The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий

05.03.2012 17:59

Проект GitHub уведомил пользователей об инциденте, в результате которого произошло неавторизированное внедрение кода в репозиторий проекта Ruby On Rails. Уязвимость, из-за которой стал возможен взлом, уже устранена и начато расследование возможных последствий атаки. В настоящее время все факты свидетельствуют о том, что атака была лишь демонстрацией новой уязвимости, проведённой в открытую одним из исследователей, после того как GitHub и разработчики Ruby On Rails проигнорировали сообщение о наличии проблемы с безопасностью.

Проблема была выявлена и продемонстрирована Егором Хомяковым из Санкт-Петербурга. Уязвимость вызвана особенностью обработки массового присваивания данных форм в популярном web-фреймворке Ruby on Rails и может наблюдаться в различных приложениях, не ограничиваясь GitHub. При помощи бреши в Rails стало возможным внесение изменений и отправка данных в репозиторий любого проекта GitHub, без наличия явных полномочий на выполнение данных операций. За два дня до инцидента Егор оставил уведомление о найденной им уязвимости для разработчиков проекта Ruby on Rails, но это уведомление было закрыто с комментарием, что ошибка находится в зоне ответственности конечных разработчиков приложений на Ruby on Rails. Тогда Егор решил продемонстрировать эту уязвимость в действии и внёс изменения в первичный репозиторий проекта Ruby on Rails, размещённый на GitHub.

Для привлечения внимания разработчиков Егор сначала создал уведомление о проблеме, для заметности установив дату создания, смещенную на 1001 год в будущее. После чего он добавил свой публичный ключ в список коммитеров проекта Ruby on Rails и внёс коммит с комментарием в мастер-репозиторий. После того как GitHub устранил уязвимость Егор Хомяков опубликовал в своём блоге подробный рассказ с описанием метода атаки на GitHub.

Представители GitHub сообщили, что проект инициировал проведение полного аудита используемого кода. В своем сообщении они признали, что Хомяков сообщил им об этой уязвимости двумя днями ранее, но потом без предупреждения осуществил внедрение своего публичного ключа и провёл демонстрационную атаку. "После проведенного анализа действий Хомякова, никакой зловредной активности с его стороны не обнаружено" – сообщил GitHub. По сообщению GitHub, заблокированный после инцидента аккаунт Хомякова теперь восстановлен.

Проблема, известная как уязвимость массового присвоения появилась в Rails с тех пор, как была добавлена возможность устанавливать сразу несколько атрибутов в рамках одного вызова. Эта проблема детально описана в официальном руководстве Rails Security Guide, в том числе, там описано и как с ней бороться, но, к сожалению, функциональность необходимая для этого по-умолчанию отключена в стандартной инсталляции Ruby on Rails. И хотя в данном конкретном случае эта проблема в GitHub уже устранена, множество Rails-приложений по всему миру по-прежнему подвержены этой уязвимости.

Коварность ситуации в том, что эта уязвимость не только хорошо известна, но и в том, что бороться с ней часто нет никакой технической возможности при неправильно выполненной установке. Хорошая новость заключается в том, что после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован следующих релиз Ruby on Rails, активировав белый список атрибутов по-умолчанию в стандартной установке, что даёт возможность бороться с этой уязвимостью. Всем текущим пользователям Ruby on Rails разработчики рекомендуют незамедлительно провести аудит кода, чтобы убедиться в том, что их система не была скомпрометирована сторонними лицами.



  1. Главная ссылка к новости (http://www.h-online.com/open/n...)
Автор новости: Igor Savchuk
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/33268-ruby
Ключевые слова: ruby, rails, ror, github, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (99) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Loooooker (ok), 19:13, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +12 +/
    Затейник )
    Их же граблями да по голове )
     
     
  • 2.6, Andrey Mitrofanov (?), 19:21, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Security circus, как говаривал один американский швед финского происхождения...
     

  • 1.8, Аноним (-), 20:05, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    операться надо на многократно проверенное, а не на удобное...
     
     
  • 2.12, Аноним (-), 20:19, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ... на Perl
     
     
  • 3.16, kuraga (ok), 20:52, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Причем тут это?? Разрабы поленились написать код. Разница, какой язык? Никакой. Лень/неосведомленность.
     
     
  • 4.45, Аноним (-), 07:20, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну разве что если лень разработчиков рельсы, тогда да:

    > функциональность необходимая для этого по-умолчанию отключена в стандартной инсталляции
    > Ruby on Rails

     
     
  • 5.80, kuraga (ok), 18:31, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну? А кто сказал, что она должна быть ВКЛЮЧЕНА? Программист проекта САМ должен заботиться о балансе между удобством и безопасностью. И описываемая опция в рельсах ВКЛЮЧАЕМА, А НЕ ОТСУТСТВУЕТ!!!
     
     
  • 6.111, Аноним (-), 09:21, 07/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да вы че!! это одна строчка в модели, которая к тому-жу по умолчанию попадает, если скаффолдом создавать, как обычно и делают. Автор новости вообще не в теме. Это как утверждать что С не может печатать на экран, т.к. команда printf по умолчанию не включена.
     
     
  • 7.113, kuraga (ok), 21:20, 07/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ВКЛЮЧАЕМА - значит ее можно включить, ЕСЛИ она выключена. что по умолчанию это так - я НЕ говорил.
     

  • 1.9, Аноним (-), 20:06, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    дьявол кроется в удобстве!
     
     
  • 2.29, Аноним (-), 22:05, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > дьявол кроется в удобстве!

    ...коммита в чужие проекты... ;]

     

  • 1.23, evgeny_t (ok), 21:18, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да надо было сразу в ядро комитить )
    вот шухер то был )
     
     
  • 2.28, Аноним (-), 22:04, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +10 +/
    Да не, перец все правильно сделал, вкомитив фикс прямо виновникам бага. Эпик лулз! :)
     
     
  • 3.32, Псто (?), 23:59, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    товарищь, не ленись - пользуйся головой. бага нет. простой косяк разработчиков гитхаба с масс-ассайментс. расходимся.
     
     
  • 4.41, Аноним (-), 07:08, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > бага нет.

    Добро пожаловать в матрицу! Бага нет, а левые коммиты - есть. Trollaface.jpg

    > простой косяк разработчиков гитхаба с масс-ассайментс.

    Как я понимаю такой косяк может иметь место на еще 100500 разных сайтов и по дефолту даже средства борьбы с геморроем не активны, хотя они и есть в природе. Просто потому что разработчики фреймворка - упертые бараны. Тест бараньего лба супротив ворот однако показал что ворота попались сцуко прочные, даже закрытие бага с разбега не пробирает.

    > расходимся.

    Скатертью дорога.

     
     
  • 5.58, zy (?), 12:42, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Если вы не имеете представления о рельсах и о какой уязвимости здесь идёт речь, ... большой текст свёрнут, показать
     
     
  • 6.73, Аноним (-), 16:20, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Если вы не имеете представления о рельсах и о какой уязвимости здесь
    > идёт речь, то не нужно нести чепухи. В наличии уязвимости виноваты
    > только разработчики гитхаба так как в документации по mass-assignment чёрным по
    > белому написано что по умолчанию работает стратегия чёрного списка,

    Слушайте, прыг по граблям - многофазный процесс. Один кладет грабли, второй не смотрит под ноги, третий ему шишак на лбу лечит.

    Вот только исходно больше всех виноват тот кто грабли на дороге бросил (разработчики RoR). Те кто под ноги не смотрел конечно тоже виноваты, ибо под ноги смотреть все-же надо. Только первых это все не извиняет. Поэтому если кто-то возжелал почесать спину граблями тому кто их бросил - так ему и надо, нефиг разбрасывать! :)

     
     
  • 7.81, kuraga (ok), 18:35, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Бред. Отключенный белый список - ровно такая же грабля, как и наоборот. Целью фреймворка не было создание безопасных приложений без участия программера. И слава богу. А то вообще думать перестанем.
     
     
  • 8.117, Аноним (-), 23:21, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Зато более безопасная грабля Лучше пусть уж у грабель ручка будет обернута поро... большой текст свёрнут, показать
     
  • 4.59, SLK (?), 12:55, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, тролю напоминать про голову бесполезно Для тех кто не понял Это не б... большой текст свёрнут, показать
     
     
  • 5.71, gegMOPO4 (ok), 15:01, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Следить, конечно, обязаны, тут они, конечно, ошиблись. Но есть более приличные способы указать на слабость замка, чем вламываться в дом.
     
     
  • 6.87, arisu (ok), 19:41, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    а кто вламывался-то? O_O

    сказали же: это фича. фичу можно использовать. если замок разваливается в пыль от того, что рядом с ним чихнули, а производитель замка утверждает, что это фича, и замки надо оборудовать шумопоглотителями, то ок — надо так надо. только чихание возле замков становится использованием фичи, а не эксплуатированием бага, такие дела. а то может мне ещё перед каждым коммитом гитхаб за две недели предупреждать? ведь коммит у них файлы на диске меняет — вдруг и эту фичу использовать нельзя?

     
     
  • 7.92, gegMOPO4 (ok), 20:54, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если владелец цифрового замка оставляет код 12345 (хотя в инструкции к замку настоятельно советуют его сменить, но кто ж читает инструкции?), это вина владельца замка, или производителя? И если кто-то попробовал эту комбинацию на чужом замке и она подошла, то законно ли ему после этого проникать в дом?
     
     
  • 8.95, arisu (ok), 21:13, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    если не написано, что незаконно 8212 то законно разве в ToS гитхаба написано... текст свёрнут, показать
     
     
  • 9.97, gegMOPO4 (ok), 21:18, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А у вас на дверях написано, что нельзя входить и делать что хочется ... текст свёрнут, показать
     
     
  • 10.100, arisu (ok), 21:26, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    это в законе написано в таком документе, который называется 171 Конституция ... текст свёрнут, показать
     
  • 10.126, Аноним (-), 00:03, 10/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда - очень доходчиво написано Например как-то так http leprastuff ru d... текст свёрнут, показать
     
  • 5.74, Аноним (-), 16:21, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > что все эти фичи в RoR очень хорошо документированы.

    Для начала, дефолты должны быть безопасными. А не так что мы разбросаем на поле мины и честно вывесим табличку "осторожно, мины!" (а кто не увидел табличку - сам дурак!)

     
     
  • 6.79, SLK (?), 18:25, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен. Думаю, что всем разраобчикам ORM библиотек (не только ActiveRecord и не только в
    Ruby) где есть возможность делать mass assignment полей обьекта, нужно об этом
    позаботиться. Таких не мало ... есть PHP ActiveRecord, есть ASP.NET MVC, в Java скорее
    всего тоже есть ORM-ы с такой возможностью ... везде свои настройки по умолчанию
    и соответственно опасность mass assignment.  

    К примеру в DataMapper (альтернативная ORM библиотека на Ruby) по умолчанию все поля
    обьявленные ключевыми не возможно изменить через mass assignment, только через
    геттеры\сеттеры.

     
  • 6.82, kuraga (ok), 18:39, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Спорно. Ибо абсолютной безопасности пока нет. Поэтому и "безопасные по дефолту" - мнимо. "БОЛЕЕ безопасные, к ДАННОМУ виду атак" - если бы сказали так, то согласился бы. Безопасность - отсутствие возможностей :)
     
     
  • 7.88, arisu (ok), 19:42, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    однако мне кажется, что более верный подход — делать потенциально опасные вещи как opt-in, а не opt-out. заодно люди и документацию прочитают, пока будут искать, как их включить.
     
     
  • 8.102, kuraga (ok), 22:19, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен Но я считаю неправильным, если программист АПРИОРИ ПОЛАГАЕТ, что это т... текст свёрнут, показать
     
     
  • 9.107, arisu (ok), 22:45, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    натурально, не панацея но разумные умолчания ещё никому не мешали, думается ... текст свёрнут, показать
     
     
  • 10.116, Аноним (-), 23:14, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Более того - сишные компилеры нынче насколько я помню умеют детектить подозрител... текст свёрнут, показать
     

  • 1.24, ЫыВ (?), 21:30, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Егор, успехов!
     
  • 1.26, Аноним (-), 21:49, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    А утверждается что разработчики RoR пробакланили все и забили на багрепорт, отказавшись чинить баг. Ну и получили левый коммит в бубен для наглядной демонстрации.

    Итого: пиплу EPIC WIN. А вот дятлам использующим рельсу следует очень крепко задуматься о том что у разработчиков рубирельсы - ЖИДКИЙ МОЗГ!

     
     
  • 2.35, анон (?), 00:41, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    это не баг
     
     
  • 3.37, Crazy Alex (ok), 01:07, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Угу. "Это не баг, это фича". На дефолтное register_globals в PHP ругаться - так баг, а подобная же дыра в рельсах - фича? Нет уж, господа, фреймворки для того и нужны чтобы о подобном не думать.
     
  • 3.42, Аноним (-), 07:09, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > это не баг

    С точки зрения хакеров и спецслужб - безусловно, фича офигительного калибра ;]

     
     
  • 4.49, Alen (??), 09:40, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Может они от того и не хотели закрывать, что им "настоятельно рекомендовали" ;)
     
  • 3.48, фклфт (ok), 09:03, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > это не баг

    Конечно не Баг, это просто очередная такая фитча которая появляется время от времени.
    Не надо забывать такой же баг в апаче, portsentry, ssh, proftpd, sftpd и еще многих десятков проектов включая iptables
    Благодаря таким багам позор открытым проектам
    Давно уже пора навести генеральный аудит кернела а то туда столько уже напихали таких фитч интересных что просто так уже их не выпилить
    Блажен тот кто верует в то что это Баги

     
     
  • 4.75, Аноним (-), 16:23, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Давно уже пора навести генеральный аудит кернела

    1) RoR ну совсем никак не относится к кернелам.
    2) Вы о каком кернеле? О том в котором недавно ремотно присылаемые UDP пакеты на закрытый порт код выполняли? Так это... MS исходники забыл выдать, так что пусть сам и аудитит. А у остальных таких лютых обсиронов что ремотно можно код с правами ядра выполнить уж сто лет как не было.

     
  • 2.83, kuraga (ok), 18:43, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Жидкий мозг у тех, кто не следит за своим кодом и документацией. Сегодня это - гитхаб. Вчера это был я. И в голову не приходило винить других. И Вам советую.
     
     
  • 3.118, Аноним (-), 23:25, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Жидкий мозг у тех, кто не следит за своим кодом и документацией.

    Честно говоря, у почти всех вебдевелов мозг довольно жидковат. Как минимум по части секурити. Типовой сферический вебдев в вакууме обычно является довольно странным бакланом, который не очень понимает как все это в целом работает, уповает на то что за него все сделают более высокоразвитые существа в фреймворке/рантайме/чем там блин еще. А эти более высокоразвитые возьми да и окажись такими же бакланами, подкладывающими свинью "братьем нашим меньшим". К большому облому этих самых меньших...

     

  • 1.27, Ya (??), 22:00, 05/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Радостно видеть, что ещё не все мозги из России уехали за рубеж... Респект мужику!
     
     
  • 2.30, Аноним (-), 23:20, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну ничего, вот получит рабочую визу от того же github :3
     
     
  • 3.31, Аноним (-), 23:31, 05/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На колыму.
     
     
  • 4.50, hummermania (ok), 09:47, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    ЩО уже и там github???
     

  • 1.33, Аноним (-), 00:05, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кстати, не из Питера он, не видел я его тут.
     
  • 1.34, gegMOPO4 (ok), 00:23, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну молодец. В пятницу сообщил GitHub об уязвимости, а в воскресенье уже атаковал.
     
     
  • 2.36, Crazy Alex (ok), 01:05, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Такое надо фиксить моментально, вообще-то.
     
     
  • 3.51, gegMOPO4 (ok), 11:19, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.
     
     
  • 4.63, Alex (??), 13:24, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну вот моментально и пофиксили. Как только узнали. С кем он там переписывался в пятницу, с секретаршей или с вахтёром, и почему не стал ждать, пока после уик-энда вернутся те, кто уполномочен вносить изменения в конфигурацию ГитХаба, — неясно.

    Вообще-то багрепорт закрыли с сообщением, что это их не касается

     
     
  • 5.64, Ваня (??), 13:30, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://mobile.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=post&om=83432&fo

    Вообще то голову иногда полезно включать.

     
     
  • 6.103, kuraga (ok), 22:22, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Я вообще не понимаю, как хакер нашел уязвимость и ступанул с тем, кому писать.
     
     
  • 7.104, kuraga (ok), 22:25, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Хотя вот тут пишут, что это он так пошутил над RoR :)
     
  • 5.70, gegMOPO4 (ok), 14:57, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Кто закрыл и кого не касается? И причём здесь ГитХаб?
     
     
  • 6.101, Crazy Alex (ok), 21:26, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Если они по такому репорту - хоть в пятницу, хоть в субботу в три часа ночи (hint - время на планете разное) не подняли девелоперов и в авральном порядке всё не починили - им минус. Или если не могли - надо было корректно отписаться товарищу (мол, спасибо, работаем, фикс будет тогда-то) и закрыть на фиг дыру любыми грубыми способами, вплоть до перевода гитхаба в ридонли.
     
  • 2.43, Аноним (-), 07:13, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а в воскресенье уже атаковал.

    Так обeзьяны делающие RoR не придумали ничего умнее как просто закрыть баг. Ну если на анонс о уязвимости столь лaмерская реакция - то по-моему самому вбрoсить фикс :) бага :) это вообще архиэпично и довольно благородно.

    Блэкхэт бы найдя такое просто закoммитил втихую бэкдоры в кучу проектов и ржал втихарика над "этими идиoтами" использующими "это решeто" от "некомпетентных обeзьян". Попутно рубая килобаксы на черном рынке. А тут перец просто технично пофиксил баг сам, сам прописав себе права. Epic win! Нагляднее показать разработчикам сита что у них много дырок просто невозможно :)

     
     
  • 3.44, arisu (ok), 07:18, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    в общем да, всё логично: раз это не баг, то какая проблема в том, что человек использовал *штатную фичу* тогда, когда захотел?
     
     
  • 4.46, Аноним (-), 07:31, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > в общем да, всё логично: раз это не баг, то какая проблема
    > в том, что человек использовал *штатную фичу* тогда, когда захотел?

    Вот именно, Капитан. В этом и состоит комизм ситуации ;]

     
     
  • 5.47, arisu (ok), 07:35, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну, я на всякий случай расшифровал. Кэп я или нет? надо ж реноме поддерживать.
     
     
  • 6.76, Аноним (-), 16:24, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > реноме поддерживать.

    Спасибо, Капитан :)

     
  • 3.52, gegMOPO4 (ok), 11:24, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт в багтрекере ГитХаба?

    Ну и баг он не фиксил. Он просто пролез в форточку и оставил на видном месте надпись «Здесь был Вася». Хорошо, конечно, что не насрал на стол, но это не такое уж и достижение.

     
     
  • 4.62, Ваня (??), 13:11, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Поручик Ржевский приехал к Безухову, но не застал того дома. "Может в рояль насрать? Ан нет, не поймут. Деревня..."

    Так и здесь: не поймут. Деревня...

     
     
  • 5.114, Аноним (-), 00:04, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ваня, надо быть скромнее...
     
     
  • 6.115, Аноним (-), 00:08, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Ваня, надо быть скромнее...

    И вытаскивать дерьмо из карманов, когда выходите в свет...

     
  • 4.84, arisu (ok), 19:05, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А при чём здесь RoR? Взломал он GitHub. Где ссылка на репорт
    > в багтрекере ГитХаба?

    а бага нет. авторы RoR сказали, что это вообще не баг. а раз не баг — это штатная фича. не вижу, с каких пор стало нужно запрашивать разрешения или писать в багтрекер о штатной фиче.

     
     
  • 5.94, gegMOPO4 (ok), 21:10, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Баг не в самом RoR, а в GitHub. Если программист на PHP напишет код, допускающий SQL-инъекции, куда багрепорт нужно слать — в PHP или авторам этого кода на PHP?
     
     
  • 6.96, arisu (ok), 21:14, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Баг не в самом RoR, а в GitHub.

    а гитхаб никто не трогал, например.

     
     
  • 7.98, gegMOPO4 (ok), 21:20, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Как это не трогал? А новость о чём?
     
     
  • 8.99, arisu (ok), 21:25, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    о том, что немножко пошутили над авторами RoR где в новости информация о том, ч... текст свёрнут, показать
     
     
  • 9.105, kuraga (ok), 22:31, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Ну он на него все равно че-т послал Та же инъекция-биекция ... текст свёрнут, показать
     
     
  • 10.106, arisu (ok), 22:44, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    таких 171 инъекций 187 8212 каждый первый коммит - ... текст свёрнут, показать
     
  • 4.85, arisu (ok), 19:07, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    p.s. гитхаб он не ломал. он воспользовался штатной фичей RoR, чтобы немножко улыбнуться над авторами RoR. которые страшно далеки от народа и не летают, пока по тестикулам не пнёшь.
     

  • 1.40, chemtech (ok), 06:21, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хочу заметить, что написано не просто "Егором Хомяковым", а "Егором Хомяковым из Санкт-Петербурга")
     
  • 1.53, Аноним (-), 11:40, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Безотносительно к факту, создаётся какое-то впечатление, что чувак не может внятно и связно изъясняться ни на русском, ни на английском. В этом тоже может быть проблема что его не услышали вовремя.
     
     
  • 2.55, AlexYeCu (ok), 11:55, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Использовал русский язык — не поняли.
    Использовал английский язык — не поняли.
    Использовал Ruby язык — поняли!
     
     
  • 3.56, Andrey Mitrofanov (?), 12:03, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    --2 наряда вне очереди. --Нэпанимаю. --3 наряда вне очереди! --Нэпанимаю. --5 нарядов вне очереди!! --Нэ имеишь права.
     

  • 1.69, Аноним (-), 14:40, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В Арче, оказывается, тоже есть страшный баг. Установка по-умолчанию не включает iptables!
     
     
  • 2.72, Аноним (-), 15:23, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зачем iptables на десктопной системе? Или к чему это было написано?
     
     
  • 3.77, Аноним (-), 16:27, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Зачем iptables на десктопной системе?

    Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть. Такого от арчеводов я как-то не ожиждал. Хотя... памятуя о том что они подписи пакетов еще только собираются прикручивать несложно понять насколько они класть хотели на безопасность использования их системы :\

     
     
  • 4.89, arisu (ok), 19:50, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.

    потому что без файрвола винда похожа не просто на решето, а на решето без сита. это раз.

    два: покажи мне домохозяйку, устанавливающую арч.

    три: давай проведём эксперимент: выставим в интернеты голую winxp и голый arch. и посмотрим, что с ними будет через пол-дня. дольше не предлагаю по очевидным причинам.

    голубчик, ты, возможно, удивишься, но основное назначение iptables — вовсе не «закрывать порты в дырявой системе».

     
     
  • 5.122, Аноним (-), 23:46, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Там файрвол такой, конечно умеет только на вход и правила примитивные как топ... большой текст свёрнут, показать
     
  • 4.90, Аноним (-), 19:52, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.

    Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.

     
     
  • 5.119, Аноним (-), 23:33, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Назови хоть один случай когда нужно оперировать правилами iptables на десктопной системе.

    А легко. Допустим хочу я раздать интернет с 3G свистка в ноуте по вайфаю нескольким окружающим. Айпитаблес - поможет. Ну и вообще, тупо иметь мощный фильтр в системе но не иметь интерфейса к нему. Машина с мощным двигателем но без руля - круто придумано :)

     
  • 4.110, Клыкастый (ok), 23:05, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Мля, даже в домохозяечной win xp какое-то подобие файрвола и то есть.

    в юниксе файр нужен, чтобы закрывать входы, чтобы не пропустить вторжение
    в венде - чтобы не выпускать наружу троянов и прочий гадюшник. естественно что оно там - есть. подобие.

    несмотря на то, что товарисча резко минусанули, поддержу его и расширю вопрос: что именно по-вашему должен защищать файрвол на десктопе?

    $ netstat -an | grep LIST | grep tcp
    tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN    
    tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN    

    итак?


     
     
  • 5.120, Аноним (-), 23:35, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > итак?

    Итак, если какой-то умник пустит злобный скан на порт 22 и начнет откровенно брутфорсить пассворды потоков так в 200, вам должно понравиться :)

     
     
  • 6.121, arisu (ok), 23:40, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    да на здоровье.
     
     
  • 7.123, Аноним (-), 23:49, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > да на здоровье.

    Я что-то не уверен что его пропрет что ремотная активность уперла его проц в потолок :). Особенно прикольно на ноуте, где батарейка в результате такой деятельности уйдет в 0 не за 8 часов а за 2-3.

     
     
  • 8.127, Клыкастый (ok), 13:51, 12/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    ноут с гигабитным каналом и белым ip однако ... текст свёрнут, показать
     
  • 3.78, Аноним (-), 17:03, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    К тому, что небезопасное поведение по-умолчанию, о котором упомянуто даже в официальных Rails Guides с рекомендацией "всегда используйте attr_accessible в моделях", как-то некорректно называть багом и уязвимостью.
    Разработчики ГитХаба это прозевали? Прозевали. Но при чём тут Rails?
    Однако, я всё же согласен с тем, что включение вайтлиста по-умолчанию - хорошая идея.
     
  • 3.91, Аноним (-), 20:00, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Что самое забавное, минусуют те, кто iptables в глаза не видел. Зато у них в голове прочно засел очередной миф из чудесного мира Windows, что если нет фильтрации пакетов, то все, ппц, из интернета атакуют злобные хакеры и заразят винлокером.
     

  • 1.86, arisu (ok), 19:08, 06/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да, кстати. ведь у github насильный https — откуда уязвимость? ведь всем известно: стоит отрубить http и всех насильно переводить на https — и никаких уязвимостей. разве не так?
     
     
  • 2.108, Аноним (-), 23:02, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Не так. Но http при наличии https обязан быть отрублен.
     
     
  • 3.109, arisu (ok), 23:03, 06/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Не так.

    как же это «не так»? а зачем тогда насильно впаривать https, который и неудобней, и тормозней, и нагрузка на сервера больше?

    > Но http при наличии https обязан быть отрублен.

    с чего бы?

     
  • 3.124, Аноним (-), 23:56, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Не так. Но http при наличии https обязан быть отрублен.

    Кто это придумал? И главное - что там такого ценного что предлагается шифровать? Я вот честное пионерское, не вижу никакой активности которую бы я производил на гитхабе и которая бы требовала сокрытия от посторонних глаз. Зато пока SSL сконектится, перекинется ключами и прочая, HTTP уже давно сгоняет запрос и получит ответ, а SSL еще только начинает конектиться поверх секурного туннеля... который рыли непонятно зачем, секуря вообще неизвестно что и зачем. Гениально, мля.

     

  • 1.112, Maxim Filatov (?), 11:31, 07/03/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> после столь демонстративного взлома, разработчики Rails внесли изменения в ветку, на базе которой будет сформирован релиз Ruby on Rails 3.2

    А у кого тут машина времени?
    Релиз Ruby on Rails 3.2 вышел 20-го января.

     
     
  • 2.125, Аноним (-), 23:57, 09/03/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > А у кого тут машина времени?

    У того самого хацкера, он коммит на 1000 лет вперед сделал, чтоли :)


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру