The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в сервисе Librem One, выявленная в день его запуска

02.05.2019 11:52

В сервисе Librem One, нацеленном на использование в смартфоне Librem 5, сразу после запуска всплыла критическая проблема с безопасностью, которая дискредитирует проект, преподносимый как защищённая платформа для обеспечения приватности. Уязвимость найдена в сервисе Librem Chat и позволяла зайти в чат под любым пользователем, без знания параметров аутентификации.

В использованном коде бэкенда авторизации через LDAP (matrix-appservice-ldap3) для сети Matrix была допущена ошибка, которая оказалась перенесена и в код рабочего сервиса Librem One. Вместо строки "result, _ = yield self._ldap_simple_bind" было указано "result = yield self._ldap_simple_bind", что позволяло любому пользователю без авторизации войти в чат под любым идентификатором. Допустившие ошибку разработчики проекта Matrix утверждают, что проблема проявлялась только в master-ветке "matrix-appservice-ldap3", а не в релизах, но в репозитории проблемная строка присутствует ещё с 2016 года (возможно условия для эксплуатации проблемы возникли только после каких-то других недавних изменений).

Введённый в строй набор сервисов Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год), но при этом за основу мобильных клиентов и серверных обработчиков взяты существующие открытые проекты, которые были переименованы для распространения под брендом Librem. Например, Librem Chat является переименованным Matrix-клиентом Riot, Librem Social основан на Tusky, Librem Mail переименован из K-9, Librem Tunnel заимствован из Ics-openvpn. Серверные компоненты основаны на Postfix и Dovecot для Librem Mail, Matrix для Librem Chat и Mastodon для Librem Social. В качестве причины поставки приложений под другими названиями называется желание собрать под одним узнаваемым брендом различные децентрализованные сервисы на базе открытых стандартов (Matrix, ActivityPub, IMAP).

  1. Главная ссылка к новости (https://puri.sm/posts/undersco...)
  2. OpenNews: В PureOS добавлен адаптивный интерфейс для мобильных устройств и больших экранов
  3. OpenNews: Опубликованы макеты мобильного интерфейса GNOME для смартфона Librem 5
  4. OpenNews: Успешно собраны средства на производство свободного смартфона Librem 5
  5. OpenNews: Компания Purism намерена выпустить смартфон Librem 5 на базе СПО и Linux
  6. OpenNews: Подробности про второй взлом Matrix. Скомпрометированы GPG-ключи проекта
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: librem
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (98) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, freehck (ok), 12:15, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Ну, Librem теперь можно разве что поздравить. =)
     
     
  • 2.17, Аноним (17), 13:35, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Что-то Matrix вообще не везет в последнее время...
     
     
  • 3.32, Аноним (32), 16:04, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    просто им начали пользоваться кто-то кроме полутора его разработчиков. Ничего, скоро до них дойдет, что такое разработка ПО со всей ответственностью, а не сидение на мамкиных борщах.
     
  • 3.54, Аноним (54), 19:46, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Жопоруким вообще часто не везёт.
     
  • 3.71, Dmitry77 (ok), 23:09, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    нафига этот матрикс вообще нужен? есть более провереные и надёжные протоколы.
    Пользуйтесть delta.chat
     
  • 2.22, Аноним (22), 14:15, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Да, дырочка весьма кстати. Теперь можно ещё раз отложить поставку по предзаказам. ;)
     
     
  • 3.55, Аноним (54), 19:49, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так дырка не в железе/прошивке, а в онлайн-сервисе. Так что не проканает, пусть другую отмазку ищут.
     

  • 1.2, Аноним (2), 12:22, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    После этой истории отношение к Librem и Purism у меня сильно изменилось. Громко раструбили https://puri.sm/posts/the-new-librem-one-services/ о запуске суперзащищённых и охраняющих приватность сервисов. Затем вляпались в огромную дыру и стали отмазываться, что код не их, они готовый взяли. Подозреваю, что если бы не дыра то поста  https://puri.sm/posts/how-purism-works-upstream-and-gives-back/ бы небыло и о том, что их платные сервисы лишь переупаковка чужого кода знали бы лишь избранные.

    Нехороший осадок остался, переименовали master-ветки других проектов без изначального упоминания. Собрались стричь бабло, но вляпались и только тогда раскрыли карты. В новостях https://puri.sm/news/ на общей странице они кстати пост про дыру не разместили, только по прямой ссылке и в блоге для разработчиков.

     
     
  • 2.6, Аноним (6), 12:47, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > избранные

    Ну конечно, знакомого интерфейса никто-никто бы не увидел. А ovpn и tusky, извините, под gpl

     
  • 2.16, Аноним (16), 13:35, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    В защищенных системах тоже существуют баги, особенно на старте.
    Благо о проблеме не умолчали, что позволяет надеяться на лучшее.
    Переименование открытого софта как миниум странно, желание собрать несвязанный софт под одним брендом не понимаю(разве что пускать пыль глаза, что мы "все это сделали со звездочкой)". Подписка на сервисы свободного софта и вовсе дикость. Впрочем альтернатив особо нет - либо рабские андройд\йос, либо такой вот пуризм.
     
     
  • 3.18, freehck (ok), 13:47, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > В защищенных системах тоже существуют баги, особенно на старте.

    Это, конечно, правда. Вот только все эти "защищённые из коробки сервисы" есть популизм чистой воды, рассчитанный в первую очередь на людей, которые мечтают за любые деньги купить кнопку "сделай мне зашибись секурно". Хорошим специалистам такие сервисы не нужны. Плохим специалистам они не помогут. А подобные новости сильно сузят круг людей, желающих связаться с этой компанией.

    > Благо о проблеме не умолчали, что позволяет надеяться на лучшее.

    Надеяться можно, да. Я лично желаю ребятам успеха, равно как и всем, кто что-либо делает.

    > разве что пускать пыль глаза, что мы "все это сделали со звездочкой"

    Маркетинг, сэр! =)

     
     
  • 4.36, хотел спросить (?), 16:36, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    вопрос в том что такие "проблемы" с софтом могут свидетельствовать о проблеме с железом

    а мне нравится идея физическое отключение микро и т.д. и отделение модема и его блоба от основного кирпича на котором софт крутится

    только какова же реализация?

     
  • 3.47, Michael Shigorin (ok), 18:24, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –12 +/
    /me погладил ёлочку :)
     
  • 3.53, Ключевский (?), 19:41, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Подписка на сервисы свободного софта и вовсе дикость

    С какого бодуна «дикость»? Подписка на сервисы, которые работают на их серверах, на серверах ими обслуживаемых. Нормальная практика совершенно. Не хочешь пользоваться? Не плати и не пользуйся.

     
  • 2.56, Аноним (54), 19:52, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Затем вляпались в огромную дыру и стали отмазываться, что код не их, они готовый взяли.

    Их ошибка тут есть, но всё же она не в том, что они допустили дырку, а в том, что связались с модным стартапом Matrix.

     

  • 1.3, Аноним (3), 12:25, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Но ведь виноваты тут разрабы матрицы, а не либрема.
     
     
  • 2.19, Аноним (19), 14:00, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +19 +/
    Виноваты разработчики либрема, не выполнившие тестирование и аудит. За что они собирались брать бабло?
     
     
  • 3.57, Аноним (54), 19:54, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За железку и дистрибутив, как вариант. Это уже немало, даже если бы дополнительных онлайн-сервисов вообще не прилагалось. Ты же не ругаешь дистрибутив каждый раз, когда в каком-нибудь пакете обнаруживается уязвимость, приехавшая из апстрима.
     
     
  • 4.66, Аноним (66), 20:55, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем нужен такой дистриб и его ментейнеры. Можно самому хоть из гита собирать и не заботится что там приедет.
     
     
  • 5.68, Аноним (54), 21:41, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ты так и делаешь, вероятно?
    Сюрприз-сюрприз: майнтейнеры дистрибутивов не проводят никакого аудита, разве что лицензионную чистоту проверяют. Ну в крайнем случае могут обнаружить *****код, на который заругается их компилятор/интерпретатор, или пофейлившиеся юнит-тесты.
     
     
  • 6.74, Аноним (66), 11:44, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    А, стейбл-ветка с заморозкой версий и портирование только патчей безопасности для тебя сюрприз?
    Ну ок, расскажи где таким макаром работаешь, что бы обходить эту фирму стороной.
     
     
  • 7.79, Аноним (54), 12:21, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А, стейбл-ветка с заморозкой версий и портирование только патчей безопасности для тебя сюрприз?

    Не понимаю, каким образом ты мог сделать такой вывод, и тем более какое это всё имеет отношение к какому-то мифическому аудиту.

     
     
  • 8.85, Аноним (66), 16:21, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    -- Сюрприз-сюрприз майнтейнеры дистрибутивов не проводят никакого аудита, разве... текст свёрнут, показать
     
     
  • 9.87, Аноним (54), 17:05, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Найдёшь десять отличий И мой тебе совет прежде чем бросаться умными словами ти... текст свёрнут, показать
     
     
  • 10.88, Аноним (66), 21:26, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А, попытка перевести разговор в русло что удобно тебе Не выйдет соскочить и при... текст свёрнут, показать
     
     
  • 11.90, Аноним (54), 00:09, 04/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Молодец Теперь прочитай и то, что писал я В ч... текст свёрнут, показать
     
     
  • 12.91, Аноним (54), 00:12, 04/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В чём я неправ ... текст свёрнут, показать
     
     
  • 13.93, Аноним (66), 01:10, 04/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе уже сказали следить за тем с чего началось обсуждение - аудит и тестировани... текст свёрнут, показать
     
     
  • 14.94, anonymous (??), 11:52, 04/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Так он и ответил, что maintainer-ы дистрибутивов не проводят ни аудита, ни тести... текст свёрнут, показать
     
  • 2.20, Аноним (22), 14:06, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А особенно не при делах усердно рекламировавшие этих пызнесменов анонимы.
     
  • 2.25, Аноним (25), 15:07, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Либремы предоставляли его под своим именем, так что в данном случае к матриксу никаких претензий.
     

  • 1.4, Аноним (4), 12:26, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Переименование сервисов.... Это кого-то мне напоминает. Денис Попов постарался?
     
     
  • 2.5, Какаянахренразница (ok), 12:38, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дениска, вроде, ещё и тексты лицензий удалял.
     
  • 2.7, anonymous (??), 12:49, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Purism делает готовый продукт для конечного протребления на базе свободных (собственно аналогично делает и почти любой современный проприетарщик) и, как понимаю, думает о user experience при компановке этих продуктов. То есть их достижение не в переименовании сервисов, а в реальной тяжёлой работе (которую лично я бы не потянул как хобби проект, не знаю как Вы).
     
     
  • 3.12, Аноним (12), 13:07, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    >То есть их достижение не в переименовании сервисов, а в реальной тяжёлой работе (которую лично я бы не потянул как хобби проект, не знаю как Вы)  

    наивное летнее дитя. На этом сайте каждый настраивает постфикс минимум раз в неделю. А барыги из пуризма совсем охренели - брать бабло за хостинг с бесплатным софтом! Раз софт бесплатный, значит и хостинг должен быть бесплатным, очевидно же.

     
     
  • 4.26, Аноним (26), 15:10, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Железо для хостинга тоже бесплатное, очевидно
     
     
  • 5.30, Аноним (30), 15:44, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    электроэнергия для этого всего тоже бесплатная, очевидно
     
  • 5.70, виндотролль (ok), 22:20, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    очевиндо этот аноним не понимает сарказма
     
  • 4.37, хотел спросить (?), 16:38, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    я настриваю его максимум раз в год в связи со сменой сервера
    чет не понимаю накой раз в неделю.. админы? так не все же
     
     
  • 5.86, OpenEcho (?), 16:58, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    наверное под настройкой подрузумевалось подкручивание header_checks или postscreen_access, что там настраивать еще каждую неделю хотелось бы узнать. Очень.
     
  • 4.69, Аноним (54), 21:46, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > На этом сайте каждый настраивает постфикс минимум раз в неделю.

    Брехня. Я, например, этим не каждый год занимаюсь.

    > А барыги из пуризма совсем охренели - брать бабло за хостинг с бесплатным софтом! Раз софт бесплатный, значит и хостинг должен быть бесплатным, очевидно же.

    А за железо и электричество кто платить будет? Это ж не гугл, который любезно твою почту попарсит и выдаст по ней контекстную рекламу, чтобы покрыть свои расходы.

     
  • 4.103, Аноним (103), 02:22, 18/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    И никто выше не понял что это был сарказм...
     
  • 2.13, fleonis (ok), 13:13, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ага, эволюционировал :)
     
  • 2.59, Аноним (54), 19:57, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Переименование сервисов.... Это кого-то мне напоминает.

    Примерно каждого поставщика почтовых сервисов, который использует те же Postfix и Dovecot?
    Не, в чём проблема-то? В том, что на этот раз от тебя не скрыли, что под капотом?

     

  • 1.8, InuYasha (?), 12:49, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Трэш какой-то с этими именами. Разве трудно было просто взять и предустановить софт под исходными именами? Я понимаю, конечно, что авторы линуксофта любят упражняться в остроумии и называть софт так, чтобы аналитики ФСБ не смогли догадаться что Дельфин - это файловый менеджер, а aptitude, audacity, anality, idioty - набор полезного софта... Но всё равно, что-то здесь не так.
     
     
  • 2.9, anonymous (??), 12:52, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Из ссылки из комментариев чуть выше даётся такой официальный ответ ... текст свёрнут, показать
     
     
  • 3.98, InuYasha (?), 14:31, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я читал. И это меня напрягает - т.е. что такое Watsup и Facebok юзеры знают и не напрягаются, а вот тут вдруг и их мозговой потенциал пропадает. Почему?
     
     
  • 4.102, anonymous (??), 22:33, 06/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Прошу прощения, не понял о чём Вы)

    Стандартно на телефонах и планшетах сейчас всё называется предельно просто: "Почта", "Интернет", "Чат" и т.п. Всё это чтобы не перенагружать пользователя. Librem решили просто соблюсти эту славную традицию.

     
  • 2.14, Аноним (6), 13:15, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Опеннет эксперт решил что нужно весь софт называть его категорией. Video player, video player, mail client, mail client 2, mail client 3!
     
     
  • 3.99, InuYasha (?), 14:36, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Опеннет эксперт решил что нужно весь софт называть его категорией. Video player,
    > video player, mail client, mail client 2, mail client 3!

    Я бы не отказался.
    Media player classic
    Sound Forge
    Video Director
    sndrec32 :)

    Есть же всякие kmplayer, smplayer, qmmp. Если б не аббревиатуры даже в меню, то было бы очень здорово. А то в результате пусковое меню обрасло к каждому названию программы ещё и строкой описания. :) Нет, выкидывать её не надо, конечно, просто факт.

     
  • 2.27, Аноним84701 (ok), 15:18, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Я понимаю, конечно, что авторы линуксофта любят упражняться в остроумии и называть софт так, чтобы аналитики ФСБ не смогли догадаться что Дельфин - это файловый менеджер, а aptitude, audacity,
    > anality, idioty - набор полезного софта...

    И то ли дело такие интуитивно-понятные названия, как: Outlook, Edge, AIMP,  Winamp, Windows Explorer, IrfanView, ACDSee?

     

  • 1.10, А (??), 12:54, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    result, _ = ...

    Наркоманы блин, что уж сразу не

    result,:%^#@./ _+- =:= ...

     
     
  • 2.24, Аноним (24), 14:42, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Обычное поведение для неиспользуемых переменных, в чём проблема?
     
     
  • 3.43, Аноним (43), 18:13, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У этого психологического феномена есть собственное название, но оно у меня начисто вылетело из головы. Суть заключается в том, что его раньше унижали за выбор языка, и ему это было неприятно. Поэтому он копирует поведение своих обидчиков, чтобы таким образом показать, мол, я тоже часть стаи, не надо меня трогать.
     
  • 3.51, А (??), 19:11, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем спецсимволы? Зачем их так много? result = понятен всем, unset var понятен всем и т.п. Зачем вся это ахинея с ;?*:,№?_%"! __dw__?
     
  • 3.60, Аноним (54), 20:00, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Обычное поведение для неиспользуемых переменных

    Оно обычно далеко не для всех языков и очень далеко от интуитивного. Поэтому такие ошибки и случаются, причём отнюдь не редко.

     
     
  • 4.75, Аноним84701 (ok), 11:46, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Оно обычно далеко не для всех языков и очень далеко от интуитивного.
    > Поэтому такие ошибки и случаются, причём отнюдь не редко.

    Используется оно еще со времен Пролога, SML, в реляционной алгебре/калькуляции, Haskell, Scala, OCaml, ржавчине.
    mydata(AnonNr, _, Message,_,_,_,_), вместо mydata(AnonNr, Unused0, Message, Unused1, Unused2, Unused3, Unused4).

    А ошибка тут классическая для динамической типизации, т.к. даже из контекста понятно, что типы TResult и TYieldedPairWhatever совсем разные вещи.
    Писали бы вместо "result, _ ="   "result, u(nused) =" было бы точно такое же кино.

     
     
  • 5.80, Аноним (54), 12:28, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Используется оно еще со времен Пролога, SML, в реляционной алгебре/калькуляции, Haskell, Scala, OCaml, ржавчине.

    О того, что какая-то форма записи используется давно, она не становится автоматически более удачной. А, скажем, в go
    [code]a = foo()[/code]эквивалентно[code]a, _ = foo()[/code]
    С фига ли в питоне не так?

     
     
  • 6.82, Аноним84701 (ok), 13:03, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> Используется оно еще со времен Пролога, SML, в реляционной алгебре/калькуляции, Haskell, Scala, OCaml, ржавчине.
    > О того, что какая-то форма записи используется давно, она не становится автоматически  более удачной.

    Для паттерматчинга в этих ЯП она достаточно удачна:
    foo(x,y,_,_) и foo(x,y,unused,unused) в декларативной сематнике очерь разные выражения.
    А вот размытые определения "(не)интуитивно" обычно просто "синдром утенка"

    > А, скажем, в go [code]a = foo()[/code]эквивалентно[code]a, _ = foo()[/code]
    > С фига ли в питоне не так?

    Во-первых:
    с фига ли вообще в более старом ЯП с дин. типизацией "должно" копироваться поведение более нового, cо статистической?

    Во-вторых:
    > эквивалентно

    [code]
    package main
    import "fmt"
    func foo()(int,int) { return 1,2 }
    func main() {
    y,_ := foo()
    z := foo()
    fmt.Println("y:",y,"z:",z)
    }
    prog.go:8:4: assignment mismatch: 1 variable but foo returns 2 values
    [/code]

    https://golang.org/doc/effective_go.html#blank
    > If an assignment requires multiple values on the left side, but one of the values will not be used by the program, a blank identifier on the left-hand-side of the assignment avoids the need to create a dummy variable and makes it clear that the value is to be discarded.

    ...
    > If you only need the second item in the range (the value), use the blank identifier, an underscore, to discard the first:

    [code]
    sum := 0
    for _, value := range array {
        sum += value
    }
    [/code]
    яснопонятно 🙄

     

  • 1.11, iPony (?), 12:59, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А PVS-studio 🦄 для пайтона нет 😕
     
     
  • 2.21, Аноним (22), 14:11, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не надоело коверкать греческий?
     
  • 2.28, GG (ok), 15:37, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Для пайтона нет проблем тестами покрыть весь проект вдоль и поперёк
    И так же нет проблем написать один раз аккуратную функцию для аутентификации через какой-то бекенд, а не городить новый велосипед в каждом отдельном случае.

    Такие ошибки попадают в продакшн исключительно от рукожопия.

     

  • 1.15, Аноним (15), 13:27, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Что езе раз подтверждает ущербность matrix
     
     
  • 2.23, Аноним (16), 14:28, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Что езе раз подтверждает ущербность matrix

    Предлагай альтернативу

     
     
  • 3.29, Аноним (29), 15:39, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    XMPP, Tox
     
     
  • 4.38, хотел спросить (?), 16:40, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    сам на токсе сижу.. но почему он не развивается?
    говорят новые девы "не вытягивают"
     
     
  • 5.42, Аноним (42), 18:10, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    слабенькие программисты сейчас пошли, только жс осиливают. а в лучшем случае шарп или го.
     
  • 4.67, Аноним (66), 20:59, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    <позевывая в очередной раз>
    Что там нам предлагается в очередной раз для использования большими компаниями с поддержкой аудио-видео конференций, прозрачной авторизацией и поддержкой лдап?
    А, всё тот же конструктор собери_сам_и_попрбуй_взлететь?
    Ничего нового.
     
  • 3.61, Аноним (54), 20:02, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Jami. Он хоть какой-то аудит проходил, к тому же serverless.
     
  • 3.73, Аноним (73), 07:09, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Предлагай альтернативу

    Skype, WhatsApp, Viber

     
     
  • 4.81, Аноним (54), 12:29, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Конечно, товарищ майор, только ими и пользуемся. Как Вы могли сомневаться?
     

  • 1.31, Дон Ягон (?), 15:54, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Matrix снова порадовал нас дырой. Почему я не удивлён? Интересно, сколько ещё инцидентов потребуется, чтобы в общественном сознании разрушился миф о том, что matrix - надёжный и безопасный опенсорс чят?
     
     
  • 2.34, Аноним (34), 16:27, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Референсный клиент на электроне - нуфф сэйд.
     
     
  • 3.35, Дон Ягон (?), 16:29, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Референсный клиент на электроне - нуфф сэйд.

    Тоже обращаю на такое внимание и считаю, что это, как минимум, звоночек.

     
  • 2.40, anonymous (??), 17:29, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Справедливости ради, тут была тупо опечатка, а не какая-то ошибка в design-е приложения (приводящая к проблемам безопасности).

    А "снова" -- это про что речь? Недавно ещё какая-то столь же серьёзная проблема была?

     
     
  • 3.45, Дон Ягон (?), 18:20, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Справедливости ради, тут была тупо опечатка, а не какая-то ошибка в design-е приложения (приводящая к проблемам безопасности).

    И что? Поимеют тебя, а ты такой: "Сорян парни, нещитово! Это не ошибка в дезигне, а тупо опечатка.". И все такие сразу разойдутся и расстроятся.

    > А "снова" -- это про что речь? Недавно ещё какая-то столь же серьёзная проблема была?

    "Снова" - это я всё же некорректно написал. Ну т.е. я не сомневаюсь, что оно насквозь дырявое, но имел ввиду я вот эти недавние события:
    https://www.opennet.ru/opennews/art.shtml?num=50501
    https://www.opennet.ru/opennews/art.shtml?num=50502
    Все эти "опечатки" и торчащие наружу дженкинсы непротиворечиво показывают, какой именно орган клали разработчики на безопасность.

     
     
  • 4.84, anonymous (??), 14:19, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > торчащие наружу дженкинсы

    Понятно, вот это действительно выглядит как халатное отношение к security и privacy :(

     
  • 3.62, Аноним (54), 20:04, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это не опечатка. Это мелкая ошибка, имеющая крупные последствия. Процентов 95 всех уязвимостей так выглядят.
     
     
  • 4.83, anonymous (??), 14:16, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я убёжден, что в >99% крупных проектов есть такого рода опечатки.

    Собственно, когда находят уязвимость -- это хорошо. Далее становится интересна причина появления этой уязвимости, чтобы понять насколько можно доверять этому проекту. И если уявимость была вызвана опечаткой (а не каким-то плохим принятым техническим решением), то не надо сразу из-за этого закапывать проект (как некоторые местные комментаторы), по моему скромному мнению :)

     

  • 1.39, Аноним (39), 17:06, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Питон, такой питон.
     
     
  • 2.46, Аноним (43), 18:20, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В данном случае эта ошибка универсальна для большинства нетипизированных языков.
     
     
  • 3.64, виндотролль (ok), 20:12, 02/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    s/нетипизированных/любимых макаками/
     

  • 1.41, Аноним (41), 17:42, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну и дырища
     
  • 1.44, Аноним (44), 18:15, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Был бы сам телефон Librem 5, а софт и из исходников с официальных сайтов проектов самостоятельно установим.
     
  • 1.48, Эффективный менеджер (?), 18:28, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Уязвимости - то второстепенно. Главное - как можно скорее выйти на рынок.
     
  • 1.50, Аноним (50), 18:59, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Питон особо не поможет (или не помешает, кому как), если на весь компонент "супер защищенного мессенджера" три сомнительных теста:
    https://github.com/matrix-org/matrix-synapse-ldap3/blob/master/tests/test_simp

    А особенно с такими проверками 'if not result:' (которая скорее слепа, чем полезна) есть ощущение, что новостей феерических еще будет от проекта.

     
  • 1.52, zower (ok), 19:38, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >преподносимый как защищённая платформа для обеспечения приватности.
    >что позволяло любому пользователю без авторизации войти в чат под любым идентификатором.
    >Librem One подразумевает платную подписку ($7.99 в месяц или $71.91 в год)

    Интересно какой лох после такого будет покупать у них что-то? если и найдутся такие, не когда им супер анонимками не стать, ибо даже с опеннета анонимы буду смотреться солидней чем те кто воспользуются этим платным 💩.😆

     
  • 1.63, виндотролль (ok), 20:11, 02/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    чего еще можно было ждать от питономакак
     
  • 1.76, Аноним (76), 11:53, 03/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > +result, _ = yield self._ldap_simple_bind
    > -result, _ = yield self._ldap_simple_bind

    И дыра. Вот такой вот он, охрененный питоновский синтаксис.

     
     
  • 2.77, Аноним (76), 11:54, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > -result, _ = yield self._ldap_simple_bind
    > +result = yield self._ldap_simple_bind
     

  • 1.78, Аноним (78), 12:15, 03/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Желная новость ни о чем.
    Обычная бага. Сервис ведь только создали. Фиксится мгновенно.
    И причем тут еще не вышедший телефон? Лишь бы говна налить.

    А по существу во всем виноват хипстерский питон.

     
     
  • 2.89, виндотролль (ok), 22:27, 03/05/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    хипстерский??? Даже хипстеры уже додумались до статической типизации. Куда не плюнь, везде фп и строгая богатая система типов.

    Питон — это какое-то коллективное помешательство, которое, к счастью, вытесняется все больше и больше.

     
  • 2.92, Michael Shigorin (ok), 00:31, 04/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это была довольно унылая попытка at downplaying, имейте в виду.
     

  • 1.95, Аноним (95), 17:45, 04/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Питон? А что вы ожидали от динамически-типизированного языка...
     
  • 1.96, Аноним (96), 04:54, 05/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто нибудь пояснит смысл этого сервиса? То есть компания будет собирать всю секретную переписку пользователей за их же деньги и хранить в своём "секретном" хранилище? Это же а_рабство чистой воды!
     
     
  • 2.97, anonymous (??), 11:01, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос не риторический (сам не пользовался, поэтому не знаю): А тот же Matrix разве не федеративный? Если федеративный и разрешается использовать собственный сервер, то в этом есть смысл.
     
  • 2.100, Аноним (100), 21:02, 05/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Переписка в матриксе на серверах не хранится.
     

  • 1.101, Анонимомус (?), 13:17, 06/05/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что-то я запутался, Librem 5 будет на андроиде?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру