https://ns.opennet.dev/openforum/vsluhforumID3/125640.html История с удалением из репозитория NPM трёх вредоносных пакетов, копировавших код библиотеки UAParser.js, получила неожиданное продолжение - неизвестные злоумышленники захватили контроль над учётной записью автора проекта UAParser.js и выпустили обновления, содержащие код для кражи паролей и майнинга криптовалют...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=56023<br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#101 Thu, 04 Nov 2021 16:27:57 GMT Они же орать начнут, что их притесняют и паспортные данные требуют. Посмотри, вон, в соседней новости.<br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#100 Tue, 26 Oct 2021 17:58:21 GMT А разраб патриот,однако<br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#99 Tue, 26 Oct 2021 13:57:34 GMT Это пейс, но все равно, спасибо!<br>(Спрятал обратно под буденовку.)<br><br><br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#97 Tue, 26 Oct 2021 06:46:40 GMT Тогда да, это получается не эскейп баша, а эскейп для грепа, плюсую.<br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#96 Tue, 26 Oct 2021 05:42:42 GMT &gt;&gt;скрипт вначале проверял IP-адрес в сервисе freegeoip.app и не запускал вредоносное приложение для пользователей из России, Украины, Беларуси и Казахстана.<br>&gt; Понятно, вредоносный скрипт выложил сотрудник местной "гебухи". За одно позаботился чтобы <br><br>учитывая что все местные кульхакеры давно работают либо на товарищмайора либо на наркокриминал (то есть опять же на товарищмайора но опосредовано) - оно недалеко от истины.<br><br>&gt; не было затронуты деятельностью скрипта союзники из ОДКБ. Сразу видно, кто <br>&gt; чей союзник.<br><br>Ну или чьи пароли лучше не воровать, во избежание неприятных инцидентов, да.<br><br>А проклятой гуантанамы этот чувак совершенно не боится, зная что сидеть будет вовсе не там.<br><br><br><br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#95 Tue, 26 Oct 2021 05:37:07 GMT &gt; Интересно, только меня смущает \' в grep '' на баше?<br><br>ну, кстати, зря ты наехал на товарищкапитана, ничего неправильного - это ж grep, а не egrep.<br><br>In basic regular expressions the metacharacters ?, +, {, &#124;, (, and )lose their special meaning; instead use the backslashed versions \?,\+, \{, \&#124;, \(, and \).<br><br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#94 Mon, 25 Oct 2021 19:48:04 GMT &gt; ну стал закрытый<br><br>Ну вот главный вопрос - зачем он вдруг стал закрытый? Что такое о нем знает гугль, чего не хочет показывать? Пока на него нет удовлетворительных ответов - хочется воздержаться от использования данной технологии.<br><br>С кнопочкой - так себе. Приличный токен умеет запрашивать пин и блокироваться, если не угадал. Причем без участия чужих клавиатур. Но вот с приличными - беда. Либо нечто аля аладьин с неведомыми троянами в комплекте (и просто дырьями). Либо что-то совсем странное.<br>Либо совсем фуфел. <br><br>А раз так - я предпочитаю обычные пароли. И не вводить их там, где они могут утечь на сторону (что для публичного репо с востребованным кодом вполне разумная мера предосторожности, вовсе незачем туда лазить каждые пять минут и держать открытой сессию в браузере, с которого лазишь по порносайтам, тоже незачем).<br><br> https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#93 Mon, 25 Oct 2021 19:36:02 GMT &gt; А чего ж тогда клиент был открытый, а стал закрытый? А, это другое...<br><br>Да что в прикопались к Гугль Аутентификатору, реально? ну стал закрытый, так таких закрытых аутентификаторов в Гугль Плее десятки, есть даже такие которые используют собственный стандарт.<br><br>Вон, условный Humble Bundle то говорит ипользуйте приложение от Google, но работает любое, ибо СТАНДАРТ.<br><br>&gt;&gt; Альтернативные гуглу приложения есть но нахрен нам не нужны. А генераторные otp, не требующие ненужных мобилочек - почему-то (стараниями гугля) вышли из моды.<br><br>Еще раз, есть софтовые генераторы кодов работающие на декстопе. Под Линукс в том числе. Есть даже генераторы которые в консоли работают.<br>Вам так нужен токен с кнопочкой который показывает код на дисплейчике? Штука хорошая, да, но например Alladdin-овские такие токены требовали и дров закрытых и сервера специального чтобы ключ который нуден для генерации кода в токен засунуть.<br>Толи дело TOTP, где достаточно строки с ключем или QR-кода чтобы сфоткать телефоном. Или вы любитель усло https://ns.opennet.dev/openforum/vsluhforumID3/125640.html#92 Mon, 25 Oct 2021 19:02:39 GMT А чего ж тогда клиент был открытый, а стал закрытый? А, это другое...<br><br>&gt; Альтернативные гуглу приложения есть<br><br>но нахрен нам не нужны. А генераторные otp, не требующие ненужных мобилочек - почему-то (стараниями гугля) вышли из моды.<br><br>С моей точки зрения, если чувак не умеет уберечь обычный пароль - значит просто надо вешать на любые его репо индикатор "это - `программист`, будьте бдительны с его софтом" (без права снятия).<br>А чем он там дальше авторизуется и что в этот раз прое...т - это уже его трудности.<br><br>Послезавтра он прое...т доступ к своему локалхосту, и запушит не свои комиты вместе со своими - потому что т-пой и потому что некогда разбираться, надо комитить. И никакая супер-авторизация тебе не поможет, если ты привык всасывать самые распоследние версии npmского мусора.<br><br>