URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 112677
[ Назад ]
Исходное сообщение
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено opennews , 04-Ноя-17 10:23 
Фонд свободного ПО предупредил (http://www.fsf.org/blogs/executive-director/how-we-are-addre...) об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective By Design (http://defectivebydesign.org),  включая IP-адреса авторов комментариев, номера телефонов и  email пользователей.


Данные оказались общедоступными  из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org,
который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления  было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.

В бэкапе находились данные, накопленные в 2007-2012 годах, включая около 28 тысяч email-адресов, 120 номеров телефонов, IP-адреса отправителей комментариев и сведения об участии пользователей в акциях Defective By Design. В архив входили данные из профилей зарегистрированных пользователей, но хэши паролей, параметры аутентификации и финансовая информация хранились отдельно и не пострадали. Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

URL: http://www.fsf.org/blogs/executive-director/how-we-are-addre...
Новость: http://www.opennet.me/opennews/art.shtml?num=47501

Содержание
Сообщения в этом обсуждении
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 10:23 
Как ресурс назовешь...
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Hellraiser , 05-Ноя-17 11:55 
> Как ресурс назовешь...

нормальное название для ресурса о ДНК Потерринга

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено iPony , 04-Ноя-17 10:34 
За что боролись, на то и напоролись.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 21:41 
Они борются против этого.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 06:37 
Они борются против DeRьMa.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено AntonAlekseevich , 04-Ноя-17 11:19 
>Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.
> Всем пользователям, профили которых затронула утечка, Фонд СПО отправил уведомление с пояснением ситуации и извинениями.

Облажались, но извинились.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 05:06 
Может цитировать будешь всю статью целиком? Чего мелочиться
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено AntonAlekseevich , 05-Ноя-17 22:44 
> Может цитировать будешь всю статью целиком? Чего мелочиться

Знаю что полстатьи выдрал. А так согласен чего мелочится на пустяки. Только я пока ещё в своем уме и себе не позволю выдрать больше.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 11:33 
На nginx наверное перешли, а он .htaccess не отрабатывает
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 16:38 
> На nginx наверное перешли, а он .htaccess не отрабатывает

а мозгов-то не завезли

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Zenitur , 04-Ноя-17 11:33 
> 28 тысяч email-адресов

Так мало людей против DRM.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 20:56 
Времена халявы закончились. Наступило время цивилизованных рыночных отношений, где авторов, для производства нового контента, нужно поощрять. Если поощрять желания нет, значит контент не нравится, и покупать его не нужно (равно как и иметь к нему доступ).
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 21:39 
Что-то подскаэывает, что поощрять - это начит донатить. И к рыночным отношениям и DRM это отношения не имеет.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 22:16 
> Что-то подсказывает, что мебель — это значит шкаф с двумя секциями

Не обязательно. Слово «мебель» обозначает сразу категорию, сюда входят не только шкафы с двумя секциями.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Michael Shigorin , 05-Ноя-17 22:06 
>> Что-то подсказывает, что мебель — это значит шкаф с двумя секциями
> Не обязательно. Слово «мебель» обозначает сразу категорию, сюда входят не только
> шкафы с двумя секциями.

Это Вы про этот строго чОрный шкаф с двумя секциями и больше вообще никак?

>>> Если поощрять желания нет, значит контент не нравится,
>>> и покупать его не нужно (равно как и иметь к нему доступ).

А если "контент" даже в удобрения не годится -- деньги взад обеспечите?  Нет?  Тогда в сад.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 06-Ноя-17 23:40 
> А если "контент" даже в удобрения не годится -- деньги взад обеспечите?  Нет?  Тогда в сад.

Не покупай такой контент - и все. В детском саду в рынок не игрался что ли? Такие очевидные вещи объяснять приходится. Никто тебя не заставляет покупать то, в чем ты не заинтересован. (Если заставляют — звони 112, звонки бесплатны, симка не требуется.)

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Michael Shigorin , 08-Ноя-17 14:37 
> Никто тебя не заставляет покупать то, в чем ты не заинтересован.

Ну то есть дуракам поговорка про кота в мешке не писана, конечно -- но вы здесь исключение.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Карл Спаркс , 04-Ноя-17 22:37 
Плюс к этому, парадигма обладания контентом сегодня всё больше сменяется формой подписки на контент - и это выгодно всем сторонам и конечному пользователю в том числе. Всё же цифровая эпоха заставляет шевелиться рынок под себя. А вот всякие коммунистично-добровольческие идеи по прежнему неизбежно приобретают противоестественные и нежизнеспособные формы в процессе своей эксплуатации, не взирая на слоганы и благие намерения.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено DerRoteBaron , 05-Ноя-17 12:58 
Самое страшное, что железо сейчас де-факто тоже "приобретается" по условиям бессрочной подписки без какой-либо гарантии, что поставщик системного ПО как реальный владелец не отберёт возможность использовать железо по какой-либо причине
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 22:50 
Это какое такое отношение имеет DRM к рыночным отношениям? Там, помимо "борьбы с пиратством", ещё и ограничение конкуренции во всю степь.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 06:42 
> Времена халявы закончились.
> халявы

Я что-то проспал?
Йо-хо-хо никто не отменял. А DeRьMo - ненужно by design, поскольку ты платишь не автору контента, но идиотским кинотеатрам, которые завышают цены за воздух. Вспоминается Чипполино: "После того как мы ввели налог на воздух вы стали меньше дышать! Это возмутительно!".

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено freehck , 05-Ноя-17 09:06 
>> 28 тысяч email-адресов
> Так мало людей против DRM.

Это, как обычно, 5%.
Активисты ж.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 11:36 
> Drupal

Они бы ещё Joomla использовали. Детский сад.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено th3m3 , 04-Ноя-17 12:35 
А что нужно было использовать? Wordpress?)
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 12:51 
> Wordpress

Нуу, это уже ясли.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Michael Shigorin , 05-Ноя-17 22:07 
>> Wordpress
> Нуу, это уже ясли.

По сравнению с жумлой даже wp ещё полбеды...

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено YetAnotherOnanym , 04-Ноя-17 13:45 
То есть, кроме Drupal, Joomla и Wordpress Вы никаких других CMS не знаете.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 14:10 
Назови свободные, достойные, надежные. Давай.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 14:20 
> Назови свободные, достойные, надежные. Давай.

в принципе, можно пропустить первые два списка.
Назовите кто-нибудь хотя бы надежные.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 15:07 
GRAV
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено EHLO , 04-Ноя-17 22:07 
>Назовите кто-нибудь хотя бы надежные.

Mediawiki, Foswiki.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено KonstantinB , 04-Ноя-17 14:30 
Любой генератор статики подойдет. Jekyll, Hugo, и т.д.

Конечно, это не всегда годится, но вот на упомянутом сайтике никакого интерактива нет, сплошные блоги-статьи.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено выбрал , 04-Ноя-17 17:32 
> Любой генератор статики подойдет. Jekyll, Hugo, и т.д.
> Конечно, это не всегда годится, но вот на упомянутом сайтике никакого интерактива
> нет, сплошные блоги-статьи.

и как мы будем добавлять комментарии и лайки к статьям (базу которых, вместе с авторизацией, как раз и проимели) ?

а так и vi подойдет. или вовсе txt2html.pl (все равно оно выглядит как гуано)


"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 17:55 
Disqus
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено вы.ал , 04-Ноя-17 19:59 
> Disqus

ну то есть переложим ответственность на дядю, который все сделает за нас?

оно тут, кстати, надысь подтупило, с довольно интересными последствями для неаккуратно его пользующих.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено KonstantinB , 05-Ноя-17 03:02 
А так ли уж нужна для комментариев хранить емейлы и, тем более, IP-адреса? Может, это все там было не потому, что это нужно, а только потому, что в Друпале так из коробки?

Написать простейшую систему комментариев можно и без всего этого. Отправлять на скрипт, который перегенерит ту самую статику, а подключать сгенерированное можно через тот же SSI.

Да, можно сказать, будут спамить. Но когда будут - вот тогда и решать этот вопрос. По моей практике, на таких сайтиках от нецелевого спама защищают самые примитивнейшие меры (типа input-а с name="email" и style="display: none", заполненность которого - четкий признак спамбота), а от целевого спасает принцип Неуловимого Джо.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено выбрал , 06-Ноя-17 00:32 
> А так ли уж нужна для комментариев хранить емейлы и, тем более, IP-адреса?

ну если хочется только беспомощно наблюдать как тоннами появляются спаммерские высеры (а то и намеренный мусор), то, конечно, не стоит.

Если пользователю не нужны ответы на email, то можно и его не хранить. (хотя туда принято еще подтверждения регистрации высылать, но раз мы любим спаммеров, то и регистрация нам низачем)

> Но когда будут - вот тогда и решать этот вопрос.

а как начнешь пиарить свой проект (а проект как раз - pr компания, пусть не за деньги а против ;-) поэтому его _нужно_ рекламировать везде, где это уместно и где получается)
так сразу и будет. Прямо вот в тот же день.

> По моей практике, на таких сайтиках от нецелевого спама защищают самые примитивнейшие
> меры

твоя практика явно на совсем никому не нужных сайтах, занимающих стабильное пятисотое место в гугле при поиске по теме. Одно неясно - кому такие вообще нужны-то, их же только спам-боты и найдут.

а на нормальных сайтах - и капча, и регистрация (с капчей, и почтовым подтверждением), и премодерация первых 5-10 комментов, и рейт-лимит. Ну или вариант опеннета - удаление т*оватым роботом чего попало, и такие же роботоподобные модераторы на зарплате (ее надо - платить), чтобы удалять то, что проглядел робот. Но это дороговато и неудобно в обслуживании.

потому что всякие скриптозаполняемые поля и display:none уже лет пять как не работают совсем, если ты в гугле вообще хоть как-то виден. off-screen поля пару лет назад стало пробивать по праздникам. Ну и люди-спаммеры, честно регистрирующиеся с реальных адресов  никуда не деваются.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено KonstantinB , 05-Ноя-17 03:09 
...Более того, вполне возможно, что комментарии там и не очень-то нужны, и их включили не по необходимости, а просто потому что в Друпале они уже есть из коробки - чтобы было. А
если бы не было, то и не очень-то захотелось бы.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено анон , 04-Ноя-17 14:47 
django
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 16:36 
> django

угу, угу, никогда не было и вот опять: https://access.redhat.com/errata/RHSA-2017:3093 (by design, заметьте - обос..лись именно в функции, используемой в качестве безопасной обертки).

это не говоря уже о том, что jango - т*пой фреймворк, один из миллиарда, а не готовая cms. Которая, особенно когда ее напишет т*пой фанатик т*пого фреймворка, зато "не такой как все, он же на пихоне, пихон безопастно!" будет ничем не лучше, и так же отложит свой бэкап ниже documentroot, потому что варианты с ../../no-web-accessible/data/ - заблокированы по соображениям "безопасности" (это же так просто, а проверить, какому пользователю на самом деле принадлежит каталог, прежде чем туда гадить - это сложно), и ничего другого ему в голову не пришло (пришло, никого там не застало, ушло)

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено YetAnotherOnanym , 04-Ноя-17 16:56 
На, выбирай сам - https://en.wikipedia.org/wiki/List_of_content_management_sys... - а то я не знаю твоих критериев свободы, достоинства и надёжности.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено выбрал , 04-Ноя-17 17:30 
о, вот эта точно надежная!
https://en.wikipedia.org/wiki/Umbraco

(https://en.wikipedia.org/wiki/OpenACS тоже ничего, "и хрен вы меня уволите" если угораздит ее поставить, но, к сожалению, обновлялась в 2015м а выглядит как в 2005м)

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено лютый жабист__ , 04-Ноя-17 19:07 
Cms это вообще понятие из убогого мира писателей на голом пыхе. Если используешь mvcшный фреймворк, тебе cms и даром не нужен. А недырявые фреймворки есть
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 14:58 
> Cms это вообще понятие из убогого мира писателей на голом пыхе. Если
> используешь mvcшный фреймворк, тебе cms и даром не нужен. А недырявые
> фреймворки есть

Как там апач-спрут поживает? Все уже лейкопластырем замотались?

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено лютый жабист__ , 05-Ноя-17 16:22 
Взял самое решетище, доказал сам себе что все фреймворки дырявые? Молодца
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено demimurych , 04-Ноя-17 20:33 
толсто
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено anomymous , 04-Ноя-17 12:12 
Drupal
Defective by Design
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 12:38 
Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской? Интересно, кто админит их сервера?
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 14:21 
> Хранить бекапы в публично доступной директории, прикрытой ситцевой занавеской?
> Интересно, кто админит их сервера?

drupal.


"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено iPony , 04-Ноя-17 17:04 
У меня другой вопрос возник. А вообще зачем надо было эти данные хранить?
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Big Brother , 04-Ноя-17 17:35 
> У меня другой вопрос возник. А вообще зачем надо было эти данные
> хранить?

I'm watching at you!
http://www.opennet.me/~iPony

(и да, суслик не виден, но твои адреса мы тоже храним)

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Зе Биг Аноним , 04-Ноя-17 22:44 
А мои храните?
А так, там может хранение ip адресов использовалось для защиты от взлома, как в том же гмайл? А вот если они просто так (неизвестно для чего) хранились, то это большой вопрос к свобочкинам ;)
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 14:59 
> (и да, суслик не виден, но твои адреса мы тоже храним)

Скажи мне мой адрес, бро?

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено YetAnotherOnanym , 04-Ноя-17 13:49 
Это не те красавчики, которые на карте мира надпись "Defective By Design" разместили поверх России?
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Кек , 04-Ноя-17 14:43 
Я надеюсь эту карту нашли и запретили?
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 17:21 
Разумеетя. Мизулина, Милонов и Яровая. Независимо друг от друга.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 00:09 
Таки обошлись без Шигорина?
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Michael Shigorin , 05-Ноя-17 22:10 
> Таки обошлись без Шигорина?

АПВС?

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 06-Ноя-17 00:05 
> АПВС?

АПВС — аббревиатура от «А почему (поцчему) вы спрашиваете?», поначалу широко распространенная в среде кащенитов и участников Луркоморья. Некоторые источники относят также к языку падонкафф
Подробнее: http://www.wikireality.ru/wiki/%D0%90%D0%...

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено YetAnotherOnanym , 04-Ноя-17 18:46 
> Я надеюсь эту карту нашли и запретили?

Судя по тому, что даже на archive.org только исправленный вариант (https://web.archive.org/web/20151001000000*/http://static.fsf.org/nosvn/images/idad-2015-map.png) - да.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 06:45 
Или это прохладная от анонима и ничего этого не было, на самом деле.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Michael Shigorin , 05-Ноя-17 22:10 
> Это не те красавчики, которые на карте мира надпись "Defective By Design"
> разместили поверх России?

Написал, поправили.

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 20:15 
> включая IP-адреса авторов комментариев, номера телефонов

Ну, это то, им зачем?

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 21:44 
Действительно, зачем они это вообще сохраняли?
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 22:02 
> Действительно, зачем они это вообще сохраняли?

Наверняка хотели владеть всем миром ;) Но забыли про /dev/null :(

"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 04-Ноя-17 23:53 
Как-то всё не романтично. Прототип айфон хотя бы в баре забывали.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 06-Ноя-17 21:22 
У меня стойкое подозрение, что кто-то тут проплаченный рекламист яблок.
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 05-Ноя-17 03:58 
https://www.cmscritic.com/awards/
"Фонд СПО сообщил об утечке данных пользователей из-за забыто..."
Отправлено Аноним , 09-Ноя-17 21:03 
Надеюсь Druapl уже обгадили, а то не хотелось бы еще раз напоминать что PHP и продукты на нем ...ище.