forum.opennet.ru - "Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях" (30)

"Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атака на NPM, позволяющая определить наличие пакетов в приватных репозиториях"	+/–
Сообщение от opennews (??), 14-Окт-22, 12:24
В NPM выявлена недоработка, позволяющая определить существование пакетов в закрытых репозиториях. Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем, не имеющего доступа к репозиторию. При отсутствии доступа для любых пакетов в приватных репозиториях сервер возвращает ошибку с кодом "404", но в случае существования пакета с запрошенным именем ошибка выдаётся с ощутимой задержкой. Атакующий может использовать данную особенность для определения наличия пакета при подборе имён пакетов по словарям... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57918
Ответить \| Правка \| Cообщить модератору

Оглавление

Осталось узнать как техникой перебора узнать какие пакеты есть в приватном репоз, Аноним (1), 12:24 , 14-Окт-22, (1)
Автор, какой сервер Этих npm-серверов , Аноним (2), 12:26 , 14-Окт-22, (2)

Не знаю , Аноним (-), 18:40 , 14-Окт-22, (37)
https registry npmjs org Скопировал из первой ссылки в новости, хотя это и так, Аноним (46), 01:51 , 15-Окт-22, (46) –1

Сразу подумал, как прочитал заголовок , Аноним (3), 12:28 , 14-Окт-22, (3)

Задержка - это ещё ладно Главное - в другом О_о Привет всяким карго Отказалс, Аноним (11), 13:40 , 14-Окт-22, (11)

Насколько я могу судить на основании своего прошлого опыта, информация такого ро, Адмирал Майкл Роджерс (?), 16:40 , 14-Окт-22, (24) +1
Если какой-то балда додумался ссылаться к собственным пакетам просто по именам, , Бывалый смузихлёб (?), 17:29 , 14-Окт-22, (28) –2

Для какой балды это очевидно , Аноним (11), 17:32 , 14-Окт-22, (29) +2

Итак, есть система, заточенная на работу с глобальным репозиторием в первую очер, Бывалый смузихлёб (?), 08:18 , 15-Окт-22, (48)

А потом удивляемся дырам из-за таких смузихлёбов Дыры by design , Аноним (11), 05:32 , 18-Окт-22, (51)

Вообще очень непросто защититься от такого Это вся стандартная архитектура с ба, Аноним (3), 12:39 , 14-Окт-22, (5) –3

А вообще - просто Нужно просто на сервере измерять время операций и замедлять с, Аноним (3), 12:42 , 14-Окт-22, (6)

Кто-нибудь, запилите фичу для популярных баз , Аноним (3), 12:44 , 14-Окт-22, (7)

Thread Sleep Math Random 500 В продакшен , Аноним (34), 18:29 , 14-Окт-22, (34)

Thread Sleep 4 chosen by fair dice roll, guaranteed to be randomтогда, Аноним (3), 20:04 , 14-Окт-22, (41) +1

Очень просто поменять приоритет публичных и локальных репов , Аноним (11), 13:43 , 14-Окт-22, (12) +1

Проблема в том, что само название пакета и его существование может быть коммерче, Аноним (3), 20:02 , 14-Окт-22, (40)

Конечно, это очень непросто проверить наличие у юзера прав доступа до поиска а н, Аноним (50), 10:43 , 15-Окт-22, (50)

Просто комитить зависимости, Аноним (10), 13:38 , 14-Окт-22, (10)
Надо просто взять все популярные имена зависимостей и разместить, да и все, заче, Аноним (14), 14:16 , 14-Окт-22, (14)

Он упадет если нет депендесни Надо сначала проверить , Аноним (17), 14:52 , 14-Окт-22, (17)

Но ведь сначала должны проверяться права доступа Как тогда доходит до проверки , Аноним (27), 16:57 , 14-Окт-22, (27)

они всё наоборот делают , Аноним (11), 17:34 , 14-Окт-22, (30)

Да ладно, серьёзно , Аноним (32), 18:04 , 14-Окт-22, (32)
А может быть просто не надо тянуть свежие версии из публичных репозиториев без а, AKTEON (?), 18:11 , 14-Окт-22, (33) +1
В npm можно свой user-scope или organization-scope создать тогда никто не сможет, Igraine (ok), 19:27 , 14-Окт-22, (38) –1

Какое дело честному человеку до левых репозиториев , pashev.ru (?), 19:38 , 14-Окт-22, (39)

Какое дело честному человеку до репозиториев , Аноним (42), 21:15 , 14-Окт-22, (42) +1

нет NPM, нет и атак, darkshvein (ok), 23:33 , 14-Окт-22, (45)

Сообщения [Сортировка по времени | RSS]

1. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (1), 14-Окт-22, 12:24

Осталось узнать как техникой перебора узнать какие пакеты есть в приватном репозитории.

Ответить | Правка | Наверх | Cообщить модератору

2. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (2), 14-Окт-22, 12:26

> сервер возвращает ошибку с кодом "404"
Автор, какой сервер? Этих npm-серверов...

Ответить | Правка | Наверх | Cообщить модератору

37. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (-), 14-Окт-22, 18:40

Не знаю.

Ответить | Правка | Наверх | Cообщить модератору

46. "Атака на NPM, позволяющая определить наличие пакетов в прива..." –1 +/–

Сообщение от Аноним (46), 15-Окт-22, 01:51

https://registry.npmjs.org/
Скопировал из первой ссылки в новости, хотя это и так было очевидно

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

3. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (3), 14-Окт-22, 12:28

>Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем
Сразу подумал, как прочитал заголовок.

Ответить | Правка | Наверх | Cообщить модератору

11. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (11), 14-Окт-22, 13:40

Задержка - это ещё ладно. Главное - в другом:
> пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет.
О_о... Привет всяким карго!
> GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки.
Отказался закрыть дырищщу?! Это кто же заказал её?

Ответить | Правка | Наверх | Cообщить модератору

24. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +1 +/–

Сообщение от Адмирал Майкл Роджерс (?), 14-Окт-22, 16:40

> Это кто же заказал её?
Насколько я могу судить на основании своего прошлого опыта, информация такого рода, как правило, не разглашается.

Ответить | Правка | Наверх | Cообщить модератору

28. "Атака на NPM, позволяющая определить наличие пакетов в прива..." –2 +/–

Сообщение от Бывалый смузихлёб (?), 14-Окт-22, 17:29

Если какой-то балда додумался ссылаться к собственным пакетам просто по именам, то очевидно что система будет по возможности лезть в сеть и тянуть последнюю актуальную версию где бы та ни находилась если в правилах к пакету указано "тянуть свежайшую версию"
Для каких-то сильно внутренних пакетов есть много других вариантов - вплоть до просто прямой ссылки на пакет
Это не столько баг, сколько забивание гвоздей монитором с последующим невероятным удивлением что ему пришёл конец

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

29. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +2 +/–

Сообщение от Аноним (11), 14-Окт-22, 17:32

> очевидно что система будет по возможности лезть в сеть
Для какой балды это очевидно?

Ответить | Правка | Наверх | Cообщить модератору

48. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Бывалый смузихлёб (?), 15-Окт-22, 08:18

Итак, есть система, заточенная на работу с глобальным репозиторием в первую очередь
Есть «просто пакет», у него есть просто название и версия
Где, по возможности, подобная система будет искать «просто пакет» с просто версией, тем более что названия внутренних и внешних пакетов запросто могут пересекаться ?
Если нужны какие-то исключительно локальные пакеты, то там нередко идёт прямая ссылка на пакет( будь то гит например или даже локально, на каталог пакета ) во избежание множества чудес и улучшения переносимости проекта( если какие-то мелкие пакеты были допилены исключительно под конкретный проект, то их нередко и в рамках проекта держат, из проекта же они и ставятся по ссылке )

Ответить | Правка | Наверх | Cообщить модератору

51. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (11), 18-Окт-22, 05:32

А потом удивляемся дырам из-за таких смузихлёбов. Дыры by design.

Ответить | Правка | Наверх | Cообщить модератору

5. "Атака на NPM, позволяющая определить наличие пакетов в прива..." –3 +/–

Сообщение от Аноним (3), 14-Окт-22, 12:39

>GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения.
Вообще очень непросто защититься от такого. Это вся стандартная архитектура с базами данных сразу становится неприемлима, и возникает необходимость в специализированной дополнительной базе данных на основе иерархической хеш-таблицы с 4 операциями: запросить таблицу по ключу, безопасно проверить наличие значения в таблице по ключу, удалить значение в таблице, удалить таблицу по ключу. Получается что-то вроде реестра Windows.

Ответить | Правка | Наверх | Cообщить модератору

6. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (3), 14-Окт-22, 12:42

>Вообще очень непросто защититься от такого.
А вообще - просто. Нужно просто на сервере измерять время операций и замедлять слишком быстрые. Подход универсален, совместим с любыми базами с поддержкой транзакций, легко интегрируется в любые базы путём добавления одного поля метаданных с верхней границей времени.

Ответить | Правка | Наверх | Cообщить модератору

7. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (3), 14-Окт-22, 12:44

Кто-нибудь, запилите фичу для популярных баз.

Ответить | Правка | Наверх | Cообщить модератору

34. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (34), 14-Окт-22, 18:29

Thread.Sleep(Math.Random(500));
В продакшен!

Ответить | Правка | Наверх | Cообщить модератору

41. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +1 +/–

Сообщение от Аноним (3), 14-Окт-22, 20:04

Thread.Sleep(4); // chosen by fair dice roll, guaranteed to be random
тогда

Ответить | Правка | Наверх | Cообщить модератору

12. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +1 +/–

Сообщение от Аноним (11), 14-Окт-22, 13:43

Очень просто: поменять приоритет публичных и локальных репов.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

40. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (3), 14-Окт-22, 20:02

Проблема в том, что само название пакета и его существование может быть коммерческой тайной.

Ответить | Правка | Наверх | Cообщить модератору

50. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (50), 15-Окт-22, 10:43

>Вообще очень непросто защититься от такого
Конечно, это очень непросто проверить наличие у юзера прав доступа до поиска а не после.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

10. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (10), 14-Окт-22, 13:38

Просто комитить зависимости

Ответить | Правка | Наверх | Cообщить модератору

14. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (14), 14-Окт-22, 14:16

Надо просто взять все популярные имена зависимостей и разместить, да и все, зачем все выяснять? :) Раз оно такое тупое, что вытянет самое новое откуда угодно.

Ответить | Правка | Наверх | Cообщить модератору

17. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (17), 14-Окт-22, 14:52

Он упадет если нет депендесни. Надо сначала проверить.

Ответить | Правка | Наверх | Cообщить модератору

27. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (27), 14-Окт-22, 16:57

Но ведь сначала должны проверяться права доступа. Как тогда доходит до проверки наличия или отсутствия файлов? 🤔

Ответить | Правка | Наверх | Cообщить модератору

30. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (11), 14-Окт-22, 17:34

они всё наоборот делают.

Ответить | Правка | Наверх | Cообщить модератору

32. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от Аноним (32), 14-Окт-22, 18:04

> В NPM выявлена недоработка...
Да ладно, серьёзно!?

Ответить | Правка | Наверх | Cообщить модератору

33. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +1 +/–

Сообщение от AKTEON (?), 14-Окт-22, 18:11

А может быть просто не надо тянуть свежие версии из публичных репозиториев без аудита ??

Ответить | Правка | Наверх | Cообщить модератору

38. "Атака на NPM, позволяющая определить наличие пакетов в прива..." –1 +/–

Сообщение от Igraine (ok), 14-Окт-22, 19:27

В npm можно свой user-scope или organization-scope создать тогда никто не сможет загрузить пакеты с вашим именем.
Или просто загрузить пакеты с тем же именем

Ответить | Правка | Наверх | Cообщить модератору

39. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от pashev.ru (?), 14-Окт-22, 19:38

Какое дело честному человеку до левых репозиториев?

Ответить | Правка | Наверх | Cообщить модератору

42. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +1 +/–

Сообщение от Аноним (42), 14-Окт-22, 21:15

Какое дело честному человеку до репозиториев?

Ответить | Правка | Наверх | Cообщить модератору

45. "Атака на NPM, позволяющая определить наличие пакетов в прива..." +/–

Сообщение от darkshvein (ok), 14-Окт-22, 23:33

нет NPM, нет и атак

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (1), 14-Окт-22, 12:24
Осталось узнать как техникой перебора узнать какие пакеты есть в приватном репозитории.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (2), 14-Окт-22, 12:26
> сервер возвращает ошибку с кодом "404" Автор, какой сервер? Этих npm-серверов...
Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (-), 14-Окт-22, 18:40
	Не знаю.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	–1 +/–
	Сообщение от Аноним (46), 15-Окт-22, 01:51
	https://registry.npmjs.org/ Скопировал из первой ссылки в новости, хотя это и так было очевидно
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору

3. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (3), 14-Окт-22, 12:28
>Проблема вызвана разным временем реакции при запросе существующего и несуществующего пакета сторонним пользователем Сразу подумал, как прочитал заголовок.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (11), 14-Окт-22, 13:40
	Задержка - это ещё ладно. Главное - в другом: > пакетный менеджер npm посчитает более приоритетным публичный репозиторий и загрузит подготовленный атакующим пакет. О_о... Привет всяким карго! > GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки. Отказался закрыть дырищщу?! Это кто же заказал её?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+1 +/–
	Сообщение от Адмирал Майкл Роджерс (?), 14-Окт-22, 16:40
	> Это кто же заказал её? Насколько я могу судить на основании своего прошлого опыта, информация такого рода, как правило, не разглашается.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	–2 +/–
	Сообщение от Бывалый смузихлёб (?), 14-Окт-22, 17:29
	Если какой-то балда додумался ссылаться к собственным пакетам просто по именам, то очевидно что система будет по возможности лезть в сеть и тянуть последнюю актуальную версию где бы та ни находилась если в правилах к пакету указано "тянуть свежайшую версию" Для каких-то сильно внутренних пакетов есть много других вариантов - вплоть до просто прямой ссылки на пакет Это не столько баг, сколько забивание гвоздей монитором с последующим невероятным удивлением что ему пришёл конец
	Ответить \| Правка \| К родителю #11 \| Наверх \| Cообщить модератору


	29. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+2 +/–
	Сообщение от Аноним (11), 14-Окт-22, 17:32
	> очевидно что система будет по возможности лезть в сеть Для какой балды это очевидно?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Бывалый смузихлёб (?), 15-Окт-22, 08:18
	Итак, есть система, заточенная на работу с глобальным репозиторием в первую очередь Есть «просто пакет», у него есть просто название и версия Где, по возможности, подобная система будет искать «просто пакет» с просто версией, тем более что названия внутренних и внешних пакетов запросто могут пересекаться ? Если нужны какие-то исключительно локальные пакеты, то там нередко идёт прямая ссылка на пакет( будь то гит например или даже локально, на каталог пакета ) во избежание множества чудес и улучшения переносимости проекта( если какие-то мелкие пакеты были допилены исключительно под конкретный проект, то их нередко и в рамках проекта держат, из проекта же они и ставятся по ссылке )
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (11), 18-Окт-22, 05:32
	А потом удивляемся дырам из-за таких смузихлёбов. Дыры by design.
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	–3 +/–
Сообщение от Аноним (3), 14-Окт-22, 12:39
>GitHub был уведомлен о проблеме в марте, но отказался добавлять защиту от атаки, сославшись на архитектурные ограничения. Вообще очень непросто защититься от такого. Это вся стандартная архитектура с базами данных сразу становится неприемлима, и возникает необходимость в специализированной дополнительной базе данных на основе иерархической хеш-таблицы с 4 операциями: запросить таблицу по ключу, безопасно проверить наличие значения в таблице по ключу, удалить значение в таблице, удалить таблицу по ключу. Получается что-то вроде реестра Windows.
Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (3), 14-Окт-22, 12:42
	>Вообще очень непросто защититься от такого. А вообще - просто. Нужно просто на сервере измерять время операций и замедлять слишком быстрые. Подход универсален, совместим с любыми базами с поддержкой транзакций, легко интегрируется в любые базы путём добавления одного поля метаданных с верхней границей времени.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (3), 14-Окт-22, 12:44
	Кто-нибудь, запилите фичу для популярных баз.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (34), 14-Окт-22, 18:29
	Thread.Sleep(Math.Random(500)); В продакшен!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+1 +/–
	Сообщение от Аноним (3), 14-Окт-22, 20:04
	Thread.Sleep(4); // chosen by fair dice roll, guaranteed to be random тогда
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+1 +/–
	Сообщение от Аноним (11), 14-Окт-22, 13:43
	Очень просто: поменять приоритет публичных и локальных репов.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	40. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (3), 14-Окт-22, 20:02
	Проблема в том, что само название пакета и его существование может быть коммерческой тайной.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	50. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (50), 15-Окт-22, 10:43
	>Вообще очень непросто защититься от такого Конечно, это очень непросто проверить наличие у юзера прав доступа до поиска а не после.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору

10. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (10), 14-Окт-22, 13:38
Просто комитить зависимости
Ответить \| Правка \| Наверх \| Cообщить модератору

14. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (14), 14-Окт-22, 14:16
Надо просто взять все популярные имена зависимостей и разместить, да и все, зачем все выяснять? :) Раз оно такое тупое, что вытянет самое новое откуда угодно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (17), 14-Окт-22, 14:52
	Он упадет если нет депендесни. Надо сначала проверить.
	Ответить \| Правка \| Наверх \| Cообщить модератору

27. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (27), 14-Окт-22, 16:57
Но ведь сначала должны проверяться права доступа. Как тогда доходит до проверки наличия или отсутствия файлов? 🤔
Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от Аноним (11), 14-Окт-22, 17:34
	они всё наоборот делают.
	Ответить \| Правка \| Наверх \| Cообщить модератору

32. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от Аноним (32), 14-Окт-22, 18:04
> В NPM выявлена недоработка... Да ладно, серьёзно!?
Ответить \| Правка \| Наверх \| Cообщить модератору

33. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+1 +/–
Сообщение от AKTEON (?), 14-Окт-22, 18:11
А может быть просто не надо тянуть свежие версии из публичных репозиториев без аудита ??
Ответить \| Правка \| Наверх \| Cообщить модератору

38. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	–1 +/–
Сообщение от Igraine (ok), 14-Окт-22, 19:27
В npm можно свой user-scope или organization-scope создать тогда никто не сможет загрузить пакеты с вашим именем. Или просто загрузить пакеты с тем же именем
Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
	Сообщение от pashev.ru (?), 14-Окт-22, 19:38
	Какое дело честному человеку до левых репозиториев?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+1 +/–
	Сообщение от Аноним (42), 14-Окт-22, 21:15
	Какое дело честному человеку до репозиториев?
	Ответить \| Правка \| Наверх \| Cообщить модератору

45. "Атака на NPM, позволяющая определить наличие пакетов в прива..."	+/–
Сообщение от darkshvein (ok), 14-Окт-22, 23:33
нет NPM, нет и атак
Ответить \| Правка \| Наверх \| Cообщить модератору