forum.opennet.ru

"Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Уязвимость, позволявшая выпустить обновление для любого паке..."	+/–
Сообщение от Гентушник (ok), 17-Ноя-21, 16:13
> Ввёл на телефоне пароль, на нём же сгенерировал TOTP Вот тут ошибка. Надо было пароль вводить на одном устройстве, а TOTP использовать на другом. Например входить с компа, а аутентификатор устанавливать на телефон. Если все яйца у вас лежат в одной корзине, то от двухфакторки толку мало. Хотя даже тут всё равно будет какая-никакая защита - если пароль просто отбрутфорсят или возьмут из какой-нибудь слитой базы данных, то зайти они не смогут. Собственно про это в новости и написано - про простые пароли, а не про взлом устройств разрабов. > Потом телефон накрылся, и ты остался без аккаунта. Про гитхаб не знаю, но почти везде можно указать способ восстановления аккаунта - по e-mail, по кодам восстановления или по злосчастному смс. Это по-сути ещё один фактор, который тоже надо "хранить" отдельно от остальных, если подходить по-умному.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM, opennews, 16-Ноя-21, 13:52 [смотреть все]

Снова, говорите Нет, такого ещё не было Никогда ещё не был таким полным, Какаянахренразница, 16-Ноя-21, 13:52 (1) //
- О чём ты Он всегда таким был , A.Stahl, 16-Ноя-21, 14:00 (4) //
  - А по моему нет, он заметно пополнел Любая версия любого пакета , kusb, 16-Ноя-21, 15:24 (17)
- Хакер и солонка 90 прода на этой хрени В JS просто последние годы начали кру, Жироватт, 16-Ноя-21, 16:12 (24)
Что-то NPM часто светиться в новостях начал, никогда такого не было и вот опять , А где же каменты, 16-Ноя-21, 13:53 (2) //
- Нашли дыру в NPM никогда такого не было и вот опять ужас кошмар веб-макаки Н, QwertyReg, 16-Ноя-21, 14:10 (5) //
  - Не веб-макаки, а копирасты , Аноним, 16-Ноя-21, 14:21 (7)
  - Уязвимости есть много где, почти везде в программах, IT состоит из дыр, но NPM -, kusb, 16-Ноя-21, 14:33 (10)
  - Сравни частоту новостей про то и то И это я ещё не предлагаю сравнить нужность , Корец, 16-Ноя-21, 14:47 (13)
  - Но вообще это насколько я понимаю это дыра в github, который сделал сервис автоп, Аноним, 16-Ноя-21, 14:52 (14)
- Искатели уязвимостей внезапно обнаружили в уязвимостях NPM , Онаним, 16-Ноя-21, 21:25 (48)
Ну 8211 ну https www opennet ru opennews art shtml num 56104, BratishkaErik, 16-Ноя-21, 14:13 (6) //
- Вынепонимаетеэтодругое , Аноним, 16-Ноя-21, 19:12 (39)
Проблема не столько в инфраструктуре, сколько в самой концепции NPM мы за вас , yet another anonymous, 16-Ноя-21, 14:30 (8) //
- То ли дело репозитории дистров линукса, вот там-то точно всё хорошо, ведь мейнте, Enamel, 16-Ноя-21, 14:45 (11) //
  - Они может и не святые, но пока на троянском пакете в редхат-дебиан-генту никто н, пох., 16-Ноя-21, 15:51 (19) //
    - Дык, мейнтейнеры редхата-дебиана-генту - конкретные люди с конкретными публично , Аноним, 16-Ноя-21, 18:26 (33)
      - Достаточно взломать аккуант этого ФИО, Аноним, 16-Ноя-21, 18:49 (37)
        
        А здесь даже и аккаунт ломать не надо , YetAnotherOnanym, 16-Ноя-21, 19:31 (40)
      - Да ладно Ты сканы паспортов чтоль проверял Так усы и подделать можно А на сам, пох., 16-Ноя-21, 19:37 (42)
    - npm грузит пакеты в локальную директорию, а не home, Аноноша, 16-Ноя-21, 19:36 (41)
  - В репах дистров хотя бы мейнтейнеры есть А npm - сборище васянов, каждый из кото, Онаним, 16-Ноя-21, 21:26 (49)
  - В корне неверная информация ЯП со своим велосипедом - плохой язык , Аноним, 18-Ноя-21, 12:57 (65)
- Это обычная концепция со времён cpan перла конца 90стых , хрю, 16-Ноя-21, 20:19 (46) //
  - Надо сказать, шпан - это то, из-за чего перл и выкидывася из системы на самых ра, Онаним, 16-Ноя-21, 21:27 (50) //
    - Ну да, ну да - что еще от рукожопиков ждать-то Cpan, в отличие от гнездилища леф, Аноним, 16-Ноя-21, 21:48 (52)
    - Чё Перл выкидывался из системы linux Он практически с самого начала в базовой , хрю, 16-Ноя-21, 22:02 (53)
      - Вы сейчас разом столько сортов г-на назвали, что я прямо таки чуть не захлебнулс, Онаним, 16-Ноя-21, 22:11 (55)
  - Да И ещё pip Ты, главное, только не волнуйся, дурак, всё так хорошо, всё так , yet another anonymous, 17-Ноя-21, 08:35 (56)
Шли бы они в задницу со своими требованиями привязать телефон , Аноним, 16-Ноя-21, 14:31 (9) //
- Это неплохая _дополнительная_ авторизация, Enamel, 16-Ноя-21, 14:46 (12)
- Там нет никаких телефоном или TOTP или 2FA токен Для всего этого есть опенсурсн, ноунейм, 16-Ноя-21, 15:11 (16) //
  - Ввёл на телефоне пароль, на нём же сгенерировал TOTP токен и ввёл его в GitHub , Аноним, 16-Ноя-21, 18:29 (34) //
    - Вот тут ошибка Надо было пароль вводить на одном устройстве, а TOTP использоват , Гентушник, 17-Ноя-21, 16:13 (63)
- Микрософта без зондов не бывает , Аноним, 17-Ноя-21, 17:37 (64)
Вы морды этих SJW разрабатывающих npm виделы , Извращенцы NPM, 16-Ноя-21, 14:58 (15) //
- Ну что ты, Петька, это рожи у них такие Присмотревшись - а, нет, правда сраками, пох., 16-Ноя-21, 15:45 (18) //
  - Ну да В паразитории с вредоносным по снова обнаружили вредоносное по Да и пиво, псевдонимус, 17-Ноя-21, 11:09 (60)
Это диагноз Тут двухфакторная авторизация не поможет Этим людям просто наплева, Аноним, 16-Ноя-21, 15:54 (20) //
- - Э, слышь, админ, вот тебе конвертик, десяток борзых щенков, адресок того урода, Жироватт, 16-Ноя-21, 16:24 (25) //
  - у людей часто так кто-то хочет как лучше и делает лучше, но потом приходят 95 , 73, 16-Ноя-21, 16:50 (28)
  - Осталось понять какое отношение все написанное имеет дело к сопровождению пакето, Аноноша, 16-Ноя-21, 17:27 (29) //
    - НепосредственноеИдея пакетного менеджера - хорошаяРеализация npm - такое себеПол, Аноним, 16-Ноя-21, 18:12 (31)
      - Ну, т е идея отличная, а вот с народом нам не повезло Так, что ли , yet another anonymous, 17-Ноя-21, 09:02 (58)
    - Самое что ни на есть прямое Человек же выше писал, что в онлайне, в том числе о, Dzen Python, 16-Ноя-21, 22:03 (54)
- А оно тут же новую учётку заведёт и будет из неё любой пакет модифицировать как , YetAnotherOnanym, 16-Ноя-21, 19:38 (43)
Это смешно обязательная двухфакторная аутентификация А где вы раньше были Им, Аноним, 16-Ноя-21, 15:57 (22)
Как определить реальную необходимость и важность технологии в мире на выбранный , Жироватт, 16-Ноя-21, 16:30 (26) //
- А если все поголовно уязвимостей создают на порядки больше чем потом находят, ка, Аноним, 16-Ноя-21, 16:48 (27)
А NPM это что Мне надо волноваться , Аноним, 16-Ноя-21, 18:01 (30) //
- Если не в курсе - значит точно надо , Урри, 16-Ноя-21, 18:15 (32)
- NPM --- система удобного подтягивания троян W замечательных js-пакетов, на котор, yet another anonymous, 17-Ноя-21, 08:45 (57)
and nothing of value would be lostсерьезно, нефильтруемое репо с очень важными п, Михрютка, 16-Ноя-21, 19:08 (38) //
- so true, Онаним, 16-Ноя-21, 21:29 (51)
Правая рука не знает, что делает левая Зато микросервисы - стильно, модно, моло, YetAnotherOnanym, 16-Ноя-21, 19:52 (44) //
- Проблема не в микро, а в низком пороге входа и валом валят халтурщики Которые м, Аноним, 16-Ноя-21, 20:13 (45)
А они закрыли исходники npm сервера Раньше вроде он был доступен в репозитории , Аноноша, 16-Ноя-21, 20:41 (47)
мильены бандерлогов в процессе дальнейшего ухудшения качества Web просмотрели оч, Аноним, 17-Ноя-21, 09:06 (59)
Слава богу мне node js не зашла, постоянные баги с ней, Виктор, 17-Ноя-21, 11:22 (62)
Короче, добавляете в проект npmrc опцию strict true, комитете package-lock json, Аноним, 18-Ноя-21, 16:27 (66)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру