OpenForum RSS: Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... https://www.opennet.ru/openforum/vsluhforumID3/117308.html Представлен (https://wordpress.org/news/2019/05/jaco/) релиз системы управления web-контентом WordPress 5.2 (https://wordpress.org/). Выпуск примечателен завершением шестилетней эпопеи (https://core.trac.wordpress.org/ticket/25052) по реализации возможности (https://paragonie.com/blog/2019/05/wordpress-5-2-mitigating-supply-chain-attacks-against-33-internet) проверки обновлений и дополнений по цифровой подписи. <br><br><br><br>До сих пор при установке обновлений в WordPress основным фактором обеспечения безопасности было доверие к инфраструктуре и серверам WordPress (после загрузки осуществлялась сверка хэша без верификации источника). В случае компрометации серверов проекта атакующие имели возможность подменить обновление и распространить вредоносный код среди сайтов на базе WordPress, использующих систему автоматической установки обновлений. В соответствии с ранее применявшейся доверительной моделью доставки, на стороне пользователей подобная подмена осталась бы незамеченной. <br><br><br>С учётом того, что по данным (http Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (Ключевский) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#32 Thu, 09 May 2019 12:19:59 GMT Да я просто считаю это нормой. У меня так было давным давно в офисе, когда ушел на фриланс организовал для себя аналогичную инфраструктуру. Клиенты с которыми работаю на постоянной основе подключаются к VPNу для мониторинга основного работающего в моей сети и для обновлений того что я собираю, внешний мониторинг следит только за доступностью всякого веба снаружи, на случай каких-то недоразумений(мало ли что, вдруг изнутри будет доступно, а снаружи нет, надо такое проверять). С подписями пакетов считаю возможным только так работать, потому что мало ли какая фигня, мало ли мою машину как-то смогут взломать(вряд ли, но всегда надо допускать), подписываться должны на отдельной изолированой только так подписи можно доверять.<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (FreeStyler) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#31 Thu, 09 May 2019 12:17:44 GMT но обойти его можно указав двойное расширение, например, ".gif.phtml"<br>Это не уровень вебмакак, это уровень вебамёб! -__-<br>Пи3е3, дно пробито... facepalm<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (FreeStyler) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#30 Thu, 09 May 2019 12:17:09 GMT А что собственно в этом плохого? Всё равно он не выполнится, если расширение не соответствует.<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (iCat) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#29 Thu, 09 May 2019 07:51:20 GMT Вот когда же эта древнючая архаика (определение типа файла по трём буковкам в конце имени файла) уйдёт в прошлое?<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (Какаянахренразница) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#28 Thu, 09 May 2019 04:29:56 GMT Опять что-то сломалось. Я понимаю, что я жопорукий и мой плагин отражает это, но как же я задолбался чинить его после каждого релиза...<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#27 Thu, 09 May 2019 02:04:54 GMT Побольше бы таких фрилансеров, как вы. Без иронии.<br><br>Я уже устал всем объяснять очевидные, казалось бы, вещи.<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (Наноним) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#25 Wed, 08 May 2019 22:43:41 GMT Никто не забыт, ничто не забыто<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (BlackRot) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#22 Wed, 08 May 2019 20:30:47 GMT Значит вы неудачник! А вообще забавно читать коменты от тех кто никогда не юзал WP<br> Релиз WordPress 5.2 с поддержкой проверки обновлений по цифр... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/117308.html#20 Wed, 08 May 2019 19:00:02 GMT Онаним верно глаголит, что по всем стандартам сервер подписывающий должен быть отделен, а товарищ выше очень правильно описал пример своей инфраструктуры, хотя мне кажется, что для фрилансера админящего несколько мелких проектов он слишком заморочился, но все сделал идеологически верно.<br><br>Сервер собирающий и подписывающий должен быть изолирован полностью на случай взлома сервера раздающего, они не должны даже знать друг о друге, все через посредника и сервер собирающий должен быть недоступен при взломе сервера раздающего, что бы не впарили людям левые пакеты и что бы при взломе можно было быстрым движением вернуть правильные пакеты взад, сразу после перестановке сервера раздающего(перестановка, так как взломанный сервер считается скомпроментированным и подлежит только чистой перестановке)<br>