В рамках инициативы FOSSA (https://juliareda.eu/2018/12/eu-fossa-bug-bounties/) (Free and Open Source Software Audit), нацеленной на повышение безопасности открытого ПО, Европейская комиссия с сегодняшнего дня запустила (https://juliareda.eu/2018/12/eu-fossa-bug-bounties/) программу по выплате вознаграждений за выявления уязвимостей и серьёзных ошибок в 15 ключевых открытых проектах, применяемых в госучреждениях Евросоюза.
Решения о выплатах будут приниматься на основе заявок, отправленных через сервисы HackerOne (https://www.hackerone.com/) и Intigriti (https://www.intigriti.com/). Общая сумма, выделенная на выплату вознаграждений составляет 851 тысяча евро. Наибольшие бюджеты выделены на выявление проблем в PuTTY и Drupal (90 и 89 тысяч евро). Премии будут выдаваться в зависимости от активности по поиску проблем с безопасоностью и опасности выявленных уязвимостей.
Проект
Размер выплат в евро
Начало приёма завявок
Конец приёма завявок
Платформа сбора заявок
PuTTY
90000
07/01/2019
15/12/2019
HackerOne (https://www.hackerone.com/)
Drupal
89000
30/01/2019
15/10/2020
Intigriti/Deloitte (https://www.intigriti.com/)
Notepad++
71000
07/01/2019
15/08/2019
HackerOne (https://www.hackerone.com/)
KeePass
71000
15/01/2019
31/07/2019
Intigriti/Deloitte (https://www.intigriti.com/)Filezilla
58000
07/01/2019
15/08/2019
HackerOne (https://www.hackerone.com/)
Apache Kafka
58000
07/01/2019
15/08/2019
HackerOne (https://www.hackerone.com/)
WSO2
58000
30/01/2019
15/04/2020
Intigriti/Deloitte (https://www.intigriti.com/)
midPoint
58000
01/03/2019
15/08/2019
HackerOne (https://www.hackerone.com/)
VLC Media Player
58000
07/01/2019
15/08/2019
HackerOne (https://www.hackerone.com/)
7-zip
58000
30/01/2019
15/04/2020
Intigriti/Deloitte (https://www.intigriti.com/)
GNU C Library (glibc) (https://www.gnu.org/software/libc/)
45000
30/01/2019
15/12/2019
Intigriti/Deloitte (https://www.intigriti.com/)
PHP Symfony
39000
30/01/2019
15/10/2019
Intigriti/Deloitte (https://www.intigriti.com/)
Apache Tomcat
39000
30/01/2019
15/10/2019
Intigriti/Deloitte (https://www.intigriti.com/)
FLUX TL
34000
15/01/2019
15/10/2019
Intigriti/Deloitte (https://www.intigriti.com/)
Digital Signature Services (DSS)
25000
30/01/2019
15/10/2019
Intigriti/Deloitte (https://www.intigriti.com/)
URL: https://juliareda.eu/2018/12/eu-fossa-bug-bounties/
Новость: https://www.opennet.me/opennews/art.shtml?num=49912
>Notepad++ 71000Несчастная открывашка txt файликов серьезный вектор атаки?
она там не просто ж так рядом с keep-ass, кто-то в госучреждениях все еще хранит пароли в файлике ;)но вообще, конечно, забавно, какой ненужный мусор используют "европейские госучреждения".
> но вообще, конечно, забавно, какой ненужный мусор используют "европейские госучреждения".
> пох
> PuTTY
> ненужный мусорВерим! То ли дело KiTTY или что там сейчас под десяточкой модно!
securecrt модно, в общем-то и недорого - $120, что-ли? Понятно, что европские госучреждения, пилящие миллиарды денег налогоплательщиков, не могут позволить себе потратить такую огромную сумму на приличный софт, и вынуждены пользоваться зато-бешплатным отстоем, где уже после пятого регулярно используемого хоста становится неудобно работать.но мы тут, вообще, про notepad++, если кто не заметил.
хотя применимость putty в госучреждениях представляется мне крайне сомнительной (приходишь это ты, значит, в мэрию, к примеру, какую-нибудь бумажку оформить - а там все клерки - в pussy.exe, старательно кнопки жмут?) но, возможно, первое место дано не по применимости, а по возможному ущербу от удачно найденой уязвимости - пароли того клерка, кому они после этого нужны?
> госучреждения, пилящие миллиарды денег налогоплательщиков, не могут позволить себе потратитьТам по другому пилят. Менее нагло и заметно.
дык, собственно, вот...понятно что к рукам пильщиков от этих сумм прилипнут сущие копейки - за "организационную поддержку" и прочую ерунду, остальное придется раздать каким-то хакерам, тьфу на них, но раздаем-то мы дядины денежки, а в свой карман кладем - свои, пусть и мало.
обращать внимание, кмк, надо не на это, а на ценник - когда система электронной подписи евросоюза в самой заднице, а на первом месте, сами видите, что.
> дык, собственно, вот...
> понятно что к рукам пильщиков от этих сумм прилипнут сущие копейки -
> за "организационную поддержку" и прочую ерунду, остальное придется раздать каким-то хакерам, тьфу на них, но раздаем-то мы дядины денежки, а в свой
> карман кладем - свои, пусть и мало.Не верится.
800 000 - это два-четыре стандартных домика в "поселке городского типа" или окрестностях небольших городов.Рисковать за копейку теплым (госслужащие не могут попасть под сокращения, у них довольно неплохая зарплата, очень неплохие добавки в виде 13той, рождественских, отпускных, пенсионных, страховочных и еще куева куча привилегий) местом?
Приговор по статье УК, со сроком лишения свободы не менее года или 6 месяцев за определенные пункты (в число которых входит взяточниство и тут даже условный срок засчитывается) лишает чиновника всех привилегий, запрещает работать в госучреждениях и самое болезненное: лишает права на пенсию.
> 800 000 - это два-четыре стандартных домика в "поселке городского типа"так вот, обрати внимание, намек: у канцлера всея Германии НЕТ 800000 (думаю, таки сильно поболее) на домики в поселке, и живет она в унылом многоквартирнике посреди малоприятного для жизни города (турецкий квартал в пешей доступности). ну, зато на работу близко - вертолета за госсчет ей тоже почему-то не дали, а может она в ем блюет.
насчет есть ли оный у неведомого чиновника 300го ранга, которому поручили освоить этот бюджет - можно, думаю, не уточнять.
но он и не рискует почти ничем - он организовал? Организовал! Список составил? Составил! Наградить медалью за успехи и присвоить ранг 299го класса! А какими там сложными путями небольшая котлетка деньжат от неведомой хаксорзоне попадет к нему на карман (скорее всего даже и не деньгами) - вряд ли удастся отследить.
оно примерно вот так в этих цивилизованных странах и работает. Кто хапает не по чину - присоединяется к нашему-другу Берлускони, под конвоем бычки с газонов собирать и в урну складывать, и на госпенсию может не рассчитывать.
>> 800 000 - это два-четыре стандартных домика в "поселке городского типа"
> так вот, обрати внимание, намек: у канцлера всея Германии НЕТ 800000 (думаю, таки сильно поболее) на домики в поселке,http://www.spiegel.de/karriere/gehaelter-von-bundeskanzlerin...
> Das "Amtsgehalt" von Merkel klettert damit inklusive "Ortszuschlag" in zwei Schritten von derzeit 17.992 Euro auf 18.820 Euro pro Monat.18 000 в месяц - 216 000 в год (на самом деле, там еще и много дополнительно идет, в 2013 канцлер получал 247000 в год). Это зарплата топменеджера в банке.
Домик стоит 250 000 - 400 000, если речь не о Мюнхене, Берлине или ближайших окрестностях самых крупных городов.Хотя конечно жителям нерезиновска наверняка виднее будет насчет цен.
> и живет она в унылом многоквартирнике посреди малоприятного для жизни города (турецкий квартал в пешей доступности).
PR и работа на имидж, не?
> насчет есть ли оный у неведомого чиновника 300го ранга, которому поручили освоить этот бюджет - можно, думаю, не уточнять.
Можно. Разрешаю не уточнять -- скорее всего, за домик все еще выплачивается ипотека, но домик таки скорее будет, чем нет. Или квартира у потомственных горожан.
Тем более, проценты по ипотеке будут поменьше, просто потому что гарантии у госслужащего получше.> но он и не рискует почти ничем - он организовал? Организовал! Список
> составил? Составил! Наградить медалью за успехи и присвоить ранг 299го класса!Это может быть. Хотя может быть и банальное "нужно срочно пристроить остатки бюджета иначе в следющем году выделят меньше!".
> А какими там сложными путями небольшая котлетка деньжат от неведомой хаксорзоне попадет к нему на карман (скорее всего даже и не деньгами)
И не деньгами и не прочим. Максимум - поспособствовать карьере. Остальное сомнительно.
Я знаю, в это трудно поверить, но чиновникам 300 ранга в плане левого заработка почти ничего не светит.
Пресса не дремлет, а вступаться за мелочь никто не будет. Вот уже с уровня мэра города да, будут мутить. Но в меру.Намек: Бундеспрезидента турнули с позором и судом за _кредит_ на 500 000 под 4% на собственный домик (фото прилагается)
https://www.welt.de/politik/deutschland/article13765297/500-...Еще тут когда-то патриоты гордо постили ссылку на продажных полицейских - поручали ТО автопарка определенной мастерской и получали за это частную скидку (иногда аж в 30 евро - хозяин вел записи, на чем и спалился). Скандалище, ага.
> оно примерно вот так в этих цивилизованных странах и работает. Кто хапает
> не по чину - присоединяется к нашему-другу Берлускони,Пелевина еще раз цитировать влом. Приводить в качестве примера коррупции итальяшек конечно хорошо для самоуспокоения. Но даже там, насколько я в курсе, "меру знают". В отличие от.
Намек: инфрастуктура вне местных "нерезиновсков" существует не только на бумаге.
Это такие вещи, как общественный транспорт. Даже из села в 3000 человек с 5 утра и до 23 00 с интервалом в 20-30 минут ходит рейсовый автобус в город.
Из города последний идет уже за полночь, на выходных ходят ночные экспрессы.
40 минут до города или 15 минут до ближайшей электрички. Это где-то в два раза больше времени, чем требуется автомобилю.Асфальтированые улицы, тротуары, водопровод, газ, телефон (вся проводка подземная), канализацию не будем упоминать.
Можно в 11 ночи неудачно тюкнутся шапконосилкой об угол, за 20 минут доехать до ближайшей больницы и через час приехать обратно, с зашитой тыковкой, обновленной прививкой от столбняка, бумажкой для местного врача (а пара-тройка таки есть, вместе с аптекой). Не потратив ни цента дополнительно.
Норматив скорой - 8 минут для 95% вызовов. Причем, норматив реальный и выдерживаемый. Обычно укладываются в 5, хотя "гнездо" у них где-то в другом месте. А за помятым тяжелой техникой разнорабочим или влипнувшим водителем вообще могут оперативно подогнать вертолет. Как и искать на нем ночью склерозную бабульку, ушедшую вечером погулять.Не знаю насчет Нерезиновска, но в сельской местности Ставропольского края, последние лет 10 норматив для утреннего вызова скорой, вне административного центра: "завтра с утра!". "Хорошо, если сильно срочно, то возможно сегодя к вечеру!".
Врачей даже в селах на 12 000 населения нет, больницы позакрывали еще лет 15 назад. Газ идет самый дешевый, низкокалорийный. Водопровод чинился еще при СССР. Про асфальтирование, канализацию и вертолеты острить не буду, не хоцца.Вот это и есть разница между "оно примерно вот так в этих цивилизованных странах и работает, мы точно знаем!" и реальным "знать меру".
>> госучреждения, пилящие миллиарды денег налогоплательщиков,
>> не могут позволить себе потратить
> Там по другому пилят. Менее нагло и заметно.Примерно на два порядка "менее", ага.
---
Антикоррупционное агентство Евросоюза OLAF представило исследование, в котором утверждается: от коррупции страны ЕС ежегодно теряют 323 млрд евро, что составляет почти одну треть предложенного ЕС семилетнего бюджета на 2014-2020 годы
--- http://expert.ru/2013/11/22/antikorruptsionnyij-mif/Что там Эйнштейн про бесконечность Вселенной-то говорил?..
> Примерно на два порядка "менее", ага.А еще там негров этсамое! Наверняка!
> ---
> Антикоррупционное агентство Евросоюза OLAF представило исследование, в котором утверждается:
> от коррупции страны ЕС ежегодно теряют 323 млрд евро, что составляет
> почти одну треть предложенного ЕС семилетнего бюджета на 2014-2020 годыЕсли по умолчанию ставить знак равенства между "ЕС" и "Европой", да еще не утруждая себя уточнением, что речь идет о недавно "понаехавших" Польшах, Литвах и прочих, то вообще классное разоблачение получается!
> --- http://expert.ru/2013/11/22/antikorruptsionnyij-mif/
Прикольно, да - самого президента там сначала турнули из-за кредита на 500 000 под 4% годовых для домика, а потом возбудили уголовное дело и начали копать.
Так как в Стране Разоблачителей Буржуев такого никогда не было (потому что возбуждать нечего), можно сделать однозначные выводы!> Вчера Ганноверский земельный суд заслушал первых свидетелей по делу экс-
> президента Германии Кристиана Вульфа, которого обвиняют в коррупции на посту > главы немецкого государства.Ну и да, вот лохи - сами убытки от коррупции считают да еще и уголовные дела заводят и получают плохую статистику!
А вот если бы не считали, ничего бы и не было - проверенно и доказано разоблачителями!> Что там Эйнштейн про бесконечность Вселенной-то говорил?..
Самокритика похвальна. К сожалению все разоблачения "а вот у них на самом деле …" разбиваются о реальность, как уровня жизни и обеспечения населения, так и ту самую, данную нам в ощущениях.
securecrt зачетная вещь: у ленивых пользователей хэш пароля для ssh хранится в конфигурационном файле сессии. Забирай конфиг и входи под рутом.
если ты можешь забрать конфиг с моей системы - ты точно так же можешь поставить туда клавиатурный логгер, и все пароли по любому твои.А большинство систем, на которые я с нее хожу, не стоят такого геморроя.
Тем не менее проблема не надумана: вот и америкосы обеспокоились
https://xakep.ru/2019/04/15/corp-vpn-flaws/
В руках профессионала даже хелоу ворлд станет оружием апокалипсиса.
это как надо постараться то))) хотя на жабаскрипт наверно что нибудь получится)))) или на расте.(там странный синтаксис. не понял юмора разработчиков)))
> оружием апокалипсиса.Какое Откровение.
В винде в политиках безопасности есть такие упрощенные штуки, как ограничение отображения и доступа к отдельным дискам в проводнике. И есть такой прекрасный софт как 7z файл менеджер. И вот "свободные" от рекомендаций одних разработчиков другие разработчики по принципу "нам лучше знать" превращают элементарную задачу для админа в сооружение чуть ли не Линии Мажино. Так что "кулибинские" открывашки ешо могУт!
"Винда" и "безопасность" в одном предложении? NO WAY.
> "Винда" и "безопасность" в одном предложении? NO WAY.В умелых руках и видна безопастна
и беспластна
> В винде в политиках безопасности есть такие упрощенные штуки, как ограничение отображения
> и доступа к отдельным дискам в проводнике. И есть такой прекрасный
> софт как 7z файл менеджер. И вот "свободные" от рекомендаций одА ты не не пользуйся упрощенными подходами
Да, я помню про "стоя и в гамаке".
Есть тема, как поднять деньжат.
Пишем новый функционал с бэкдор. Отправляем в проект.
Затем пешим баг репорт.
???
Profit
в путти не примут, а с друпалом чего зря стараться - за вас уже написали сто штук. (правда, небось опять бабло зажмут, если окажется что "а плагины не оплачиваем", "а это не баг а фича, надо было вот тут и тут подпереть костыликом" и т д)
> в путти не примутуже пробовал?
да нет, чего пробовать - пилит ее один-единственный человек, по сути, на развитие забил двадцать лет назад, настолько, что она начала переставать быть совместимой с современными серверами со своим md5 hash (в прошлом году, правда, проснулсо и в героическом порыве работоспособности запилил таки модные-современные elliptic curves [читай, наиболее сомнительную криптографию из возможных] - но это и есть единственное заметное изменение за почти 20 лет полной стагнации)так что впарить ему заметный кусок нового функционала не выйдет, он его и рассматривать не станет, ему не надо. А в мелком исправлении не удастся впихнуть подставу.
копайте в дрюпалке, там еще копать не перекопать.
>читай, наиболее сомнительную криптографию из возможныхто есть анбшное гοвно без эллиптических кривых менее сомнительно?
>>читай, наиболее сомнительную криптографию из возможных
> то есть анбшное гοвно без эллиптических кривых менее сомнительно?во-первых, менее.
В нем за двадцать лет никто так и не смог найти хотя бы теоретических проблем (ну или жыдорептилоиды из АНБ всех нашедших быстро кау-кау, раньше чем успели разболтать, что почти равнозначно, я не от АНБ шифруюсь), а метод подбора эллиптических параметров для неэффективного шифрования вполне себе математически показан, ликвидационная команда застряла в лифте (а метода проверки дядиных параметров - не существует, afaik - или они в этот раз пришли по лестнице).Во-вторых среди комбинаций cipher/mac и kex в openssh есть считающиеся по сей день вполне приличными, не имеющие ни малейшего отношения к жыдорептилоидам.
А оно, извините, даже sha2 не умеет. То есть до 17го года, включительно, единственным условно-нескомпроментированным маком из всего набора был ripemd160 ! Который запросто может оказаться выключен, вместе с md5, на произвольно взятом сервере или железке, не ожидающей в гости подобную архаику.
в общем, пользуйтесь securecrt (я верно говорю, товарищ майор?) - оно и под линукс есть.
И в отличие от пусси вполне полезно и в линуксе - xterm'ом и ssh эти фичи не заменишь.
Говну, о котором речь идёт, нет и 10 лет.
> xterm'ом и ssh эти фичи не заменишьА что за фичи?
> А что за фичи?ну скачай ее уже, trial доступен бесплатно и без sms. Потом крякнешь ;) Только учти что они будут месяцами докапываться, как прошло тестирование и почему ты еще не их довольный клиент. (и вот как мне объяснить этим милым людям, что ключ получился оформлен на менеджера тyпенького из отдела закупок?) Кстати, к сообщениям о проблемах прислушиваются.
актуально для сетевых инженеров больше, у которых коробок тысячи, причем разные, а ошибиться окошком очень неприятно (хотя и админу-аутсорсеру, тоже с пачкой разномастых, наверное, тоже удобнее чем хтермы покажется - но я, честно признаюсь, не пробовал в этом качестве, как-то прижилось у меня, что для линуксов pussyexe, для железяк securecrt, и может даже не exe)
для меня там главная фишка, не общая с пуссей - хороший и правильный каталогизатор, и редко нужная но незаменимая - набор протоколов, включающий аж kermit.
Отсутствующее первое у пусси как бе отражает тот факт, что автор как был двадцать лет назад админом локалхоста, так им и остался - линейный список аж на пять строк до появления прокрутки.
Второе было когда-то в действительно прекрасной программе terratermpro (opensource, что характерно), но к сожалению, тот японец сгорел на работе еще в прошлом веке, а форк сделали какие-то альтернативно-одаренные и он так и остался на том же прошловековом уровне.
> ну скачай ее уже, trial доступен бесплатно и без smsчестно говоря, не очень хочется, я стараюсь избегать установки каких-либо бинарников не из дистрибутива. да и пакетов под debian не видно, может быть, конечно, пакеты от убунты установятся, но особого желания проверять нет.
потому и спросил: а что там такого волшебного есть, что не даёт ssh+xterm? вдруг оно мне нужно, а я об этом не знаю? )))
ну вот представь что хостов у тебя уже сильно не одну тысчонку, причем что вспоминать 10.33.0.12 (или тут мы с 13 нумеруем?) что набирать srt-vla(или он vld?)-acc0-01 один хрен геморрой - сразу и поймешь, зачем нужно управление списком хостов, иерархия в нем, а то и поиск.А может быть нужно открыть разом все кольцо, а это с 12 по 16, и еще 1 и 2 с другой схемой обозначений, потому что это другие устройства, к которым кольцо подключено. Удобно тебе это будет в xterm? (с пуссей-то сразу все ясно)
а там, глядишь, и другие фичи заинтересуют. с терминальным эмулятором, правда, есть ньюансы. Вроде даже, его в новых версиях обещали пересмотреть.
админу локалхоста, понятно, все это без надобности.
> А может быть нужно открыть разом все кольцо, а это
> с 12 по 16, и еще 1 и 2 с другой схемой обозначений,
> потому что это другие устройства, к которым кольцо подключено.
> Удобно тебе это будет в xterm?Для подобных случаев обычно применял сразу pdsh, но у меня они были, наверное, более "равномерные", что ли...
>уже сильно не одну тысчонку,и после этого ты не смог купить это барахло? наверно хосты были мусорные ))))))))
помню на konsole делал авто-вход в пачки хостов, но сегодня я бы этим не стал заморачиваться - тысячи хостов сами себя должны обслуживать ))))
>>уже сильно не одну тысчонку,
> и после этого ты не смог купить это барахло? наверно хосты былив смысле? Мне-то зачем его покупать? У меня нет несколько тысяч личных хостов. Контора - купила, но умудрилась получить лицензию на менеджера, обеспечивавшего процесс, а trial-то я скачивал своей учеткой.
> помню на konsole делал авто-вход в пачки хостов, но сегодня я бы
мне не нужен "автовход"
> этим не стал заморачиваться - тысячи хостов сами себя должны обслуживать
как только папа с мамой перестанут кормить, или перерастешь должность эникея - сразу узнаешь, кому они там чего должны.
>> этим не стал заморачиваться - тысячи хостов сами себя должны обслуживать
>как только папа с мамой перестанут кормитьТоже мне "оператор тыс. хостов" - вот когда дорастешь до "тысячи хостов сами себя должны обслуживать" - вот тогда ты и "перерастешь это гордое звание эникея" ))))))))))
В противном случаи так и помрешь помощником админа - по статистике пенсия тебе не светит.зы. а я пока очередной перевод сделаю маме - пенсия у нее обычная, какую дедушка Пу прописал (гореть ему в аду), на нее не проживешь.
> в общем, пользуйтесь securecrt (я верно говорю, товарищ майор?) - оно и под линукс есть.
> И в отличие от пусси вполне полезно и в линуксе - xterm'ом и ssh эти фичи не заменишь.Может быть Вам понравится MobaXterm?
Если бы да кабы, тыб уже на песочке лежал, а не на диване.
а это уж как получится - хорошие ребята - на песочке, плохие - в лесочке, под песочком...
> Есть тема, как поднять деньжат.
> Пишем новый функционал с бэкдор. Отправляем в проект.
> Затем пешим баг репорт.
> ???
> ProfitНе удивлюсь, если на подобный случай у них уже заготовлен хрен винтом ))
Кому нужен этот устаревший хлам KeePass, когда уже есть давно KeePassХС?
KeePass = upstream
Q: Has KeePassXC ever had an external security audit? Why not?
A: At the time of writing, No. Having a third-party security audit comes with a blah-blah-blah and may show our incompetence in a way what is hard to diluteно вы торопитесь обмазаться свеженьким, а то ж засохнет.
Типа того.
У меня вот KeePassXC стоит из стандартного репозитория Ubuntu. Не самая новая версия
Есть вон целая куча дистрибуции https://keepassxc.org/download/#linux
Но как-то сыкотно что-то из этого использовать для такой важной задачи
А дальше ты поленился прочитать, блаженный?In any case, keep in mind that:
*An audit is not a 100% proof that a software is safe and secure. Some flaws can be overlooked even by the best auditors.
*An audit is valid only for a “snapshot” of the code. If new code is added, new vulnerabilities can be introduced.
а дальше мне стало неинтересно читать - я уже все понял, аудит нинужна, главное - верить!ну вы верьте, верьте, а я пойду еще одну бумажку к монитору клеить.
Сначала АНБ теперь вот Европушка подтянулась, неспроста это всё.
Я тоже так думаю, что неспроста. Скорее всего под видом всяких таких фиксов хотят как-то хитро затянуть бекдоры, это очевидно, иначе какой профит от раздаривания денег кому попало. Западники никогда просто так ничего не делают и не раздают.
> Скорее всего
> это очевидноВы определитесь.
Самый хитрый план: чтобы меньше привлечь внимание - давайте за патч с дыркой еще и вознаграждение публичное давать. Нет предела коварству англосаксов (ну и ЭТИХ, конечно)!
> Я тоже так думаю, что неспроста. Скорее всего под видом всяких таких
> фиксов хотят как-то хитро затянуть бекдорыВообще-то предлагаемый механизм -- он про чтение, а не про запись.
> Западники никогда просто так ничего не делают и не раздают.
Ну почему же -- криворукую скамейку иногда способны осилить (хотя лучше бы даже не пытались), обещания раздавать.
Но справедливости ради -- здесь Вы, как я думаю, совсем не попытались подумать прежде тем, как писать. Если от этой инициативы "западников" хотя бы пару багов, существующих в нынешнем коде этих проектов, апстримы замочат -- уже хорошо.
Тут ведь главное не лейбочки на людей и организации наклеить, а смотреть по плодам.
>Решения о выплатах будут приниматься на основе заявок, отправленных через сервисы HackerOne и Intigriti.Как я понимаю, уязвимости будут переданы спецслужбам. Потому что если бы целью было повышение безопасности ПО, то награждали бы за передачу разработчикам и full disclosure.
Ещё более прискорбно, что эту фигню двигает Юлия Реда.
Как по мне надо на нее наших анонимусов натравить, кстати надо поискать на нее компромат из того что они выловили в последний раз. Явно она в сговоре с западными спецслужбами.
Весь мир в сговоре и люди в нём актёры. (с)
Ребят, вы совсем заигрались в вычисления шпионов. Они просто хотят распилить бабла.
Бедные Йорики!
Это порно-звезда какая-то? о_О
Сначала товарищ майор проанализирует, а потом уже и холопам дадут.
А тамбовский волк тебе случаем не товарищ?
Drupal - это большая боль. Путь вхождения достаточно высок, а потом много боли с уязвимостями. Многие клиенты не выдержали и попросили перенести сайты на генераторы статичных сайтов, если проект позволял.До чего людей эти CMS на php довели, народ уже просит генераторы статичных сайтов, либо просто html.
Статические сайты ещё и сверх быстры и легко масштабируются
> Статические сайты ещё и сверх быстры и легко масштабируются+1. И движков полно на любой вкус и цвет. Мне Hugo понравился, на нём делаю.
и для "почти статических" сайтов есть архитектура https://jamstack.org/
почитал этот прекрасный бред. Спасибо, вы раскрыли мне глаза.Теперь я понимаю, почему у сайта, которым я эпизодически вынужден пользоваться, нет ни пользовательских учеток, ни хотя бы нормальной формы заказа (впрочем, без учетки нормальных форм заказа не бывает - заполнив пятнадцатый раз одну и ту же форму, клиент берет топор и идет в офис лично знакомиться с разработчиками, особенно с содержимым их черепов) - хотя пищалками и перделками и модным исполнением всего кода на клиенте он набит просто под завязку, и сама контора модная-стильная-молодежная вся из себя впереди прогресса летит.
оказывается, заказы - это просто не стильно, и не модно, и с cdn плохо совместимо (пользователи у них считаются не conn/s, а хорошо если req/day, но кого это колебет), вот оно чо, Михалыч!
Не похоже что читали :)
> и для "почти статических" сайтов есть архитектура https://jamstack.org/Вау. Так у этого ещё и название есть, оказыватся. :)
JavaScript + API + Markup. JAM. :)
Спасибо. Я от Вас узнал новое модное слово, которым можно кидаться на митапах.
Не то, чтобы мы раньше такую архитектуру не делали... Просто теперь для этого слово есть... ))
интересно, на вордпресс никто не хотел мигрировать ?
> интересно, на вордпресс никто не хотел мигрировать ?Хотели. Отговорил. Взяли Hugo - теперь всё летает и никаких проблем.
> интересно, на вордпресс никто не хотел мигрировать ?В этом ключе получится из огня да в полымя ведь...
Господи, лишь бы в TYPO3 не добралась хипстота.
> Господи, лишь бы в TYPO3 не добралась хипстота.как будто ее не ломали, ломают и ломать будут.
Но таки да - в связи со значительно меньшей популярностью (потому что и умеет почти ничего), ковыряют ее гораздо с меньшим энтузиазмом.
Вот все так яро клеймят WordPress, но найти уязвимости в нем для новой версии оказалось нереально.
Обновляйтесь регулярно и не будет уязвимостей.А в старье у каждого проекта есть уязвимости.
WordPress чем хорош, на нем треть интернет сайтов сделана, значит эти знания не протухнут завтра, а будут долго востребованы.
Делать нормальный сайт = с поддержкой SEO, надо с использованием распространенной CMS, тк только там есть поддержка SEO в виде плагинов.
Речь про техническую (on-site) оптимизацию
Нам еще 10 лет назад в колледже лектор сказал что дрюпал это дно, и тот кто свяжется с ним (с дрюпалом) сильно пожалеет.
KeePass, но не KeePassXC? Вот ведь наркоманы. Месяц назад проводил исследование по теме что люди используют для хранения своих паролей в Linux. Во всех крупных Linux-сообществах во всевозможных опросниках 75-85% людей голосовало за KeePassXC (это из тех кто вообще пользуется менеджером паролей). Из недавнего месяц назад на LOR'е было голосование. KeePassXC победил. Но давайте вливать деньги в легаси, это ведь ппц как логично.
> Но давайте вливать деньги в легаси, это ведь ппц как логично.С чего это легаси? Я так думаю, что KeePass значительно популярнее, чем KeePassXC
Чисто линуксовая выборка само собой не показатель.
стесняюсь спросить, в каком месте она "чисто линуксовая", если keep-ass вполне прилично работает с mono (хотя и теряя большую часть защиты, впрочем, в сплюснутой подделке ее и отродясь не было), аж на удивление, а XC в общем-то никто не мешает запускать в винде, жаль что он там нах не уперся никому, примерно как пусси в линуксе.
> стесняюсь спросить, в каком месте она "чисто линуксовая", если keep-ass вполне прилично работает с monoНу я сомневаюсь, что средний линуксоид с радостью потащит к себе Mono. Поэтому спроси линуксоида "KeePass vs KeePassXC" ответ предсказуемо будет в пользу KeePassXC. Но только странно принимать линуксоидов как общий показатель.
А так тяжело конечно сравнивать, ну к примеру сердечки на https://alternativeto.net/ (ну что есть, то есть)
KeePass - 1313
KeePassXC - 126Ну как-то сомневаюсь я в никому ненужном KeePass, и напротив гораздо более нужным KeePassXC
PS: хотя я пользуюсь KeePassXC. Но Я для статистики – это...
Какая нафиг логика? Есть бюджет, который надо распилить. Набор проектов не важен. В списке мы сопсбвенно и видим 2/3 ненужно, на котором распилят бюджет, а дыры как есть так и останутся. Софт обновился, появились новые дыры. Конец сказке. :)
> Какая нафиг логика? Есть бюджет, который надо распилить. Набор проектов не важен.
> В списке мы сопсбвенно и видим 2/3 ненужно, на котором распилят
> бюджет, а дыры как есть так и останутся. Софт обновился, появились
> новые дыры. Конец сказке. :)Не пилить, а освоить.
800 000 для такой мудреной схемы распила маловато будет.
А так да,
"Им кажется, что любое общество может быть устроено только по той схеме, как у них, только циничнее и подлее"
А что скажите не так? Когда они одну за другой диверсии нам устраивают под видом помощи или финансирования всяких зеленых или либералов?
Есть примеры, когда не так. Вот ты безо всякой оплаты на них работаешь.
- No plugins
- No synchronization (https/ssh...)
- Missed features from upstream
> No pluginsстесняюсь спросить - а это точно недостаток?
Сайт 7zip заблокирован.
бугагага, пользуйтесь скрепным winrar!
У меня keka на macos.
Это ж обертка над архиваторами командой строки, как ark, fsarchiver, file-roller и т.д. в линуксе :D
Как это сайт 7-Zip заблокирован?
А почему он тогда работает? -> https://www.7-zip.org/
Потому что ковровые блокировки работают у разных провайдеров по-разному.
Сейчас потыкал палочкой: из трех доступных провайдеров открывается на одном.
Ну или не забывайте отключать vpn перед проверкой доступности.
Кроме Filezilla ничего годного!
И то она в этом списки, наверно, потому что она использует PuSSY для sftp. :-(
Ребятки чего вас так от pussy.exe (а оно еще под unix-like есть лол) корежит? Я как бы давным-давно не вендузятник, и не полупокер-дуалбутчик если кому важно, но явление не понимать.
> Ребятки чего вас так от pussy.exe (а оно еще под unix-like есть
> лол) корежит? Я как бы давным-давно не вендузятник, и не полупокер-дуалбутчик
> если кому важно, но явление не понимать.Того. что она НЕ нужно ни там ни тут!
Под оффтопиком я устанавливал git и через mingw64 прекрасно использовал ssh, причём даже openssh с sftp запускал.
И меня прежде всего бесит, Файлзиле не достаточно нативного публичного ключа, которого хватает для sshfs, ей подавай или PuSSY-чный, который естественно openssh не ненерирует, или закрытый ключ cо всеми вытекающими при этом последствиями.
И спрашивается - зачем!?
https://filezilla-project.org/sponsored_updates.phpМожет просто не стоит это жрать?
В чем фишка этой зиллы, если есть самба?
WebDav
> В чем фишка этой зиллы, если есть самба?По вашему самба является кросплатформенным (s)ftp-клиентом?
Я не знаю, я просто спросил. Что за манера бомбить минусами.
Вы не просто спросили - Вы ляпнули откровенную глупость.
Слово "фишка" неуместна, когда совершенно разные цели и задачи и инструментов.
Это как спросить в чём фишка топора когда есть молоток.
Фишка топора в том, что он может служить не только молотком.
разглядывая свой боевой топор - знаешь, довольно так себе из него молоток...
Верю. Бутафирия.
Заодно разработчикам бы задонатили.
Поиск дыр в блокноте это серьёзная инициатива, да. Достойна уровня еврокомиссии...
Непонятно только зачем это Linux, когда есть кроссплатформенный Kate?
Потому что N++ экологически более чистый продукт и более мощный.
Тут как бе куча людей в глаза (...). Новость не про Linux.
Мне скорее непонятно, у них что, более лучших целей для поиска дыр не нашлось?
вранье, на HackerOne и Intigriti не знают ничего об этом
наверное деньжат кто то с евро комиссии отмывает
А тебе об этом из каких источников известно?
зарегистрируйтесь на этих ресурсах и попробуйте найти хотя бы один из названных проектов
второму еще вообще рано, первый - возможно кое-кто поторопился, 7 января первый день приема вторсырья, и то только по пусси, остальные откроют позже.
так нет даже офф представителей продуктов на тех сайтах
кому репортить ?
> так нет даже офф представителей продуктов на тех сайтахтак тебе денег или чего? Их не представители продуктов платить будут.
там фося должна быть сейчас в списке (для того, на что уже окно открыто) - ей и репорти.
ну то есть давай зарегистрируйся - найди мне хотя бы фросю
а потом поговоримно я как минимум ожидал что там присутствует каждая из заявленных компаний
подтверждать заявленные проблемы кто будет ? тоже тётя фрося ?в Zerodium и то это более понятней и прозрачней
> но я как минимум ожидал что там присутствует каждая из заявленных компанийа где деньги?
По идее, кто объявлял конкурс, те и будут собирать эксплойты и дыры, а уж поделятся ли они с представителями или оставят баги для собственного пользования - тут кто девушку ужинает, тот и танцует (но, полагаю, конспирология тут неуместна, и поделятся, не публично)> подтверждать заявленные проблемы кто будет ? тоже тётя фрося ?
естественно - деньги-то их.
> в Zerodium и то это более понятней и прозрачней
так там деньги из воздуха, а тут вполне себе настоящие евры из бюджета.
если бы собирали лаве то нет смысла прицеплять хакерван и интегрити
оставили бы какой то меил и шлите уязвимости
в зеродиум тоже деньги настоящие
> оставили бы какой то меил и шлите уязвимоститогда весь шлак самим пришлось бы разгребать ;-)
но что-то видимо Юля недоговорила или просто недоплатила - действительно, на h1 нихрена заявленного не видно.
может старшие товарищи в последний момент решили поэкономить деньжат?
Так парни, у нас год чтобы внести и героически найти уязвимости в открытх прогах! Приступать немедленно!.