| |
| |
| 3.16, kuraga (ok), 20:52, 05/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Причем тут это?? Разрабы поленились написать код. Разница, какой язык? Никакой. Лень/неосведомленность.
| | |
| |
| 4.45, Аноним (-), 07:20, 06/03/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Ну разве что если лень разработчиков рельсы, тогда да:
> функциональность необходимая для этого по-умолчанию отключена в стандартной инсталляции
> Ruby on Rails | | |
| |
| 5.80, kuraga (ok), 18:31, 06/03/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну? А кто сказал, что она должна быть ВКЛЮЧЕНА? Программист проекта САМ должен заботиться о балансе между удобством и безопасностью. И описываемая опция в рельсах ВКЛЮЧАЕМА, А НЕ ОТСУТСТВУЕТ!!!
| | |
| |
| 6.111, Аноним (-), 09:21, 07/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
да вы че!! это одна строчка в модели, которая к тому-жу по умолчанию попадает, если скаффолдом создавать, как обычно и делают. Автор новости вообще не в теме. Это как утверждать что С не может печатать на экран, т.к. команда printf по умолчанию не включена.
| | |
| |
| 7.113, kuraga (ok), 21:20, 07/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
ВКЛЮЧАЕМА - значит ее можно включить, ЕСЛИ она выключена. что по умолчанию это так - я НЕ говорил.
| | |
|
|
|
|
|
|
| |
| 2.29, Аноним (-), 22:05, 05/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> дьявол кроется в удобстве!
...коммита в чужие проекты... ;]
| | |
|
| |
| 2.28, Аноним (-), 22:04, 05/03/2012 [^] [^^] [^^^] [ответить]
| +10 +/– |
Да не, перец все правильно сделал, вкомитив фикс прямо виновникам бага. Эпик лулз! :)
| | |
| |
| 3.32, Псто (?), 23:59, 05/03/2012 [^] [^^] [^^^] [ответить]
| –5 +/– |
товарищь, не ленись - пользуйся головой. бага нет. простой косяк разработчиков гитхаба с масс-ассайментс. расходимся.
| | |
| |
| 4.41, Аноним (-), 07:08, 06/03/2012 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> бага нет.
Добро пожаловать в матрицу! Бага нет, а левые коммиты - есть. Trollaface.jpg
> простой косяк разработчиков гитхаба с масс-ассайментс.
Как я понимаю такой косяк может иметь место на еще 100500 разных сайтов и по дефолту даже средства борьбы с геморроем не активны, хотя они и есть в природе. Просто потому что разработчики фреймворка - упертые бараны. Тест бараньего лба супротив ворот однако показал что ворота попались сцуко прочные, даже закрытие бага с разбега не пробирает.
> расходимся.
Скатертью дорога.
| | |
| |
| 5.58, zy (?), 12:42, 06/03/2012 [^] [^^] [^^^] [ответить] | +2 +/– | Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, ... большой текст свёрнут, показать | | |
| |
| 6.73, Аноним (-), 16:20, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Если вы не имеете представления о рельсах и о какой уязвимости здесь
> идёт речь, то не нужно нести чепухи. В наличии уязвимости виноваты
> только разработчики гитхаба так как в документации по mass-assignment чёрным по
> белому написано что по умолчанию работает стратегия чёрного списка,
Слушайте, прыг по граблям - многофазный процесс. Один кладет грабли, второй не смотрит под ноги, третий ему шишак на лбу лечит.
Вот только исходно больше всех виноват тот кто грабли на дороге бросил (разработчики RoR). Те кто под ноги не смотрел конечно тоже виноваты, ибо под ноги смотреть все-же надо. Только первых это все не извиняет. Поэтому если кто-то возжелал почесать спину граблями тому кто их бросил - так ему и надо, нефиг разбрасывать! :)
| | |
| |
| 7.81, kuraga (ok), 18:35, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Бред. Отключенный белый список - ровно такая же грабля, как и наоборот. Целью фреймворка не было создание безопасных приложений без участия программера. И слава богу. А то вообще думать перестанем.
| | |
| |
| 8.117, Аноним (-), 23:21, 09/03/2012 [^] [^^] [^^^] [ответить] | +/– | Зато более безопасная грабля Лучше пусть уж у грабель ручка будет обернута поро... большой текст свёрнут, показать | | |
|
|
|
|
| 4.59, SLK (?), 12:55, 06/03/2012 [^] [^^] [^^^] [ответить] | +/– | Да ладно, тролю напоминать про голову бесполезно Для тех кто не понял Это не б... большой текст свёрнут, показать | | |
| |
| 5.71, gegMOPO4 (ok), 15:01, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Следить, конечно, обязаны, тут они, конечно, ошиблись. Но есть более приличные способы указать на слабость замка, чем вламываться в дом.
| | |
| |
| 6.87, arisu (ok), 19:41, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
 а кто вламывался-то? O_O
сказали же: это фича. фичу можно использовать. если замок разваливается в пыль от того, что рядом с ним чихнули, а производитель замка утверждает, что это фича, и замки надо оборудовать шумопоглотителями, то ок — надо так надо. только чихание возле замков становится использованием фичи, а не эксплуатированием бага, такие дела. а то может мне ещё перед каждым коммитом гитхаб за две недели предупреждать? ведь коммит у них файлы на диске меняет — вдруг и эту фичу использовать нельзя?
| | |
| |
| 7.92, gegMOPO4 (ok), 20:54, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Если владелец цифрового замка оставляет код 12345 (хотя в инструкции к замку настоятельно советуют его сменить, но кто ж читает инструкции?), это вина владельца замка, или производителя? И если кто-то попробовал эту комбинацию на чужом замке и она подошла, то законно ли ему после этого проникать в дом?
| | |
| |
| 8.95, arisu (ok), 21:13, 06/03/2012 [^] [^^] [^^^] [ответить] | +/– | если не написано, что незаконно 8212 то законно разве в ToS гитхаба написано... текст свёрнут, показать | | |
|
|
|
| 5.74, Аноним (-), 16:21, 06/03/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> что все эти фичи в RoR очень хорошо документированы.
Для начала, дефолты должны быть безопасными. А не так что мы разбросаем на поле мины и честно вывесим табличку "осторожно, мины!" (а кто не увидел табличку - сам дурак!)
| | |
| |
| 6.79, SLK (?), 18:25, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Согласен. Думаю, что всем разраобчикам ORM библиотек (не только ActiveRecord и не только в
Ruby) где есть возможность делать mass assignment полей обьекта, нужно об этом
позаботиться. Таких не мало ... есть PHP ActiveRecord, есть ASP.NET MVC, в Java скорее
всего тоже есть ORM-ы с такой возможностью ... везде свои настройки по умолчанию
и соответственно опасность mass assignment.
К примеру в DataMapper (альтернативная ORM библиотека на Ruby) по умолчанию все поля
обьявленные ключевыми не возможно изменить через mass assignment, только через
геттеры\сеттеры.
| | |
| 6.82, kuraga (ok), 18:39, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Спорно. Ибо абсолютной безопасности пока нет. Поэтому и "безопасные по дефолту" - мнимо. "БОЛЕЕ безопасные, к ДАННОМУ виду атак" - если бы сказали так, то согласился бы. Безопасность - отсутствие возможностей :)
| | |
| |
| 7.88, arisu (ok), 19:42, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
однако мне кажется, что более верный подход — делать потенциально опасные вещи как opt-in, а не opt-out. заодно люди и документацию прочитают, пока будут искать, как их включить.
| | |
|
|
|
|
|
|
| 1.26, Аноним (-), 21:49, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +7 +/– | |
А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отказавшись чинить баг. Ну и получили левый коммит в бубен для наглядной демонстрации.
Итого: пиплу EPIC WIN. А вот дятлам использующим рельсу следует очень крепко задуматься о том что у разработчиков рубирельсы - ЖИДКИЙ МОЗГ!
| | |
| |
| |
| 3.37, Crazy Alex (ok), 01:07, 06/03/2012 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Угу. "Это не баг, это фича". На дефолтное register_globals в PHP ругаться - так баг, а подобная же дыра в рельсах - фича? Нет уж, господа, фреймворки для того и нужны чтобы о подобном не думать.
| | |
| 3.42, Аноним (-), 07:09, 06/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> это не баг
С точки зрения хакеров и спецслужб - безусловно, фича офигительного калибра ;]
| | |
| |
| 4.49, Alen (??), 09:40, 06/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Может они от того и не хотели закрывать, что им "настоятельно рекомендовали" ;)
| | |
|
| 3.48, фклфт (ok), 09:03, 06/03/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > это не баг
Конечно не Баг, это просто очередная такая фитча которая появляется время от времени.
Не надо забывать такой же баг в апаче, portsentry, ssh, proftpd, sftpd и еще многих десятков проектов включая iptables
Благодаря таким багам позор открытым проектам
Давно уже пора навести генеральный аудит кернела а то туда столько уже напихали таких фитч интересных что просто так уже их не выпилить
Блажен тот кто верует в то что это Баги
| | |
| |
| 4.75, Аноним (-), 16:23, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Давно уже пора навести генеральный аудит кернела
1) RoR ну совсем никак не относится к кернелам.
2) Вы о каком кернеле? О том в котором недавно ремотно присылаемые UDP пакеты на закрытый порт код выполняли? Так это... MS исходники забыл выдать, так что пусть сам и аудитит. А у остальных таких лютых обсиронов что ремотно можно код с правами ядра выполнить уж сто лет как не было.
| | |
|
|
| 2.83, kuraga (ok), 18:43, 06/03/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Жидкий мозг у тех, кто не следит за своим кодом и документацией. Сегодня это - гитхаб. Вчера это был я. И в голову не приходило винить других. И Вам советую.
| | |
| |
| 3.118, Аноним (-), 23:25, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Жидкий мозг у тех, кто не следит за своим кодом и документацией.
Честно говоря, у почти всех вебдевелов мозг довольно жидковат. Как минимум по части секурити. Типовой сферический вебдев в вакууме обычно является довольно странным бакланом, который не очень понимает как все это в целом работает, уповает на то что за него все сделают более высокоразвитые существа в фреймворке/рантайме/чем там блин еще. А эти более высокоразвитые возьми да и окажись такими же бакланами, подкладывающими свинью "братьем нашим меньшим". К большому облому этих самых меньших...
| | |
|
|
| 1.27, Ya (??), 22:00, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Радостно видеть, что ещё не все мозги из России уехали за рубеж... Респект мужику!
| | |
| 1.34, gegMOPO4 (ok), 00:23, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну молодец. В пятницу сообщил GitHub об уязвимости, а в воскресенье уже атаковал.
| | |
| |
| |
| 3.51, gegMOPO4 (ok), 11:19, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.
| | |
| |
| 4.63, Alex (??), 13:24, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.
Вообще-то багрепорт закрыли с сообщением, что это их не касается
| | |
| |
| |
| 6.103, kuraga (ok), 22:22, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Я вообще не понимаю, как хакер нашел уязвимость и ступанул с тем, кому писать.
| | |
|
| |
| 6.101, Crazy Alex (ok), 21:26, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи (hint - время на планете разное) не подняли девелоперов и в авральном порядке всё не починили - им минус. Или если не могли - надо было корректно отписаться товарищу (мол, спасибо, работаем, фикс будет тогда-то) и закрыть на фиг дыру любыми грубыми способами, вплоть до перевода гитхаба в ридонли.
| | |
|
|
|
|
| 2.43, Аноним (-), 07:13, 06/03/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> а в воскресенье уже атаковал.
Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг. Ну если на анонс о уязвимости столь лaмерская реакция - то по-моему самому вбрoсить фикс :) бага :) это вообще архиэпично и довольно благородно.
Блэкхэт бы найдя такое просто закoммитил втихую бэкдоры в кучу проектов и ржал втихарика над "этими идиoтами" использующими "это решeто" от "некомпетентных обeзьян". Попутно рубая килобаксы на черном рынке. А тут перец просто технично пофиксил баг сам, сам прописав себе права. Epic win! Нагляднее показать разработчикам сита что у них много дырок просто невозможно :)
| | |
| |
| 3.44, arisu (ok), 07:18, 06/03/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
в общем да, всё логично: раз это не баг, то какая проблема в том, что человек использовал *штатную фичу* тогда, когда захотел?
| | |
| |
| 4.46, Аноним (-), 07:31, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
> в общем да, всё логично: раз это не баг, то какая проблема
> в том, что человек использовал *штатную фичу* тогда, когда захотел?
Вот именно, Капитан. В этом и состоит комизм ситуации ;]
| | |
| |
| 5.47, arisu (ok), 07:35, 06/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
ну, я на всякий случай расшифровал. Кэп я или нет? надо ж реноме поддерживать.
| | |
|
|
| 3.52, gegMOPO4 (ok), 11:24, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт в багтрекере ГитХаба?
Ну и баг он не фиксил. Он просто пролез в форточку и оставил на видном месте надпись «Здесь был Вася». Хорошо, конечно, что не насрал на стол, но это не такое уж и достижение.
| | |
| |
| 4.62, Ваня (??), 13:11, 06/03/2012 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Поручик Ржевский приехал к Безухову, но не застал того дома. "Может в рояль насрать? Ан нет, не поймут. Деревня..."
Так и здесь: не поймут. Деревня...
| | |
| |
| |
| 6.115, Аноним (-), 00:08, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Ваня, надо быть скромнее...
И вытаскивать дерьмо из карманов, когда выходите в свет...
| | |
|
|
| 4.84, arisu (ok), 19:05, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
> А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт
> в багтрекере ГитХаба?
а бага нет. авторы RoR сказали, что это вообще не баг. а раз не баг — это штатная фича. не вижу, с каких пор стало нужно запрашивать разрешения или писать в багтрекер о штатной фиче.
| | |
| |
| 5.94, gegMOPO4 (ok), 21:10, 06/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Баг не в самом RoR, а в GitHub. Если программист на PHP напишет код, допускающий SQL-инъекции, куда багрепорт нужно слать — в PHP или авторам этого кода на PHP?
| | |
| |
| 6.96, arisu (ok), 21:14, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Баг не в самом RoR, а в GitHub.
а гитхаб никто не трогал, например.
| | |
| |
| |
| 8.99, arisu (ok), 21:25, 06/03/2012 [^] [^^] [^^^] [ответить] | +/– | о том, что немножко пошутили над авторами RoR где в новости информация о том, ч... текст свёрнут, показать | | |
|
|
|
|
| 4.85, arisu (ok), 19:07, 06/03/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
p.s. гитхаб он не ломал. он воспользовался штатной фичей RoR, чтобы немножко улыбнуться над авторами RoR. которые страшно далеки от народа и не летают, пока по тестикулам не пнёшь.
| | |
|
|
|
| 1.40, chemtech (ok), 06:21, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Хочу заметить, что написано не просто "Егором Хомяковым", а "Егором Хомяковым из Санкт-Петербурга")
| | |
| 1.53, Аноним (-), 11:40, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внятно и связно изъясняться ни на русском, ни на английском. В этом тоже может быть проблема что его не услышали вовремя.
| | |
| |
| 2.55, AlexYeCu (ok), 11:55, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Использовал русский язык — не поняли.
Использовал английский язык — не поняли.
Использовал Ruby язык — поняли!
| | |
| |
| 3.56, Andrey Mitrofanov (?), 12:03, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
--2 наряда вне очереди. --Нэпанимаю. --3 наряда вне очереди! --Нэпанимаю. --5 нарядов вне очереди!! --Нэ имеишь права.
| | |
|
|
| 1.69, Аноним (-), 14:40, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В Арче, оказывается, тоже есть страшный баг. Установка по-умолчанию не включает iptables!
| | |
| |
| 2.72, Аноним (-), 15:23, 06/03/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Зачем iptables на десктопной системе? Или к чему это было написано?
| | |
| |
| 3.77, Аноним (-), 16:27, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Зачем iptables на десктопной системе?
Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть. Такого от арчеводов я как-то не ожиждал. Хотя... памятуя о том что они подписи пакетов еще только собираются прикручивать несложно понять насколько они класть хотели на безопасность использования их системы :\
| | |
| |
| 4.89, arisu (ok), 19:50, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.
потому что без файрвола винда похожа не просто на решето, а на решето без сита. это раз.
два: покажи мне домохозяйку, устанавливающую арч.
три: давай проведём эксперимент: выставим в интернеты голую winxp и голый arch. и посмотрим, что с ними будет через пол-дня. дольше не предлагаю по очевидным причинам.
голубчик, ты, возможно, удивишься, но основное назначение iptables — вовсе не «закрывать порты в дырявой системе».
| | |
| |
| 5.122, Аноним (-), 23:46, 09/03/2012 [^] [^^] [^^^] [ответить] | +/– | Там файрвол такой, конечно умеет только на вход и правила примитивные как топ... большой текст свёрнут, показать | | |
|
| 4.90, Аноним (-), 19:52, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.
Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.
| | |
| |
| 5.119, Аноним (-), 23:33, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.
А легко. Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю нескольким окружающим. Айпитаблес - поможет. Ну и вообще, тупо иметь мощный фильтр в системе но не иметь интерфейса к нему. Машина с мощным двигателем но без руля - круто придумано :)
| | |
|
| 4.110, Клыкастый (ok), 23:05, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.
в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжение
в венде - чтобы не выпускать наружу троянов и прочий гадюшник. естественно что оно там - есть. подобие.
несмотря на то, что товарисча резко минусанули, поддержу его и расширю вопрос: что именно по-вашему должен защищать файрвол на десктопе?
$ netstat -an | grep LIST | grep tcp
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
итак?
| | |
| |
| 5.120, Аноним (-), 23:35, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> итак?
Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно брутфорсить пассворды потоков так в 200, вам должно понравиться :)
| | |
| |
| |
| 7.123, Аноним (-), 23:49, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> да на здоровье.
Я что-то не уверен что его пропрет что ремотная активность уперла его проц в потолок :). Особенно прикольно на ноуте, где батарейка в результате такой деятельности уйдет в 0 не за 8 часов а за 2-3.
| | |
|
|
|
|
| 3.78, Аноним (-), 17:03, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в официальных Rails Guides с рекомендацией "всегда используйте attr_accessible в моделях", как-то некорректно называть багом и уязвимостью.
Разработчики ГитХаба это прозевали? Прозевали. Но при чём тут Rails?
Однако, я всё же согласен с тем, что включение вайтлиста по-умолчанию - хорошая идея.
| | |
| 3.91, Аноним (-), 20:00, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– |
Что самое забавное, минусуют те, кто iptables в глаза не видел. Зато у них в голове прочно засел очередной миф из чудесного мира Windows, что если нет фильтрации пакетов, то все, ппц, из интернета атакуют злобные хакеры и заразят винлокером.
| | |
|
|
| 1.86, arisu (ok), 19:08, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
да, кстати. ведь у github насильный https — откуда уязвимость? ведь всем известно: стоит отрубить http и всех насильно переводить на https — и никаких уязвимостей. разве не так?
| | |
| |
| |
| 3.109, arisu (ok), 23:03, 06/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Не так.
как же это «не так»? а зачем тогда насильно впаривать https, который и неудобней, и тормозней, и нагрузка на сервера больше?
> Но http при наличии https обязан быть отрублен.
с чего бы?
| | |
| 3.124, Аноним (-), 23:56, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Не так. Но http при наличии https обязан быть отрублен.
Кто это придумал? И главное - что там такого ценного что предлагается шифровать? Я вот честное пионерское, не вижу никакой активности которую бы я производил на гитхабе и которая бы требовала сокрытия от посторонних глаз. Зато пока SSL сконектится, перекинется ключами и прочая, HTTP уже давно сгоняет запрос и получит ответ, а SSL еще только начинает конектиться поверх секурного туннеля... который рыли непонятно зачем, секуря вообще неизвестно что и зачем. Гениально, мля.
| | |
|
|
| 1.112, Maxim Filatov (?), 11:31, 07/03/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >> после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован релиз Ruby on Rails 3.2
А у кого тут машина времени?
Релиз Ruby on Rails 3.2 вышел 20-го января.
| | |
| |
| 2.125, Аноним (-), 23:57, 09/03/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> А у кого тут машина времени?
У того самого хацкера, он коммит на 1000 лет вперед сделал, чтоли :)
| | |
|
|
