The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

05.03.2012 17:59  В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий

Проект GitHub уведомил пользователей об инциденте, в результате которого произошло неавторизированное внедрение кода в репозиторий проекта Ruby On Rails. Уязвимость, из-за которой стал возможен взлом, уже устранена и начато расследование возможных последствий атаки. В настоящее время все факты свидетельствуют о том, что атака была лишь демонстрацией новой уязвимости, проведённой в открытую одним из исследователей, после того как GitHub и разработчики Ruby On Rails проигнорировали сообщение о наличии проблемы с безопасностью.

Проблема была выявлена и продемонстрирована Егором Хомяковым из Санкт-Петербурга. Уязвимость вызвана особенностью обработки массового присваивания данных форм в популярном web-фреймворке Ruby on Rails и может наблюдаться в различных приложениях, не ограничиваясь GitHub. При помощи бреши в Rails стало возможным внесение изменений и отправка данных в репозиторий любого проекта GitHub, без наличия явных полномочий на выполнение данных операций. За два дня до инцидента Егор оставил уведомление о найденной им уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было закрыто с комментарием, что ошибка находится в зоне ответственности конечных разработчиков приложений на Ruby on Rails. Тогда Егор решил продемонстрировать эту уязвимость в действии и внёс изменения в первичный репозиторий проекта Ruby on Rails, размещённый на GitHub.

Для привлечения внимания разработчиков Егор сначала создал уведомление о проблеме, для заметности установив дату создания, смещенную на 1001 год в будущее. После чего он добавил свой публичный ключ в список коммитеров проекта Ruby on Rails и внёс коммит с комментарием в мастер-репозиторий. После того как GitHub устранил уязвимость Егор Хомяков опубликовал в своём блоге подробный рассказ с описанием метода атаки на GitHub.

Представители GitHub сообщили, что проект инициировал проведение полного аудита используемого кода. В своем сообщении они признали, что Хомяков сообщил им об этой уязвимости двумя днями ранее, но потом без предупреждения осуществил внедрение своего публичного ключа и провёл демонстрационную атаку. "После проведенного анализа действий Хомякова, никакой зловредной активности с его стороны не обнаружено" – сообщил GitHub. По сообщению GitHub, заблокированный после инцидента аккаунт Хомякова теперь восстановлен.

Проблема, известная как уязвимость массового присвоения появилась в Rails с тех пор, как была добавлена возможность устанавливать сразу несколько атрибутов в рамках одного вызова. Эта проблема детально описана в официальном руководстве Rails Security Guide, в том числе, там описано и как с ней бороться, но, к сожалению, функциональность необходимая для этого по-умолчанию отключена в стандартной инсталляции Ruby on Rails. И хотя в данном конкретном случае эта проблема в GitHub уже устранена, множество Rails-приложений по всему миру по-прежнему подвержены этой уязвимости.

Коварность ситуации в том, что эта уязвимость не только хорошо известна, но и в том, что бороться с ней часто нет никакой технической возможности при неправильно выполненной установке. Хорошая новость заключается в том, что после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован следующих релиз Ruby on Rails, активировав белый список атрибутов по-умолчанию в стандартной установке, что даёт возможность бороться с этой уязвимостью. Всем текущим пользователям Ruby on Rails разработчики рекомендуют незамедлительно провести аудит кода, чтобы убедиться в том, что их система не была скомпрометирована сторонними лицами.



  1. Главная ссылка к новости (http://www.h-online.com/open/n...)
Автор новости: Igor Savchuk
Тип: Проблемы безопасности
Ключевые слова: ruby, rails, ror, github, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.5, Loooooker, 19:13, 05/03/2012 [ответить] [смотреть все]
  • +12 +/
    Затейник )
    Их же граблями да по голове )
     
     
  • 2.6, Andrey Mitrofanov, 19:21, 05/03/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Security circus, как говаривал один американский швед финского происхождения ... весь текст скрыт [показать] [показать ветку]
     
  • 1.8, Аноним, 20:05, 05/03/2012 [ответить] [смотреть все]  
  • –4 +/
    операться надо на многократно проверенное, а не на удобное...
     
     
  • 2.12, Аноним, 20:19, 05/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    ... на Perl
     
     
  • 3.16, kuraga, 20:52, 05/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Причем тут это Разрабы поленились написать код Разница, какой язык Никакой ... весь текст скрыт [показать]
     
     
  • 4.45, Аноним, 07:20, 06/03/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну разве что если лень разработчиков рельсы, тогда да ... весь текст скрыт [показать]
     
     
  • 5.80, kuraga, 18:31, 06/03/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну А кто сказал, что она должна быть ВКЛЮЧЕНА Программист проекта САМ должен з... весь текст скрыт [показать]
     
     
  • 6.111, Аноним, 09:21, 07/03/2012 [^] [ответить] [смотреть все]  
  • +/
    да вы че это одна строчка в модели, которая к тому-жу по умолчанию попадает, е... весь текст скрыт [показать]
     
     
  • 7.113, kuraga, 21:20, 07/03/2012 [^] [ответить] [смотреть все]  
  • +/
    ВКЛЮЧАЕМА - значит ее можно включить, ЕСЛИ она выключена что по умолчанию это т... весь текст скрыт [показать]
     
  • 1.9, Аноним, 20:06, 05/03/2012 [ответить] [смотреть все]  
  • +1 +/
    дьявол кроется в удобстве!
     
     
  • 2.29, Аноним, 22:05, 05/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    > дьявол кроется в удобстве!

    ...коммита в чужие проекты... ;]

     
  • 1.23, evgeny_t, 21:18, 05/03/2012 [ответить] [смотреть все]  
  • +/
    да надо было сразу в ядро комитить )
    вот шухер то был )
     
     
  • 2.28, Аноним, 22:04, 05/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +10 +/
    Да не, перец все правильно сделал, вкомитив фикс прямо виновникам бага. Эпик лулз! :)
     
     
  • 3.32, Псто, 23:59, 05/03/2012 [^] [ответить] [смотреть все]  
  • –5 +/
    товарищь, не ленись - пользуйся головой бага нет простой косяк разработчиков г... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 07:08, 06/03/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    Добро пожаловать в матрицу Бага нет, а левые коммиты - есть Trollaface jpg Как... весь текст скрыт [показать]
     
     
  • 5.58, zy, 12:42, 06/03/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, ... весь текст скрыт [показать]
     
     
  • 6.73, Аноним, 16:20, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Слушайте, прыг по граблям - многофазный процесс Один кладет грабли, второй не с... весь текст скрыт [показать]
     
     
  • 7.81, kuraga, 18:35, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Бред Отключенный белый список - ровно такая же грабля, как и наоборот Целью фр... весь текст скрыт [показать]
     
     
  • 8.117, Аноним, 23:21, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Зато более безопасная грабля Лучше пусть уж у грабель ручка будет обернута поро... весь текст скрыт [показать]
     
  • 4.59, SLK, 12:55, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Да ладно, тролю напоминать про голову бесполезно Для тех кто не понял Это не б... весь текст скрыт [показать]
     
     
  • 5.71, gegMOPO4, 15:01, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Следить, конечно, обязаны, тут они, конечно, ошиблись Но есть более приличные с... весь текст скрыт [показать]
     
     
  • 6.87, arisu, 19:41, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    а кто вламывался-то O_O сказали же это фича фичу можно использовать если зам... весь текст скрыт [показать]
     
     
  • 7.92, gegMOPO4, 20:54, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Если владелец цифрового замка оставляет код 12345 хотя в инструкции к замку нас... весь текст скрыт [показать]
     
     
  • 8.95, arisu, 21:13, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    если не написано, что незаконно 8212 то законно разве в ToS гитхаба написано... весь текст скрыт [показать]
     
     
  • 9.97, gegMOPO4, 21:18, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    А у вас на дверях написано, что нельзя входить и делать что хочется?
     
     
  • 10.100, arisu, 21:26, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    это в законе написано в таком документе, который называется 171 Конституция ... весь текст скрыт [показать]
     
  • 10.126, Аноним, 00:03, 10/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Иногда - очень доходчиво написано Например как-то так http leprastuff ru d... весь текст скрыт [показать]
     
  • 5.74, Аноним, 16:21, 06/03/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    Для начала, дефолты должны быть безопасными А не так что мы разбросаем на поле ... весь текст скрыт [показать]
     
     
  • 6.79, SLK, 18:25, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Согласен Думаю, что всем разраобчикам ORM библиотек не только ActiveRecord и н... весь текст скрыт [показать]
     
  • 6.82, kuraga, 18:39, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Спорно Ибо абсолютной безопасности пока нет Поэтому и безопасные по дефолту ... весь текст скрыт [показать]
     
     
  • 7.88, arisu, 19:42, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    однако мне кажется, что более верный подход 8212 делать потенциально опасные ... весь текст скрыт [показать]
     
     
  • 8.102, kuraga, 22:19, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Согласен Но я считаю неправильным, если программист АПРИОРИ ПОЛАГАЕТ, что это т... весь текст скрыт [показать]
     
     
  • 9.107, arisu, 22:45, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    натурально, не панацея. но разумные умолчания ещё никому не мешали, думается.
     
     
  • 10.116, Аноним, 23:14, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Более того - сишные компилеры нынче насколько я помню умеют детектить подозрител... весь текст скрыт [показать]
     
  • 1.24, ЫыВ, 21:30, 05/03/2012 [ответить] [смотреть все]  
  • +4 +/
    Егор, успехов!
     
  • 1.26, Аноним, 21:49, 05/03/2012 [ответить] [смотреть все]  
  • +7 +/
    А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отказавшись чинить баг. Ну и получили левый коммит в бубен для наглядной демонстрации.

    Итого: пиплу EPIC WIN. А вот дятлам использующим рельсу следует очень крепко задуматься о том что у разработчиков рубирельсы - ЖИДКИЙ МОЗГ!

     
     
  • 2.35, анон, 00:41, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    это не баг
     
     
  • 3.37, Crazy Alex, 01:07, 06/03/2012 [^] [ответить] [смотреть все]  
  • +6 +/
    Угу. "Это не баг, это фича". На дефолтное register_globals в PHP ругаться - так баг, а подобная же дыра в рельсах - фича? Нет уж, господа, фреймворки для того и нужны чтобы о подобном не думать.
     
  • 3.42, Аноним, 07:09, 06/03/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    С точки зрения хакеров и спецслужб - безусловно, фича офигительного калибра ... весь текст скрыт [показать]
     
     
  • 4.49, Alen, 09:40, 06/03/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Может они от того и не хотели закрывать, что им "настоятельно рекомендовали" ;)
     
  • 3.48, фклфт, 09:03, 06/03/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Конечно не Баг, это просто очередная такая фитча которая появляется время от вре... весь текст скрыт [показать]
     
     
  • 4.75, Аноним, 16:23, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    1 RoR ну совсем никак не относится к кернелам 2 Вы о каком кернеле О том в к... весь текст скрыт [показать]
     
  • 2.83, kuraga, 18:43, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Жидкий мозг у тех, кто не следит за своим кодом и документацией Сегодня это - г... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.118, Аноним, 23:25, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Честно говоря, у почти всех вебдевелов мозг довольно жидковат Как минимум по ча... весь текст скрыт [показать]
     
  • 1.27, Ya, 22:00, 05/03/2012 [ответить] [смотреть все]  
  • +5 +/
    Радостно видеть, что ещё не все мозги из России уехали за рубеж... Респект мужику!
     
     
  • 2.30, Аноним, 23:20, 05/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Ну ничего, вот получит рабочую визу от того же github :3
     
     
  • 3.31, Аноним, 23:31, 05/03/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    На колыму.
     
     
  • 4.50, hummermania, 09:47, 06/03/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    ЩО уже и там github???
     
  • 1.33, Аноним, 00:05, 06/03/2012 [ответить] [смотреть все]  
  • +1 +/
    Кстати, не из Питера он, не видел я его тут.
     
  • 1.34, gegMOPO4, 00:23, 06/03/2012 [ответить] [смотреть все]  
  • +/
    Ну молодец. В пятницу сообщил GitHub об уязвимости, а в воскресенье уже атаковал.
     
     
  • 2.36, Crazy Alex, 01:05, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Такое надо фиксить моментально, вообще-то.
     
     
  • 3.51, gegMOPO4, 11:19, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну вот моментально и пофиксили Как только узнали С кем он там переписывался в ... весь текст скрыт [показать]
     
     
  • 4.63, Alex, 13:24, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Вообще-то багрепорт закрыли с сообщением, что это их не касается... весь текст скрыт [показать]
     
     
  • 5.64, Ваня, 13:30, 06/03/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    http mobile opennet ru cgi-bin openforum vsluhboard cgi az post om 83432 forum... весь текст скрыт [показать]
     
     
  • 6.103, kuraga, 22:22, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Я вообще не понимаю, как хакер нашел уязвимость и ступанул с тем, кому писать.
     
     
  • 7.104, kuraga, 22:25, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Хотя вот тут пишут, что это он так пошутил над RoR :)
     
  • 5.70, gegMOPO4, 14:57, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Кто закрыл и кого не касается? И причём здесь ГитХаб?
     
     
  • 6.101, Crazy Alex, 21:26, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи hin... весь текст скрыт [показать]
     
  • 2.43, Аноним, 07:13, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг Ну е... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, arisu, 07:18, 06/03/2012 [^] [ответить] [смотреть все]  
  • +3 +/
    в общем да, всё логично раз это не баг, то какая проблема в том, что человек ис... весь текст скрыт [показать]
     
     
  • 4.46, Аноним, 07:31, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Вот именно, Капитан В этом и состоит комизм ситуации ... весь текст скрыт [показать]
     
     
  • 5.47, arisu, 07:35, 06/03/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    ну, я на всякий случай расшифровал. Кэп я или нет? надо ж реноме поддерживать.
     
     
  • 6.76, Аноним, 16:24, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    > реноме поддерживать.

    Спасибо, Капитан :)

     
  • 3.52, gegMOPO4, 11:24, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    А при чём здесь RoR Взломал он GitHub Где ссылка на репорт в багтрекере ГитХаб... весь текст скрыт [показать]
     
     
  • 4.62, Ваня, 13:11, 06/03/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Поручик Ржевский приехал к Безухову, но не застал того дома Может в рояль наср... весь текст скрыт [показать]
     
     
  • 5.114, Аноним, 00:04, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Ваня, надо быть скромнее...
     
     
  • 6.115, Аноним, 00:08, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    И вытаскивать дерьмо из карманов, когда выходите в свет ... весь текст скрыт [показать]
     
  • 4.84, arisu, 19:05, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    а бага нет авторы RoR сказали, что это вообще не баг а раз не баг 8212 это ... весь текст скрыт [показать]
     
     
  • 5.94, gegMOPO4, 21:10, 06/03/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Баг не в самом RoR, а в GitHub Если программист на PHP напишет код, допускающий... весь текст скрыт [показать]
     
     
  • 6.96, arisu, 21:14, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    > Баг не в самом RoR, а в GitHub.

    а гитхаб никто не трогал, например.

     
     
  • 7.98, gegMOPO4, 21:20, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Как это не трогал? А новость о чём?
     
     
  • 8.99, arisu, 21:25, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    о том, что немножко пошутили над авторами RoR где в новости информация о том, ч... весь текст скрыт [показать]
     
     
  • 9.105, kuraga, 22:31, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Ну он на него все равно че-т послал :) Та же инъекция-биекция)))))))
     
     
  • 10.106, arisu, 22:44, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    таких 171 инъекций 187 8212 каждый первый коммит - ... весь текст скрыт [показать]
     
  • 4.85, arisu, 19:07, 06/03/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    p s гитхаб он не ломал он воспользовался штатной фичей RoR, чтобы немножко улы... весь текст скрыт [показать]
     
  • 1.40, chemtech, 06:21, 06/03/2012 [ответить] [смотреть все]  
  • +/
    Хочу заметить, что написано не просто "Егором Хомяковым", а "Егором Хомяковым из Санкт-Петербурга")
     
  • 1.53, Аноним, 11:40, 06/03/2012 [ответить] [смотреть все]  
  • +1 +/
    Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внят... весь текст скрыт [показать]
     
     
  • 2.55, AlexYeCu, 11:55, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Использовал русский язык 8212 не поняли Использовал английский язык 8212 ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Andrey Mitrofanov, 12:03, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    --2 наряда вне очереди --Нэпанимаю --3 наряда вне очереди --Нэпанимаю --5 на... весь текст скрыт [показать]
     
  • 1.69, Аноним, 14:40, 06/03/2012 [ответить] [смотреть все]  
  • +/
    В Арче, оказывается, тоже есть страшный баг Установка по-умолчанию не включает ... весь текст скрыт [показать]
     
     
  • 2.72, Аноним, 15:23, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Зачем iptables на десктопной системе? Или к чему это было написано?
     
     
  • 3.77, Аноним, 16:27, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть Такого от ... весь текст скрыт [показать]
     
     
  • 4.89, arisu, 19:50, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    потому что без файрвола винда похожа не просто на решето, а на решето без сита ... весь текст скрыт [показать]
     
     
  • 5.122, Аноним, 23:46, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Там файрвол такой, конечно умеет только на вход и правила примитивные как топ... весь текст скрыт [показать]
     
  • 4.90, Аноним, 19:52, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Назови хоть один случай когда нужно оперировать правилами iptables на десктопной... весь текст скрыт [показать]
     
     
  • 5.119, Аноним, 23:33, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    А легко Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю несколь... весь текст скрыт [показать]
     
  • 4.110, Клыкастый, 23:05, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжение в венд... весь текст скрыт [показать]
     
     
  • 5.120, Аноним, 23:35, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно бру... весь текст скрыт [показать]
     
     
  • 6.121, arisu, 23:40, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    да на здоровье.
     
     
  • 7.123, Аноним, 23:49, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Я что-то не уверен что его пропрет что ремотная активность уперла его проц в пот... весь текст скрыт [показать]
     
     
  • 8.127, Клыкастый, 13:51, 12/03/2012 [^] [ответить] [смотреть все]  
  • +/
    ноут с гигабитным каналом и белым ip однако ... весь текст скрыт [показать]
     
  • 3.78, Аноним, 17:03, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в офиц... весь текст скрыт [показать]
     
  • 3.91, Аноним, 20:00, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Что самое забавное, минусуют те, кто iptables в глаза не видел Зато у них в гол... весь текст скрыт [показать]
     
  • 1.86, arisu, 19:08, 06/03/2012 [ответить] [смотреть все]  
  • +/
    да, кстати. ведь у github насильный https — откуда уязвимость? ведь всем известно: стоит отрубить http и всех насильно переводить на https — и никаких уязвимостей. разве не так?
     
     
  • 2.108, Аноним, 23:02, 06/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не так. Но http при наличии https обязан быть отрублен.
     
     
  • 3.109, arisu, 23:03, 06/03/2012 [^] [ответить] [смотреть все]  
  • +/
    как же это 171 не так 187 а зачем тогда насильно впаривать https, который и... весь текст скрыт [показать]
     
  • 3.124, Аноним, 23:56, 09/03/2012 [^] [ответить] [смотреть все]  
  • +/
    Кто это придумал И главное - что там такого ценного что предлагается шифровать ... весь текст скрыт [показать]
     
  • 1.112, Maxim Filatov, 11:31, 07/03/2012 [ответить] [смотреть все]  
  • +/
    >> после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован релиз Ruby on Rails 3.2

    А у кого тут машина времени?
    Релиз Ruby on Rails 3.2 вышел 20-го января.

     
     
  • 2.125, Аноним, 23:57, 09/03/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    У того самого хацкера, он коммит на 1000 лет вперед сделал, чтоли ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList