbis.ru/contragents/7728812120/772501001
Ответить | Правка | К родителю #162 | Наверх | Cообщить модератору

179. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноним (125), 19-Июл-21, 13:01 
И судя по всему ещё большое количество связанных с ними организаций. Одна из них:
Сервероид, ООО зарегистрирована по адресу 115191, г. Москва, ул. Мытная, д. 66. Генеральный Директор организации ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "СЕРВЕРОИД" Лукьянов Игорь Валерьевич. Основным видом деятельности компании является Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность. Также Сервероид, ООО работает еще по 22 направлениям.
Надо провести расследование деятельности adguard, будет интересно.
Ответить | Правка | Наверх | Cообщить модератору

183. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от ыы (?), 19-Июл-21, 13:20 
Безусловно это интересно. Главное в этом расследовании не переступить черту :)
Ответить | Правка | Наверх | Cообщить модератору

184. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от ыы (?), 19-Июл-21, 13:27 
"
Основной заказчик:
ИТАР-ТАСС, ТАСС
"

Вот где непаханное поле выявления скрытых связей :)

Ответить | Правка | К родителю #179 | Наверх | Cообщить модератору

186. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (9), 19-Июл-21, 13:35 
Да-да 😄 я о том же
Ответить | Правка | Наверх | Cообщить модератору

182. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от ыы (?), 19-Июл-21, 13:19 
я не вижу в этих цифрах чегото криминального. Небольшая мебельная фирма имеет такой оборот в месяц а они- накропали его в год. Понятно что тайные шпионы.. :)
Курам на смех...
Ответить | Правка | К родителю #177 | Наверх | Cообщить модератору

185. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +3 +/
Сообщение от Аноним (9), 19-Июл-21, 13:34 
Основной заказчик итар-тасс. Вот и прикрытие для финансирования.
Ответить | Правка | Наверх | Cообщить модератору

130. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Анонъимь (?), 18-Июл-21, 18:33 
CDNы в общем и Cloudflare в частности в некоторой степени препятствуют быстрому разворачиванию Чебурнета.
Товарищу майору такое положение вещей очень не нравится.
Ответить | Правка | Наверх | Cообщить модератору

133. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от Ананимас123 (?), 18-Июл-21, 19:15 
Лет пять мамкины хакиры ноют про чебурнет, а его все нет, бида...
Ответить | Правка | Наверх | Cообщить модератору

134. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от аннонн (?), 18-Июл-21, 19:36 
Кастрюлю с водой, в которой сидит лягушка, нужно нагревать медленно.
Ответить | Правка | Наверх | Cообщить модератору

136. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (60), 18-Июл-21, 20:42 
Cloudflare так и делает.
Ответить | Правка | Наверх | Cообщить модератору

138. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от аннонн (?), 18-Июл-21, 20:53 
Товарищ майор так делает, поэтому Чебурнет вводится в эксплуатацию весьма неторопливо. Так всё и задумано.


Ответить | Правка | Наверх | Cообщить модератору

139. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (9), 18-Июл-21, 21:30 
Армия ботов комперсирует жтот недостаток. А так они пытаются препятствовать внедрению doh и quic.
>"По экспертным оценкам, возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной записке к законопроекту, размещенному на портале проектов нормативных правовых актов."
Ответить | Правка | Наверх | Cообщить модератору

142. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +2 +/
Сообщение от аннонн (?), 18-Июл-21, 22:22 
> Армия ботов комперсирует жтот недостаток.

У меня иногда создаётся впечатление, что на одного бота приходится девять полезных ему иди0т0в.

> А так они пытаются препятствовать внедрению doh и quic.
> "... распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной записке к законопроекту,...

Да, видел это.
И читал где-то здесь, на опеннете,  в комментариях, что DoH + eSNI как минимум один из провайдеров уже перекрывает.

Ответить | Правка | Наверх | Cообщить модератору

151. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от lockywolf (ok), 19-Июл-21, 05:51 
Логина по номеру телефона в "безопасный телеграмм", Фейсбук, ВК и Юмани нет?

Отправки смс для выхода из дома по время локдауна не было?

Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

148. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +1 +/
Сообщение от Аноньимъ (ok), 18-Июл-21, 23:24 
Вообще не мешает.

Увы, было бы круто если бы мешало, но не мешает.

Не в этом дело. Захотят - будет чебурнет. Как там было - "то что вы еще на свободе это не ваша заслуга, а наша недоработка".

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

153. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от аннонн (?), 19-Июл-21, 07:18 
Мешает уже тем, что блокировка по IP, который реально принадлежит CDNу, помимо целевого сайта вызывает блокировку ещё десятков сайтов, блокировать которые задачи не стояло.
Владельцы этих сайтов, которые вообще ни при чём, иногда начинают жаловаться и поднимать шум, что контролирующим органам не нравится, по разным причинам.

eSNI решает вопрос с именем хоста, которое передаётся уже зашифрованным при установлении TLS соединения. Но TLS соединения с шифрованным SNI уже начинают отфильтровывать...
Но за eSNI придёт ECH, с которым они тоже будут бороться.
Задача - создать им такой головняк с блокировками, что они устанут с этим всем бороться.

Хотя правильное решение проблемы лежит вовсе не в технической плоскости.

Ответить | Правка | Наверх | Cообщить модератору

154. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от ыы (?), 19-Июл-21, 08:02 
То есть вы за белорусский вариант :)
Ответить | Правка | Наверх | Cообщить модератору

157. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (79), 19-Июл-21, 08:44 
Это потому что айпи в6 до сих пор не стал стандартом, заменив айпи в4 в интернетах. А там хоть убанься, адресов лет на 100 хватит. Скоро варварские методв все равно перестанут работать. Сделают айпи в16 и будет им адресов еще много миллиардов на забанить.
Ответить | Правка | К родителю #153 | Наверх | Cообщить модератору

178. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Анончик (?), 19-Июл-21, 12:59 
Расскажу страшную штуку, бан листы ipv6 занимают не намного больше места чем ipv4.
а твои миллионы адресов баняться добавлением одного префикса.
Ответить | Правка | Наверх | Cообщить модератору

196. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от аннонн (?), 19-Июл-21, 15:43 
> Это потому что айпи в6 до сих пор не стал стандартом, ...

Банить по ipv6 ещё проще. Если "на пальцах", то примерно так:

"По cron-у" резолвить имя хоста и добавлять полученный IPv6-адрес в список фильтруемых, если такого адреса ещё нет в списке.
По другому крону производить агрегирование фильтруемых IP-адресов в сети. Затем скармливать полученный список файерволлам.
Это всё.

Ответить | Правка | К родителю #157 | Наверх | Cообщить модератору

200. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноньимъ (ok), 19-Июл-21, 18:34 
Обяжут держать все CDN и прочие прокси на территории РФ.
Всё, "проблема" решена.
А пускать во внешний мир будут по пропускам, если захотят.

А могут и обрубить внешний мир совсем, то-же не что-то из ряда вон.

Так что не зазнавайтесь.

То что вы читаете в прессе, все эти блокировки, это имеет целью кошмарить население, а не серьезно создавать чебурнет.

Ответить | Правка | К родителю #153 | Наверх | Cообщить модератору

140. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (140), 18-Июл-21, 21:38 
>Опасность проблемы усугубляется тем, что для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов в интернете и компрометация инфраструктуры позволяет подменить библиотеки, отдаваемые любым из этих сайтов.

Нет, не позволяет. Нормальные сайты используют subresource integrity. Говносайты ... не ходите на них.

Ответить | Правка | Наверх | Cообщить модератору

141. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от Аноним (140), 18-Июл-21, 21:41 
>Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.
>Эксперименты с демонстрацией взлома cdnjs для получения премии на HackerOne

Зачем же whitehatа называть злоумышленником?

Ответить | Правка | Наверх | Cообщить модератору

181. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –1 +/
Сообщение от Аноним (181), 19-Июл-21, 13:16 
>для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов

А зачем?

Ответить | Правка | Наверх | Cообщить модератору

198. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (181), 19-Июл-21, 17:47 
То есть зачем так делают 12,7% всех сайтов, когда все остальные обходятся без этого, - никто не здесь знает.
Ну что ж, молодцы.
Ответить | Правка | Наверх | Cообщить модератору

199. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (181), 19-Июл-21, 17:49 
Д.б. "никто здесь не знает", конечно.
Ответить | Правка | Наверх | Cообщить модератору

188. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  –2 +/
Сообщение от lockywolf (ok), 19-Июл-21, 13:44 
Много успели намайнить?
Ответить | Правка | Наверх | Cообщить модератору

197. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (197), 19-Июл-21, 16:31 
Мечта запустить на их серверах
rm -rf /*, может сбыться=)
Ответить | Правка | Наверх | Cообщить модератору

202. "Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."  +/
Сообщение от Аноним (202), 20-Июл-21, 16:08 
Всё чир нужно знать о javascript
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру