| 1.1, Аноним (1), 10:57, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
Force push? Так а ничего, что у всех потом репозиторий перестанет пулиться?
| | |
| |
| |
| 3.10, Аноним (1), 11:26, 01/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, этот как-то топорно было. Джи Танг или как там того китайца/корейца/японца звали, что в ssh пушил, показал класс. Там по всему репозиторию растер и чудом заметили.
| | |
| |
| 4.47, Аноним (47), 16:19, 02/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
да не в ssh, а в xz, который, что самое смешное, по дефолту для ssh не юзается, но на системД...
| | |
|
|
| 2.20, Аноним (20), 12:27, 01/02/2026 [^] [^^] [^^^] [ответить]
| +3 +/– | |
vibe pulling
Спросят у чат бота почему не пулится, получат и применят ответ. И всё работает как надо.
| | |
| 2.21, Аноним (21), 12:44, 01/02/2026 [^] [^^] [^^^] [ответить]
| +3 +/– |
А ты думаешь как его вычислили? Без этого бы так ничего бы и не поняли.
| | |
|
| |
| 2.6, Grigoriy Wiser (ok), 11:18, 01/02/2026 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Вы адекватны? При угоне доступа без разницы, на каком языке написан код, хоть на ассемблере, хоть "0010 0101 1110".
| | |
| |
| |
| 4.30, Аноним (30), 15:19, 01/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Какой-то парад альтернативно одаренных. Чел, в новости влезли в репу с кодом. При чем здесь "магазин пакетов"?
| | |
|
| 3.32, Bottle (?), 16:17, 01/02/2026 [^] [^^] [^^^] [ответить]
| –3 +/– |
...что и требовалось доказать, проблемы безопасности Си раздуты на пустом месте.
| | |
| |
| 4.33, Аноним (30), 16:32, 01/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
При чем здесь Си вообще, если в новости не обсужаются проблемы какого-либо языка?
| | |
| |
| 5.35, Аноним (35), 18:15, 01/02/2026 [^] [^^] [^^^] [ответить]
| –2 +/– |
ровно при том, что не причем)) язык хоть самый самый, не избавит от проблем
| | |
|
|
|
| 2.40, Смузихлеб забывший пароль (?), 06:03, 02/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
> атакующие воспользовались операцией "force push" (git push с опцией "--force"),
> позволяющей принудительно заменить ветку во внешнем репозитории своим содержимым
> и, соответственно, переписать историю изменений
> (после замены показывается история из ветки, загруженной атакующим)
Казалось бы, причём тут нода
С другой стороны, порой новости о дырах полезны. Не прочитал бы эту - так и не знал бы что существует какая-то Плоне, одновременно и с нодой и с питоном. Но пользоваться ей, разумеется, не буду
| | |
|
| 1.4, Аноним (4), 11:08, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Первый раз слышу о таком проекте, ну это же не хром или ядро, очевидно что проект маленький, ну какая там команда разработчиков, человек 10? Понимаю если 100, тогда ещё можно не уследить, но тут же вполне реально вчитываться в присылаемые изменения, даже от коллег.
Ок, примем что ребята просто на доверии, расслабились и не учли что возможность компрометации никогда не равна нулю.
| | |
| |
| |
| 3.41, Смузихлеб забывший пароль (?), 06:06, 02/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
в своё время и паскаль-да-бейсик были популярными
А жаль. Особенно с бейсиком. Норм халявного декомпилятора для него так и не сделали, а запускать старое ПО на нём с каждой новой виндой всё сложнее из-за горы разных зависимостей
| | |
|
| 2.38, Аноним (38), 21:03, 01/02/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
На нем корпоративные сайты пишут. Типа круто. Было. С сегодняшнего дня - лузеры. Скажите им.
| | |
|
| 1.5, Аноним (4), 11:09, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А еще интересно, кто стоит за этим, и похожими взломами реп питона и жс.
| | |
| 1.7, Аноним (4), 11:20, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А вообще, нужно уже придумывать что то новое, для избежания подобных атак, хз, не принимать например изменения от непонятно кого, например, или в чате разработчиков ввести правило, что перед тем как кто-то вносит изменения, обязательно всех оповестить об этом, ну и всем работать не через токены, а просто предлагать изменения, и далее в чате, только уже после, решать, вносить их или нет. Хакерам для такого придется еще и чат ломать.
| | |
| |
| |
| 3.17, Васян (?), 12:11, 01/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
 -- - - -- Да да а патчи по емайл принимать одному человеку...
Не, па тилифону и с помащью голасавого памощника... всё должно быть ридонли, полная изаляцыя синей изолентой и в пластиковом контейнере с фольгой запаковано потом. Любимая тема всяких разрабов всяких фич будущего человечества.
| | |
|
| 2.28, Аноним (48), 13:52, 01/02/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
Лучше всего mailing list сделать, куда слать патчи с помощью git-send-email.
| | |
| 2.42, Смузихлеб забывший пароль (?), 06:11, 02/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
там не непонятно кто - там под учёткой одного из разработчиков
если хацкиру удалось спереть ключи доступа к гиту из системы разработчика - что помешает ему получить доступ( хоть и кратковременный ) к какой-нибудь болталке с его системы ?
Если ещё и болтать в чате с обсуждением изменений на каждый чих( т.е каждый разработчик должен будет ещё и разгребать всё что сделано всеми остальными ) - это половина если не больше рабочего времени будет уходить на бесполезную болтовню
Но в итоге всё равно как-нибудь да ломанут
| | |
|
| 1.13, Аноним (13), 11:46, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Для предотвращения подобной подмены веток в будущем разработчики Plone включили в GitHub правила, блокирующие операции "force push" для основных веток и тегов.
Это первое, что должны делать сопровождающие новых реп. Странно, что гитхаб сам не рекомендует отключить force в мастер ветки.
| | |
| |
| 2.14, Аноним (14), 11:56, 01/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
И что предлагаешь делать всяким винампам? Их же засудят на много денег.
| | |
| 2.43, Смузихлеб забывший пароль (?), 06:13, 02/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
странно, что такая возможность в принципе есть
Даже если предположить, что требуется полностью иную версию всех изменений по проекту заливать, то это или другая ветка или, не трогая старый, новый репозиторий создавать, куда всё с конкретного компа и сваливать. Ибо почти наверняка иначе что-то нужное куда-то проср*тся
| | |
|
| 1.31, Аноним (31), 15:49, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Для интеграции изменений вместо обычных коммитов атакующие воспользовались операцией "force push" (git push с опцией "--force"), позволяющей принудительно заменить ветку во внешнем репозитории своим содержимым и, соответственно, переписать историю изменений (после замены показывается история из ветки, загруженной атакующим).
Это такое палево, которое детектится разрабом когда он свои запушить хочет, а git отказывается.
| | |
| |
| 2.37, Аноним (37), 20:25, 01/02/2026 [^] [^^] [^^^] [ответить]
| +/– |
Во всех сценариях использования, где клонируется репозиторий, а потом что-то делается - это не сдетектится. Никто не заморачивается вытягиванием конкретного коммита.
У кого локально нет наиболее поздних коммитов, тоже могут не заметить.
Все равно топорно. Лучше подменить какую-нибуд ветку из уже слитых и с ней слиться как бы еще раз, замыленные глаза не увидят.
| | |
|
| 1.39, Аноним (39), 21:32, 01/02/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Ну вот есть в гитхабе двухфакторка. А толку то, если можно утащить токен и второй фактор побоку?
| | |
|
