The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Опубликован инструмент для выявления проблем с безопасностью..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от opennews (??), 27-Янв-19, 11:59 
Представлен (https://blog.doyensec.com/2019/01/24/electronegativity.html) первый выпуск утилиты Electronegativity (https://github.com/doyensec/electronegativity), предназначенной для выявления некорректных настроек и потенциальных проблем с безопасностью в приложениях, разработанных с использованием платформы Electron (https://electronjs.org/). Код проекта написан на языке JavaScript и поставляется (https://github.com/doyensec/electronegativity) под лицензией Apache 2.0.


Утилита выполняет разбор AST (абстрактное синтаксическое дерево) и DOM, анализирует расхождения с рекомендациями (https://doyensec.com/resources/us-17-Carettoni-Electronegati...) по безопасной разработке с использованием платформы Electron и автоматически выявляет потенциальные проблемы и опасные приёмы разработки. При сканировании приложения утилита распаковывает все ресурсы и анализирует используемый в приложении Javascript-код, HTML-разметку и JSON-блоки. Результат сканирования может быть выведен в форме наглядного текстового отчёта или в форматах CSV и SARIF.

В настоящее время реализовано 27 проверок (https://github.com/doyensec/electronegativity/wiki), подготовленных после изучения типовых уязвимостей (https://doyensec.com/resources/us-17-Carettoni-Electronegati...) в приложениях на базе Electron. Например, проверяется включение настройки "disablewebsecurity", обработка внешних ресурсов без их sandbox-изоляции, обращение к внешним обработчикам, доступ preload-скриптов к Node.js API, переопределение обработчиков протоколов, использование опасных функций (insertCSS, executeJavaScript, eval), отключение блокировки всплывающих окон (allowpopups), обращение к экспериментальным API Chromium, обработка кода без опции "contextIsolation", установка HTTP-соединений без шифрования и т.п.


URL: https://blog.doyensec.com/2019/01/24/electronegativity.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=50034

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Опубликован инструмент для выявления проблем с безопасностью..."  +5 +/
Сообщение от Аноним (1), 27-Янв-19, 11:59 
>Код проекта написан на языке JavaScript

А GUI почему не на электроне?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Опубликован инструмент для выявления проблем с безопасностью..."  +5 +/
Сообщение от DerRoteBaron (ok), 27-Янв-19, 12:02 
Тут это хотя бы логично, г-но лучше г-ном и парсить, тем более там наверняка под это есть с десяток лефтпадов на любой случай г-нокода
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

44. "Опубликован инструмент для выявления проблем с безопасностью..."  –2 +/
Сообщение от Qwerty (??), 28-Янв-19, 15:40 
Что, время идёт, а ты так и не осилил новый инструмент?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Аноним (7), 27-Янв-19, 12:45 
Потому что вызываться оно будет в цикле сборке, а не вручную
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от dnlov4email (ok), 27-Янв-19, 13:21 
Панацея ли?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Опубликован инструмент для выявления проблем с безопасностью..."  –2 +/
Сообщение от Mad Max (?), 27-Янв-19, 13:27 
Очередной hello world для электриков.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

18. "Опубликован инструмент для выявления проблем с безопасностью..."  +11 +/
Сообщение от Аноним (18), 27-Янв-19, 15:29 
Я тоже свою версию опубликовал

#!/bin/bash

echo WARNING: please run this script only on electron apps.
echo Report:
echo $1 is bloated memory-hungry slow bug-ridden crap that should never be used.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Опубликован инструмент для выявления проблем с безопасностью..."  +6 +/
Сообщение от Аноним (27), 27-Янв-19, 20:36 
А ведь мог быть #!/bin/sh
Так что только на полпути от электрона
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

31. "Опубликован инструмент для выявления проблем с безопасностью..."  –3 +/
Сообщение от Аноним (31), 27-Янв-19, 22:12 
#!/usr/bin/env bash
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Опубликован инструмент для выявления проблем с безопасностью..."  –2 +/
Сообщение от X4asd (ok), 28-Янв-19, 14:00 
> #!/usr/bin/env bash

а у это кого баш лежит не в /bin/ ?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Аноним (43), 28-Янв-19, 14:55 
У FreeBSD, например
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от нах (?), 28-Янв-19, 17:27 
там и env не поможет:
> env bash

env: bash: No such file or directory
нахрен он тут нужен-то?

Пишите сразу на электроне.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Аноним (43), 29-Янв-19, 17:01 
Чтобы не страдать с tcsh, например
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

21. "Опубликован инструмент для выявления проблем с безопасностью..."  +3 +/
Сообщение от proninyaroslavemail (ok), 27-Янв-19, 17:33 
А ведь основная масса уязвимостей исходит из node.js. Даже создатель ноды признал своё детище исчадием ада и решил запилить ноду по новой на расте и typescript. Только вряд ли выстрелит, так как в ноду вложено уже приличное количество денег и на уязвимости мягко говоря чихать. Ну или как в новости, а давайте сделаем тулзу чтобы веб разраб сделал хотя бы пару кликов на пути к безопасности своих поделок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Аноним (23), 27-Янв-19, 19:09 
Ноду надо огораживать вокруг, а не искать в ней ошибки. В реальной жизни его должен был огораживать бразер. Но нода вырвалась наружу.
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Опубликован инструмент для выявления проблем с безопасностью..."  –2 +/
Сообщение от proninyaroslavemail (ok), 27-Янв-19, 19:55 
>В реальной жизни его должен был огораживать бразер

Не представляю как изначально серверная нода может крутиться в браузере. Да, движок скрипта из браузера, но доступ к системем построен на сишной библиотеке.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Опубликован инструмент для выявления проблем с безопасностью..."  +2 +/
Сообщение от Аноним (25), 27-Янв-19, 19:51 
Ты же понимаешь, что ты сейчас тупо напридумывал на ходу кучку бреда?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

30. "Опубликован инструмент для выявления проблем с безопасностью..."  +3 +/
Сообщение от Аноним (-), 27-Янв-19, 22:00 
А может окропить его святой водой и все пройдет?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

46. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от святая инквизиция (?), 28-Янв-19, 17:28 
нет, тут только жечь!

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

22. "Опубликован инструмент для выявления проблем с безопасностью..."  +2 +/
Сообщение от Аноним (22), 27-Янв-19, 18:11 
Если хипстору надо писать безопасный код, то пусть берет раст с webasm.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Опубликован инструмент для выявления проблем с безопасностью..."  +1 +/
Сообщение от Аноним (23), 27-Янв-19, 19:10 
Все шутки за 300 выпилили можно писать новые. Итак если проект написан на электроне он уже уязвим.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Опубликован инструмент для выявления проблем с безопасностью..."  –1 +/
Сообщение от Аноним (28), 27-Янв-19, 21:33 
Странно написать интерпретацию любого XML подобного инструмента для организации UI раз плюнуть, но смельчаков нет?
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

34. "Опубликован инструмент для выявления проблем с безопасностью..."  –2 +/
Сообщение от НяшМяш (ok), 27-Янв-19, 23:14 
Для Android разметку в XML пишут. У Apple их XIB - тоже XML-подобный формат. У Windows вроде тоже что-то XML-подобное. В одном опенсорсе изобретают всякие CSSы и QMLи.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Аноним (39), 28-Янв-19, 10:46 
Так XML и CSS они же как брат и сестра.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

47. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от псевдонимус (?), 28-Янв-19, 19:06 
> шутки по 300
>выпилили.

Не искушайте тракториста.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

29. "Опубликован инструмент для выявления проблем с безопасностью..."  +17 +/
Сообщение от Кэп (?), 27-Янв-19, 21:45 
Предлагаю решение проблемы - отказ от Electron. Как вам такое?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от proninyaroslavemail (ok), 27-Янв-19, 22:35 
Веб разрабы и фирмы их нанимающие не согласны). ПО встало на путь конвейера, только успевай снимать с ленты.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от KonstantinB (ok), 27-Янв-19, 22:48 
Осталось ответить на вопрос, как разработать десктопные клиенты с затратами на разработку и поддержку, не сильно превышающие заворачивание уже готовой вебморды в Electron, и тогда норм. :-)
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Опубликован инструмент для выявления проблем с безопасностью..."  +1 +/
Сообщение от НяшМяш (ok), 27-Янв-19, 23:20 
Готовая вебморда обычно полный УГ по функциональности. Поэтому проще сделать нормальный гуй на чём-то кроссплатформенном, а потом прикрутить простенький чатик на вебе для тех, кому натив недоступен. Тот же телеграм не пошёл по пути тысяч хомяков, а жахнул нативный клиент, да ещё и не один (на винде вроде был альтернативный на шарпе и для мака есть свифт версия, для андроида и иоса их было две - обычная и Х). Зато майкрософт со своим скайпом уже нахавался лестных отзывов в свою сторону, когда нормальные нативные клиенты поменяли на непонятно что. Хотя, возможно, они это сделали специально. Надеюсь, все остальные ненативные либо загнутся в агонии, либо одумаются и начнут писать нативно. Даже в условиях отсутствия кроссплатформенного гуя 15 лет назад почему-то могли написать ядро на плюсах, а потом сверху навернуть гуй на чём угодно.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

38. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Иваныч (??), 28-Янв-19, 10:20 
Да, но в реальности тебе дают 1K USD и говорят что нужно до конца месяца (или недели, двух). Чтобы кругом работало, сайт уже есть и заказчик считает что уже 75% работы. А там полнейший очередной CRUD - ты в глаза бы больше такого рода ужаса не видел. И есть Веня - веб-дизайнер, за которым придется даже JS переписывать и добегать и а Fronted после твоих задач, но Веня быстр, Electron для Вентиляции не проблема да и править потом это дня три работы.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

36. "Опубликован инструмент для выявления проблем с безопасностью..."  +3 +/
Сообщение от Аноним (-), 28-Янв-19, 01:21 
if (isElectronApp()) {
  echo "WARNING! You have security problem!"
  exit 1
}

# пользуйтесь

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

40. "Опубликован инструмент для выявления проблем с безопасностью..."  +1 +/
Сообщение от Аноним (40), 28-Янв-19, 11:33 
1. a
2. problems

Choice: _

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

41. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Аноне (?), 28-Янв-19, 13:20 
replace(s, 'security', 'huge');
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

37. "Опубликован инструмент для выявления проблем с безопасностью..."  +1 +/
Сообщение от Юзер (??), 28-Янв-19, 05:08 
У Электрона только одна проблема с безопасностью - сам Электрон.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Опубликован инструмент для выявления проблем с безопасностью..."  +/
Сообщение от Сашаemail (??), 09-Май-19, 01:12 
Старая шутка: самая большая уязвимость - неграмотный специалист
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру