https://www.opennet.ru/openforum/vsluhforumID3/135655.html Опубликован корректирующий релиз платформы совместной разработки Gogs 0.13.2, в котором устранено 6 уязвимостей. 5 уязвимостям присвоен критический уровень опасности (10 из 10). Исправленные проблемы позволяют непривилегированному пользователю Gogs выполнить код на сервере, изменить данные в репозиториях других пользователей или получить SSH-доступ к серверу. Судя по предварительной проверке, уязвимости не затрагивают платформы Forgejo и Gitea, продолжающие развитие форка Gogs, созданного в 2016 году...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=62469<br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#175 Wed, 01 Jan 2025 05:38:05 GMT &gt;&gt; Икспедт, хранящий пароли в браузере и не знающий, что такое totp что-то <br>&gt;&gt; там "за безопасность" интерпайзид? Спешите видеть, цирк конечно уехал, но часть <br>&gt;&gt; обитателей, как видим, осталось...<br>&gt; Самокритично. Ибо я никакие пароли в браузере не храню. Вот тут у <br>&gt; вас ус - отклеился :). И удачи вашим коллегам с такими <br>&gt; безопасничками. Как грится, 7 футов^W большую торпеду под килем - и <br>&gt; комодохакера вашему энтерпрайзу.<br><br>Да-да, и рассказы, как после смены браузера вы пароль от гитхаба забыли и соединить кружок с кружком, треугольник с треугольником и квадратик с квадратиком ниасилили, после чего гитхабом и не пользуетесь - за вас корпорасы-проприерасы написали, мы верим, доааа. <br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#174 Tue, 31 Dec 2024 16:32:44 GMT &gt; Икспедт, хранящий пароли в браузере и не знающий, что такое totp что-то <br>&gt; там "за безопасность" интерпайзид? Спешите видеть, цирк конечно уехал, но часть <br>&gt; обитателей, как видим, осталось...<br><br>Самокритично. Ибо я никакие пароли в браузере не храню. Вот тут у вас ус - отклеился :). И удачи вашим коллегам с такими безопасничками. Как грится, 7 футов^W большую торпеду под килем - и комодохакера вашему энтерпрайзу.<br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#173 Tue, 31 Dec 2024 12:35:18 GMT &gt; Дай я угадаю. Он от туда свалил, а работа на него не завязана <br><br>Ну, почти. На ГХ "завязаны" только поделки, стартапы (у которых нет денег и времени на свой гит), и мегапроекты, выброшенные на моро.. в сообщество.<br><br>Я не знаю организаций, прям работающих на ГХ, особенно в РФ, особенно после сранкций.<br><br>И вообще, запомните: ГХ - это не средство разработки, а социальная сеть. Озарило?<br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#171 Sun, 29 Dec 2024 06:51:54 GMT &gt;&gt; Ну вот у тебя появились целые классы атак _на оркестратор_, для которых <br>&gt;&gt; вылезать-из-контейнера в общем-то и не надо - легче стало?<br>&gt; Это вы так по опыту с AD? :)) Да, отыметь сразу 500 <br>&gt; машин - намнго зачетнее. И в этом хорош и AD и <br>&gt; любой оркестратор. Потому что те же грабли, вид в профиль.<br><br>Икспедт, хранящий пароли в браузере и не знающий, что такое totp что-то там "за безопасность" интерпайзид? Спешите видеть, цирк конечно уехал, но часть обитателей, как видим, осталось... <br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#169 Sat, 28 Dec 2024 14:50:48 GMT &gt; Ну вот у тебя появились целые классы атак _на оркестратор_, для которых <br>&gt; вылезать-из-контейнера в общем-то и не надо - легче стало?<br><br>Это вы так по опыту с AD? :)) Да, отыметь сразу 500 машин - намнго зачетнее. И в этом хорош и AD и любой оркестратор. Потому что те же грабли, вид в профиль.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#168 Sat, 28 Dec 2024 04:36:32 GMT &gt; Программист пишет программы, а веб-разработчик сайты.<br><br>может скажем ему? хотя, не, зачем...<br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#167 Fri, 27 Dec 2024 20:15:55 GMT [CODE]<br>cve-rs also contains safe reimplementations of:<br><br>std::mem::transmute<br>std::ptr::null()/null_mut() but for references<br>[/CODE]<br>&gt; Тащишь эту мантру из новости в новость. <br><br>Не мантру, а "домкрат стремительный", о Великий Воен Супротив Раста. Иногда полезно смотреть в словарь (но да, Военам некогда, им нужно отражать очередное Вторжение Злобных Растоманов).<br><br>&gt; И кто-то ведётся на эту чушь. Собирается без проблем, [B]unsafe для этой уязвимости[/B] не используется.<br><br>Чушь - это обычные выхлопы метана под этой "мантрой" (которую Воены, как обычно - даже не читали, чтобы не "зашкварится"). Отличная "уязвимость", для которой погроммисту нужно иметь свою реализацию нулевых "сырых" указателей и свой каст кусков памяти, последний кстати - в оригинале unsafe.<br><br>Ну да, возразить-то Военам по существу и нечего.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#164 Fri, 27 Dec 2024 14:22:27 GMT &gt; Так ты покажешь? Или нет?<br><br>ты совсем чтоль тyпой? Я тебе показал как получить список, откуда у тебя берется софт.<br>То самое, что ты ниасилил найти на сайте дебиана.<br><br>И там, совершенно уверен, нет ни одного форгея или как он там. И найдется куча гитхаба и гитлаба, и чем активнее меняется софт, тем более вероятно что именно они. Продолжай свои басни как все "свободное сообщество" свалило с них куда-то в уникальные поделки "не от корпорастов", продолжая пользоваться скачанным оттуда софтом.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/135655.html#163 Fri, 27 Dec 2024 13:50:42 GMT &gt;&gt; контейнеры изолируют, ускоряют развертывание и облегчают администрирование любых сервисов.<br>&gt; жертва маркетинга <br><br>И всё? У тебя нет аргументов, против того, что я сказал, это не маркетинг, это то почему их используют.<br><br>&gt; кстати можешь открыть для себя Ansible, там тоже YAML <br><br>Давно использую, не разу не замена. С помощью Ansible и CI/CD автоматизируется их установка конфигов контейнеризации на сервер, в сами же конфиги лучше Ansible'у не лезть и им не темплейтизировать, а если мы это и делаем, то как можно по минимуму, иначе это уже будет ненужным переусложнением (враппер над враппером / декларативный конфиг поверх декларативного конфига). <br><br>&gt; а ты не думал почему? может они не хотят играть с тобой <br><br>Вот читай https://github.com/mkdocs/mkdocs/issues/2136#issuecomment-969295595<br>всего лишь один из примеров, когда разработчик продукта не въезжает в смысл контейнеризации. Ты скорей всего разделишь с ним мнение. <br>Позже один из его коллег всё-такие запилит официальный (или полуофициальный) OCI образ.