| 1.1, Аноним (-), 12:26, 05/11/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Патч говорит сам за себя;
- cmd = "echo \'#{cmd}\' >> #{auth_file}"
- system(cmd)
+ open(auth_file, 'a') { |file| file.puts(cmd) }
Подумывал использовать GitLab, но после такого ляпа уж лучше останусь на GitHub.
| | |
| |
| |
| |
| 4.7, Аноним (-), 13:18, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> поясните для непрограммиста, в чем соль?
Ну представь, что параметр #{cmd} выглядит как "1; rm -rf /*"
| | |
| 4.17, Аноним (-), 17:35, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> поясните для непрограммиста, в чем соль?
Редкостный быдлoкод, который потом делает system() не валидируя входные данные. Что позволяет выполнить ... да все что может текущий юзер - то и можно :)
| | |
|
|
| 2.5, zomg (?), 13:10, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
- cmd = "echo \'#{cmd}\' >> #{auth_file}"
- system(cmd)
Это шикарно.
| | |
| |
| |
| 4.21, Аноним (-), 18:42, 05/11/2013 [^] [^^] [^^^] [ответить]
| +2 +/– |
А нефиг создавать скрытые каталоги в корне. Тогда и проблем у взламывающих вас хаксоров не будет.
| | |
|
| 3.11, Mike Lee (?), 14:36, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну если у вас пользователю под которым GitLab крутится разрешено sudo rm без пароля дергать, так при чем тут GitLab
| | |
| |
| 4.12, тигар (ok), 14:43, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 давно пора знать, что ценны на машинах именно пользовательские данные. другими словами, sudo для rm не нужен (если пакостник не клинический "Аноним")
p.s. щас начнется... бэкапы, распределенность и тд. все это круто, но N времени сервис будет не доступен, привычными путями.
| | |
| |
| 5.18, Аноним (-), 17:38, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> давно пора знать, что ценны на машинах именно пользовательские данные.
Отсюда мораль: не держите ценных данных под юзером под которым httpd крутится. Впрочем бсдоидным кулсисопам это бесполезно объяснять.
| | |
| |
| 6.19, тигар (ok), 17:59, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> давно пора знать, что ценны на машинах именно пользовательские данные.
> Отсюда мораль: не держите ценных данных под юзером под которым httpd крутится.
> Впрочем бсдоидным кулсисопам это бесполезно объяснять.
как давно gitlab крутится под httpd ?
луноходные спициалисты с путти.экзе сегодня, смотрю, в ударе
| | |
|
| 5.20, kurokaze (ok), 18:01, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >давно пора знать, что ценны на машинах именно пользовательские данные. другими словами, sudo для rm не нужен (если пакостник не клинический "Аноним")
Пора бы уже знать что gitlab ставится от имени служебного пользователя
| | |
| |
| 6.22, Аноним (-), 18:44, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Пора бы уже знать что gitlab ставится от имени служебного пользователя
А что, на серваке могут быть еще и данные _не служебных_ пользователей?
| | |
|
|
| 4.14, Сталин (?), 15:07, 05/11/2013 [^] [^^] [^^^] [ответить]
| +/– |
> ну если у вас пользователю под которым GitLab крутится разрешено sudo rm
> без пароля дергать, так при чем тут GitLab
KVM виртуалку не жалко
| | |
|
|
| 2.13, arisu (ok), 14:53, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 рыдаю от умиления. хочу посмотреть в широко открытые стеклянные глаза того, кто это изначально написал. просто так, из любопытства.
| | |
| |
| 3.23, Аноним (-), 19:08, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
> рыдаю от умиления. хочу посмотреть в широко открытые стеклянные глаза того, кто
> это изначально написал. просто так, из любопытства.
Рубисты же. Модно-стильно-молодежно. Офигенно безопасно. И system() освоили заодно.
| | |
| |
| 4.26, arisu (ok), 19:30, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
руби хороший. the planet is fine. the people are fucked.
| | |
|
| 3.25, PavelR (ok), 19:16, 05/11/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
бонусом надо посмотреть в глаза и остальным членам команды, которые "делают review" кода друг друга :-))
| | |
|
|
|
