| 1.1, Аноним (1), 11:31, 12/01/2024 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +3 +/– |
> Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
> возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
Господа эксперты, можете объяснить: как это вообще?
| | |
| |
| 2.3, Аноним (3), 12:06, 12/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +10 +/– |
Это называется безопасность уровня "руби", есть ещё безопасность уровня "перл". Также существует безопасность уровня "пхп", там уже тёртые камаки.
| | |
| |
| |
| |
| |
| 6.60, Аноним (34), 20:08, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +4 +/– | |
> это у вас остаточные знания школьной геометрии :DDD
Не пытайтесь выглядеть умнее, чем вы есть.
> возьмите кривизну пространства отличную от '0' - и много чего узнаете )))
Строгое понятие параллельности есть только в Евклидовой геометрии.
В геометрии Лобачевского есть асимптотическая параллельность. Асимптотически параллельные прямые тоже не пересекаются.
В сферической и Римановой геометрии понятие параллельности в принципе отсутствует.
| | |
|
|
|
|
| 2.7, Аноним (7), 12:29, 12/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> Господа эксперты, можете объяснить: как это вообще?
ну типа тебя спрашивают (или даже не спрашивают но в недрах юзерпрофайла на стопиццотом этаже вложенности закопана возможность) - "дай запасной мэйл, а то вдруг основной у тебя сдохнет а пароль ты уже давно прое..." - и ты такой радостно - а НННА! otjebites@devnull.org
А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!
Хренак - и твой летфпад теперь - его!
Кто бы мог подумать и было ли ему - вот вообще - чем?!
Поэтому теперь будешь подтверждать свои емели по паспорту, иначе хрен тебе а не возможность выкладывать свои лефтпады.
| | |
| |
| 3.58, Аноним (-), 20:01, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +5 +/– | |
> А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!
А вот нифига.
Просто атакующий шлет запрос на восстановление не с одним мылом, а с массивом
[validDevEmail@mail.com, attakerMail@evil.com]
И все)
Думаю найти нужные почтовые адреса это дело техники.
| | |
|
| |
| 3.23, Аноним (-), 15:39, 12/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +3 +/– | |
> Самое забавное, что, из всплывающих за многие месяцы на опеннете уязвимостей гитлаба.. ни одна не работала в гитхабе. По случайному, разумеется, совпадению.
Может они их нашли и починили раньше?
А может гитлаб пишут раки, причем ногами.
Если тут есть какая-то теория заговора, то я ее не уловил)
| | |
| |
| 4.36, Аноним (34), 16:19, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
> А может гитлаб пишут раки, причем ногами.
Ну, наверное, всё-таки люди, но пожалуй, действительно не вполне адекватные и квалифицированные (говорю по многолетнему опыту эксплуатации гитлаба, закончившейся переездом на gitea+argo).
| | |
|
| |
| 4.43, Бывалый смузихлёб (?), 17:03, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а
> потом жалуетесь?
ну там... номер телефона кагбэ.. просиццо
Вообще-то, это уже далеко не основной, но весьма странная ситуация, когда контора не то чтобы восстанавливает старый акк( не надо ), но отказывается заблокировать старый и рассказывает сказки про комплексное подтверждение входа, которого, по факту, нет
| | |
| 4.45, Аноним (45), 18:19, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
Потому что долгое время это был основной идентификатор аккаунта. Не изолированная почта, не пара логин-пароль, а привязка к номеру. Естественно, номера собирались в базы, были сайты с коллекцией всех когда-либо размещённых объявлений по номеру, итд. Никакой приватности, но оно работало, было удобно и не создавало проблем.
Потом пришли эффективные менеджеры, и теперь авито безальтернативно просит мордой в вебку покрутить и паспорт прислать. И номер продавца теперь не узнать, чтобы прозвонить ему голосом. Всё взаимодействие только через сайт, а для сайта нужен аккаунт, а для аккаунта сливать авито персданные.
| | |
| |
| |
| 6.64, Аноним (-), 20:14, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
А если все-таки хочется продать свой пентиум 3?
Или нужно поискать на барахолке память для своего коредвадуо, а бомжи около мусорки принимают тебя за конкурента?
Вот именно тогда люди регистрируются на всяких авитах.
| | |
| 6.88, Бывалый смузихлёб (?), 16:01, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют
> номер телефона?
*шутка про не_мутные сайты с обилием предложений по товару, которые. притом, ничего не требуют и не спрашивают*
Как не в РФ живёшь, ейбогу
А номер телефона нынче требуется почти для всего вплоть до почты( уже лет 5 назад были большие сложности с регистрацией ящика на том же гугломейле без предоставления телефона. Даже если удалось, то быстро блочат "обнаружена подозрительная активность" и требуют предоставить номер, иначе - акк не разблокировать, ведь подозрительно )
| | |
| |
| 7.89, Аноним (34), 16:10, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
Напомнило легендарный немецкий хостинг Contabo, который позволял зарегаться без скана паспорта.
Но, по удивительному совпадению, ровно через два месяца после регистрации у всех пользователей случалась "подозрительная активность", и для разблокировки аккаунта нужен был скан паспорта.
| | |
|
|
|
|
| 3.50, нах. (?), 18:35, 12/01/2024 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
У меня еще веселей - симка давно сдохла, но залезть в авито решил я. Акаунту лет десять уже.
Телефон тогда еще не требовали с ножом к горлу, но он там был просто чтоб мне могли позвонить потенциальные покупатели.
И... опаньки - мы тебе прислали нужный и полезный смс, срочно введи оттуда кот. Да нам похрен что ты знаешь свой пароль, что тебе по прежнему принадлежит мэйл и что ты не просил такой "заботы" - кот давай.
И да, никакие действия недоступны, авите лудше знать как заботиться о твоей безопастносте.
| | |
| |
| 4.93, Аноньимъ (ok), 18:37, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
 У меня ещё ещё веселее.
Купил симку, активировал. Стал пользоваться.
И тут стали приходить смс о банковских операциях. О восстановлении доступа в фейсбук чи вконтакт.
Я по номеру то в фейсбук и зашёл, но не нашёл там способа связаться с владельцем и попросить его от..вязать потерянный номер от банковского аккаунта.
| | |
| |
| 5.96, нах. (?), 11:30, 18/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
ну фигле... я про вконтакт только знаю (потому что раз в три года все же вынужден пользоваться чтобы прочитать что-то зачем-то там помеченное "только для залогиненых", секьюрить, мля) - а сколько и чего у меня еще было попривязано к левым симкам - даже и не вспомнить уже.
И как его отвязать-то если симка уже не твоя? Просить тебя переслать код из смсочки?
Но в принципе можешь ему в фейсбуке на страничку нагадить, в предположении что он хотя бы помнит какой у него был номер, хотя... в некоторых странах уголовно наказуемо.
| | |
|
|
|
| 2.71, Аноним (71), 22:53, 12/01/2024 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– | |
> Господа эксперты, можете объяснить: как это вообще?
Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.
Они ж работу с регулярками начинали два раза. Результат обоих попыток оставил чувство отторжения и желание перестать пользоваться.
Увы и ах. Ну такие они.
| | |
| |
| |
| 4.85, Аноним (71), 13:55, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– | |
Обыденность зла. Всё так.
Сосед бандюк, выбивающий из должников ночами, может запросто зайти к соседу попросить по человески кончившейся соли. Будет добрый человек, сосед... А ночью выбивает...
И что, что другие так делают? Тоже так хочешь? Или хочешь назвать это хорошим, передёрнуть смыслы? А?
| | |
| |
| 5.92, Аноним (34), 17:22, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +1 +/– |
"Хорошая корпорация" — оксюморон.
Любая корпорация занимается добычей денег, и пути к этой цели уж точно не ограничиваются моралью. Только законом, да и то не всегда.
| | |
|
|
|
|
| |
| |
| 3.24, Аноним (-), 15:41, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Не всплывают или их там нет?
Предположу второе, тк "майкрософт удаляет все упоминания о вулнах в гитхабе и убирает свидетелей" - это перебор дляже для мелкомягких)
| | |
| |
| |
| 5.56, Аноним (-), 19:57, 12/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Если говорить про уязвимость из новости - то тут достаточно было UI.
Возможно разные настройки делали разные команды и возникла несогласованность.
Или какая-то новая фича перекрыла и испортила старую.
Вот бы была какая-то BIM система для разработки, как у строителей.
Чтобы ты ей "а добавлю я, от такую фичу", а она тебе "угу, поломаешь тут и вот тут, ну удачи лузер!".
| | |
| |
| 6.74, Аноним (34), 01:56, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма мутный.
А чёрные на станут публиковать инфу о дырах, у них другие методы заработка.
| | |
| |
| 7.78, Вы забыли заполнить поле Name (?), 02:11, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
> Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма
> мутный.
> А чёрные на станут публиковать инфу о дырах, у них другие методы
> заработка.
Не понял про статус. Можно из кода скрафтить эксплойт и если он воспроизводится в проде, то бинго. Говорить откуда у тебя эксплойт не обязательно же.
| | |
|
|
|
|
|
| 2.33, Аноним (33), 16:14, 12/01/2024 [^] [^^] [^^^] [ответить] [↓] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Ушёл. Сначала на GitLab, когда GH купила M$. Потом обратно, когда GitLab inc. решила, что ей всё можно. В след за ней M$ решила, что ей всё тоже можно - куда вы денетесь с подводной лодки. Ушёл на Codeberg.
| | |
| |
| 3.44, Аноним (34), 17:24, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +3 +/– |
Мыши плакали, кололись, но продолжали есть бесплатный сыр, несмотря на то, что к нему была привязана ниточка, позволяющая выдернуть его прямо из желудка бедной мышки.
| | |
|
| 2.48, Аноним (45), 18:34, 12/01/2024 [^] [^^] [^^^] [ответить] [↑] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +2 +/– | |
Ты не путай тёплое с мягким.
Одно дело — обязательная двухфакторка. Через оффлайновые генераторы кодов, например.
Другое — идиотская привязка к номеру телефона, деанонимизирующая, но не защищающая абсолютно ни от чего.
И не надо подменять понятия. Обязательная двухфакторка — хорошо. Привязка к мобиле и паспорту — зло.
| | |
| |
| 3.59, Аноним (-), 20:07, 12/01/2024 [^] [^^] [^^^] [ответить] [↓] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
Это да, но в теме про двухфакторку PyPI куча анонов порвались.
Им даже FreeOTP, LinOTP, Authy, Google Authenticator не подходят.
А некоторые, особо долбанутые, начали рассказывать про злое FIDO (но не то) и токены которые за ними следят и "куда надо докладывают".
| | |
|
|
| |
| 2.46, анон (?), 18:24, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +6 +/– | |
Например так:
Можно переопределить почту в механизме восстановления пароля, передав специально сформированный запрос, в котором в нулевом элементе массива будет валидный email, а в следующем - злоумышленника.
PoC:
user[email][]=valid@email.com&user[email][]=attacker@email.com
Для проверки фактов компрометации систем предлагается оценить в логе gitlab-rails/production_json.log наличие HTTP-запросов к обработчику /users/password с указанием массива из нескольких email в параметре "'params.value.email'". Также предлагается проверить наличие в логе gitlab-rails/audit_json.log записей со значением PasswordsController#create в meta.caller.id и указанием массива из нескольких адресов в блоке target_details. Атака не может быть доведена до конца при включении пользователем двухфакторной аутентификации.
| | |
| |
| 3.61, Аноним (-), 20:09, 12/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– |
О наконец-то кто-то пришел и нормально объяснил.
Если оно действительно так работает, то это фейл просто эпичнеший.
И было бы неплохо добавить пояснение в статью.
| | |
|
|
| |
| |
| 3.84, Аноним (71), 13:51, 13/01/2024 [^] [^^] [^^^] [ответить] [п╨ п╪п╬п╢п╣я─п╟я┌п╬я─я┐]
| +/– | |
Да и на здоровье.
Утверждение о том, что такие компании людей дают такой результат.
Т.е. не надо пользоваться продуктами людей с такими свойствами, если хочешь пользоваться хорошим. Т.к. у них не было основной целью седлать норм. и отл. софт для CI, а делали они совсем другое.
| | |
|
|
|
