| 1.2, Ivan_83 (ok), 10:00, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 > Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
Ох уж эти деды, отстали от жизни!
Надо как самый безопасный язык было ставится: curl | sh
Эксперты по безопасности гарантируют!
| | |
| |
| |
| 3.14, Ivan_83 (ok), 11:32, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Смешные.
Тут этот ваш https тоже был.
А учитывая что LE кому попало серты выдаёт и историю как MithM делали на джаббер ру то цена этому https около нуля.
| | |
| |
| 4.18, q (ok), 11:42, 27/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > джаббер ру
А есть второй пример в методичке? Ну, джаббер ру в каком-то лохматом году -- это раз. А есть второй пункт в этом списке, разоблачающий безопасность https? ну так, чтобы все такие: "нихрена себе, в этом списке не один, а как минимум два пункта! вот это охренеть не встать! всё, срочно переходим обратно на telnet и http! потому что https абсолютно не безопасен!"
| | |
| |
| 5.19, Аноним (19), 13:53, 27/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
On 10 July 2011 an attacker with access to DigiNotar's systems issued a wildcard certificate for Google. This certificate was subsequently used by unknown persons in Iran to conduct a man-in-the-middle attack against Google services.[25][26] On 28 August 2011 certificate problems were observed on multiple Internet service providers in Iran.[27] The fraudulent certificate was posted on Pastebin.[28] According to a subsequent news release by VASCO, DigiNotar had detected an intrusion into its certificate authority infrastructure on 19 July 2011.[29] DigiNotar did not publicly reveal the security breach at the time
| | |
| 5.21, Ivan_83 (ok), 14:00, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– | |
Джаббер ру был не в лохматом году, а совсем не давно.
Ещё - хз, полагаю таких случаев были десятки просто всех кто мог знать или посадили или это были те кто садил и потому до публики они не дошли.
На примере джаббер ру просто вскрылся механизм как правоохранители работают, и что ничего не мешает точно так же имея возможность MithM (со стороны сервера) выписывать себе эти самые сертификаты.
Будет лулзово когда джепот с инсталляций самого безопасного языка таки рванёт.
Хотя я где то видел ещё подобные методы установки.
| | |
| |
| 6.26, Аноним (19), 16:47, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
да там как бы куча "тестовых случаев вы не понисаете это другое". гуглите
Timeline of Certificate Authority Failures
| | |
|
|
|
|
| 2.22, Аноним (22), 14:20, 27/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >> Также предполагается, что подмена ссылок на релизы не могла остаться незамеченной, так как многие поставщики при загрузке дополнительно используют систему криптографической верификации кода Sigstore и проверку с использованием PGP-ключей.
> Ох уж эти деды, отстали от жизни!
> Надо как самый безопасный язык было ставится: curl | sh
> Эксперты по безопасности гарантируют!
Местным экспертам-по-всему неплохо бы иногда проверять методички. А то оно конечно да, "мы все так говорим, а значит это правда!", но выйти таки может неловко ...
> Each of these binaries is signed with the Rust signing key, which is available on keybase.io, by the Rust build infrastructure, with GPG. In the tables below, the .asc files are the signatures.
https://static.rust-lang.org/rust-key.gpg.ascii
https://static.rust-lang.org/dist/rust-1.96.0-x86_64-unknown-freebsd.tar.xz.as
https://static.rust-lang.org/dist/rust-nightly-x86_64-unknown-linux-gnu.tar.xz
| | |
| |
| 3.23, Ivan_83 (ok), 14:34, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Чувак, а покажи мне каким таким ключём подписан тот самый shell script который скачивается курлом?
И где там в курле проверка подписи этого скрипта?
| | |
| |
| 4.24, Аноним (22), 14:38, 27/06/2026 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Чувак, а покажи мне каким таким ключём подписан тот самый shell script
> который скачивается курлом?
> И где там в курле проверка подписи этого скрипта?
"Ваши подписи не подписи вовсе, потому что можно их и проигнорить!" (то, что в сабже новости можно сделать ровно то же самое - это другое и не считается!) 🤦🤦
| | |
| |
| 5.27, Ivan_83 (ok), 18:01, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Можно проигнорить и подписей совсем нет - две сильно разные ситуации.
| | |
| |
| 6.29, Аноним (29), 21:30, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Чисто логически -- да, две разные. На практике же, если что-то не является обязательным, это может с таким же успехом не существовать вообще. Проблема доверия -- социальная, а значит не имеет технического решения. Правда, чтобы это понять надо с людьми работать, что для айтишников хуже каторги.
| | |
|
|
| 4.28, Аноним (28), 18:04, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Тем же самым, которым подписаны все пакеты во всех дистрибутивах линукса, все тарболлы с исходниками. Кроме фряхи. В фряхе можно ничего не подписывать, ей svn и отсутствие пользователей обеспечивают безопасность.
| | |
|
|
|
| 1.3, Аноним (3), 10:23, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На подписи полагаться тоже наивно. Вон даже Асус распространял подписанные вирусы, а ведь монополист.
| | |
| |
| 2.12, Ivan_83 (ok), 11:28, 27/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Асус не монопилист и вообще к софту имеет опосредованное отношение, не удивлюсь если они свои кривые софтварные поделки заказывают где то на аутсорсе.
Мне ихний софт с начала 2000х не нравится - держусь от него подальше.
| | |
| |
| 3.17, Аноним (3), 11:41, 27/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
Не монополист, всего лишь 70% рынка комплектующих. Включая самые качественные. А софт у них со всем оборудованием идёт, никуда от этого не денешься.
| | |
| |
| 4.20, Ivan_83 (ok), 13:54, 27/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Хзхз.
Я тут недавно разобрал HP и понял что наверное зря до этого с асусом связывался даже в плане железа :)
К счастью нынче даже биос вендор сам особо не пишет, так что кривые руки асуса не сильно портят ситуацию.
А так, материнки у них бывают неплохие.
Но всё что в ОС - лучше сразу удалять вместе с операционкой на всякий случай :))))
| | |
| |
| 5.35, Смузихеб забывший пароль (?), 07:55, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
Только ни асус ни хп сами ноуты не делают, не проектируют, не паяют платы итд итп
За оч многих это делают несколько огромных ОЕМ/ОДМ производителей в азии
Нередко они просто приходят в контору и заказывают компромиссные варианты для разных ценовых категорий, а после - сами конторы уже делают всё остальное, вплоть до подбора деталей/процов/графики/дисплеев
Это к слову о том, что смысла заглядывать туда не особо много - всё, что увидишь, просто результат безликого азиатского производителя, а не самой конторы, владеющей брендом
Ну и конкретно ХП никогда не нравился. Вроде бы и по железу/ценам норм, а как работать начинаешь - так постоянно что-то происходит. Регулярные падения системы и прочее веселье встречалось в осн у ноутов этого бренда
| | |
| |
| 6.36, Смузихеб забывший пароль (?), 07:57, 28/06/2026 [^] [^^] [^^^] [ответить]
| +/– |
п.с: по поводу производителей нюанс ещё в том, что, порой ноуты совершенно разных брендов сделаны по факту одной конторой и даже материнки проектировались и паялись одной и той же конторой со всеми своими специфическими и характерными нюансами
| | |
|
|
|
|
|
| 1.5, Аноним (5), 10:58, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Кто хоть раз за последние 12 лет скачивал Python? Или лучше спросить кто этого не делал.
| | |
| |
| |
| |
| 4.9, Аноним (3), 11:17, 27/06/2026 [^] [^^] [^^^] [ответить]
| –1 +/– |
А ты не обновляешь? Ну каждое обновление перекомпилировать надо с нужными мне параметрами и патчами (в дистрибутиве даже пго не включали лет 15), часто нужны несколько версий, если на венде задеплоить что-то надо тоже скачиваешь.
| | |
|
|
|
| 1.7, Аноним (8), 11:10, 27/06/2026 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> Уязвимость присутствовала в коде с 2014 года
Это они удачно призасунули!
| | |
|
