URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 124822
[ Назад ]
Исходное сообщение
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cloudflare"
Отправлено opennews , 17-Июл-21 20:34 
В предоставляемой компанией Cloudflare сети доставки контента cdnjs, предназначенной для ускорения доставки JavaScript-библиотек, выявлена критическая уязвимость, позволяющая выполнить произвольный код на серверах CDN. Опасность проблемы усугубляется тем, что сервисом пользуется для загрузки JavaScript-библиотек около 12.7% всех сайтов в интернете и компрометация инфраструктуры позволяет подменить библиотеки, отдаваемые любым из этих сайтов...

Подробнее: https://www.opennet.me/opennews/art.shtml?num=55499

Содержание
Сообщения в этом обсуждении
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 20:34 
А сколько таких прошло незамеченно?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:47 
Дофига. Если кто нанял хипстеров в фирму - он и получает то что получает. Вебня вообще штука весьма дырявая. Хипстеры поди и не знали что так можно было. Хотя этому багу лет 30 если не больше.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Слышь васян , 18-Июл-21 10:04 
Да ты и есть этот хипстер(понахватались словечек и суют куда ни попадя, дебилы). Давай расскажи нам тут как ты идеально говнокодишь без багов и уязвимостей🤣
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 13:09 
Он только комменты писать умеет, и то пока каникулы не закончились.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 13:10 
Только дырявой оказалась не вебня, но ты текст новости не читай, ты сразу комменть!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:01 
У меня половина сайтов вообще не открывается. Идет вечная "Проверка браузера". Пробую другие браузеры - то же самое. Галимый клаудфлейр не дает пользоваться интернетом!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:16 
Идет проверка браузера на количество мегахэшей в секунду, не закрывайте вкладку...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:17 
А сколько она идет? Иногда жду минуту, две, три... И что?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:45 
Если это браузер TOR, то будете ждать долго.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноньимъ , 17-Июл-21 23:25 
У меня без всяких торов эта проверка зависает от секунд до бесконечности.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:03 
> А сколько она идет? Иногда жду минуту, две, три... И что?

А сколько электричества не жалко - столько и майни, нелох :). Может хакеры натурально доперли майнеры под клаудспайварь маскировать, не? :)

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 05:48 
При долгом ожидании, можно зайти на главную страницу гуглового поисковика.

Прямой закономерности не знаю, но, обычно, если клаудфаер отваливается, гугловый поисковик начинает запрашивать капчу, ругаясь на «множество подозрительных запросов с этого айпи», после прохождения которой, и клаудфаер волшебным образом включается

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 10:27 
Это происходит когда анальный зонд не работает из-за ublock origin/umatrix. Тогда типа подозрительно станоаится, что у тебя из задницы не торчит ничего. Это как зайти на мобильную версию почты рамблера, и сразу "подозрительная активность, надо бы привязать почту к номеру телеыона". Лечится полноценной версией сайта.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 10:38 
Нередко не в этом дело. Имеется немало "ферм", состоящих из сборок кучи мобильных модемов( с симками ) + какое-то управление скриптами.
Задачи они выполняют разные, будь то "прокачка" нужных поисковых запросов и ответов на них, цирк с капчами, обшаривание нужных сайтов для скачивания их содержимого итд..

Но гугель и порч быстро раскусывают подобное и требуют ввести капчу для продолжения веселья, после чего.. модем автоматом перезапускают( по содержимому ответа легко понять, все ок или спалились ) - он получает новый айпи, на котором все повторяется..

А "паленый" айпи достается кому-то другому из абонентов провайдера.. и, при попытке зайти на поиск гугла или любой сайт, где есть какой-нибудь к.ф. - с них, как с тех самых ботов, или требуют ввода капчи или обрезают доступ( при заходе на третьи сайты, где подключен к.ф., он тупо не переедает никакие ресурсы подобному пользователю и страница выглядит "сломавшейся" или зависшей ).

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 10:46 
> Нередко не в этом дело. Имеется немало "ферм", состоящих из сборок кучи мобильных модемов( с
> симками )

с этого места, пожалуйста, поподробнее?
Откуда у этих м-ков деньги на симки и модемы? При массовом использовании - удовольствие, вроде, недешевое?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 13:40 
т.н веб-скрэпинг, еще и жирного сайта с энными защитами едва ли стоит по 1 руб  20 коп / шт

Модем сейчас.. полтинник-сотня рублей на авито. Этого барахла( 3/4 джЫ ) сейчас полным-полно, как и подержанных телефонов, которые толком и не нужны никому.
Симки - тем более. Никто никому не запрещает использовать тырнет по своему усмотрению, если это не касается терроризма итд, а то, что как-то охре.фигевшей конторе кажется какая-то деятельность подозрительной - так это другая история. Учитывая нынешние тарифы - денег на подобное хватит даже у Васи, который работает грузчиком.

Несколько секунд/минут поместили нужный сайт, завалив тоннами запросов и попав в бан - переподключились и, с новыми айпишниками, продолжили с того же места, на котором остановились и так до бесконечности.

На ресурсах типа хренабра даже повествования на этот счет были, только от лица тех, кто этим и занимается( руки оторвать го.внюкам за это - что фактически сваливают бан на отдельных ресурсах на третьих лиц, занимаясь коммерческой деятельностью ).

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 13:46 
ну а скока он может стоить-то?

> Модем сейчас.. полтинник-сотня рублей на авито.

ну, если только совсем барахло. Мои на порядок дороже - причем они тоже виснут, могу представить как работают те что за полтинник. Это ж как позатрахаться-то надо?

Симки либо по паспорту либо 200 ржублей вынь да положь. Потом еще 600 за интернеты, иначе за пять секунд все выжрет в ноль.

> Учитывая нынешние тарифы - денег на подобное хватит даже у Васи, который работает грузчиком.

нууу хз что он грузит. Таможенные броневики видел? Думаю, у этого Васи да, хватит, но ему не надо.

А тут как-то не очень просто и дешево выходит, им же ж нужно не один экземпляр, а сотню.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 14:05 
Ты меня в чем пытаешь убедить ?
-В том, что "скачивание" веб-реусрсов - это деятельность исключительно себе в убыток, притом, серьёзный ? [ложь]
-В том, что это невозможно никому чисто физически и делать этого никто не может ? [ложь]
-В том, что у тебя гов.но а не качество связи ? [очень возможно, но к теме это не относится и эти проблемы меня не беспокоят]

600 р - это безлимит на месяц кагбэ..
Сотня безлимитов.. при норм качестве связи и средней скорости в 1,5 мб / с, один 4Г модем( или телефон с с 4Г ) за сутки тянет из сети 2,5*60*60*24 / 1024 = ~125 Гб / сут.. или 125 * 30 / 1024 = ~3,5 Тб / мес. Неплохо для 600р, "васи" и "сайта", на "скачивание" которого даже 1 тыс руб бюджета - уже многовато ?)

Для сотни устройств, речь о 125 * 100 / 1024 = ~ 12 Тб / сут и 125*100*30 / 1024 = ~366 Тб / мес
ТРИСТА ШЕСТЬДЕСЯТ ТЕРАБАЙТ В МЕСЯЦ
Это уже нифига не уровень "васи", для которого и шестьсот рублей - много )
Ему тупо не хватит денег на хранение и обработку такого потока данных

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 14:12 
> 2,5*60*60*24 / 1024
> 1,5*60*60*24 / 1024 конечно же. Изначально считал по 2,5, но подобная средняя скорость для мобильного интернета - нечастое явление. Забыл в формуле поправить )
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 15:07 
> Ты меня в чем пытаешь убедить ?

разьве что в том, что, вероятно, этот бизнес как-то поинтереснее устроен. А значит, возможно и наблюдаемые явления объясняются еще каким-то способом. Ну либо услышать какие-то мелкие детали в подтверждение гипотезы.

> 600 р - это безлимит на месяц кагбэ..

ну, так на два дня не продадут. Поэтому сотня уже не так чтоб бесплатна.

> Сотня безлимитов.. при норм качестве связи и средней скорости в 1,5 мб

тут, кстати, тоже интересно - а может ли базовая станция в 800 мегабит в нашей реальности.

> Ему тупо не хватит денег на хранение и обработку такого потока данных

ну так тут вопрос - а если ему хватит, нафига все это было делать и не купить вместо этого пару 10G портов в Селектеле?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено n00by , 18-Июл-21 15:27 
>> Ты меня в чем пытаешь убедить ?
> разьве что в том, что, вероятно, этот бизнес как-то поинтереснее устроен. А
> значит, возможно и наблюдаемые явления объясняются еще каким-то способом. Ну либо
> услышать какие-то мелкие детали в подтверждение гипотезы.

Так и на проводных сетях IP попадают в ЧС Спамхаусов и т.п. Но там вроде не закупают железо "фермами", просто дают скачать интересное кино без регистраций и СМС. А "кину" не важно, проводной провайдер или мобильный. Да и смартфон можно принять в бот-нет, что за дискриминация? Там по 8 ядер уже.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 12:49 
Наивный сельский юноша, вам бы поменьше верить всему что пишут сайты вываливающие несуществующий предлог. В суде они не доказали, что была какая-то подозрительная активность с этого адреса. Они по факту если не видят анальный зонд действуют по принципу "все что без анального зонда - подозрительная активность".
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 13:46 
У сеньора проблемы с пониманием написанного ?
Кто-то с кого-то трясет штраф или садит в тюрьму ? Хотя, будь [у меня] лишние деньги на юристов, можно было бы славно посудиться из-за слишком субъективных ограничений доступа по невнятным причинам ибо едва ли это полностью законно - ограничивать кому-то доступ к общедоступной информации и службам.

Речь про случай, когда ничего не отключалось, в т.ч жс. Используется один и тот же браузер типа хрома/огнелиса/сафари итд.
Примерно один раз из двадцати, имеет место блокировка со стороны к.ф. и гугла. Тогда целая куча сайтов( вплоть до хренабра ) грузится кое-как и выглядят откровенно ушатанными. Один раз из ста - со стороны яндекса.
И решается она, в первом случае, прохождением гугловой капчи на гугловой же странице.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 14:12 
Вряд ли можно что-то сделать с этим, ибо свободный доступ к информации не работает даже на опеннете, где модераторы скрывают или удаляют неугодный контент, который прошел цензуру даже. Вряд ли кто заставит гугл отменить существование капчи. Это же фанатиками обосновывается как необходимая безопасность. Вот вам и ИИ в действии. Вместо блокировки ботов цепляются ко всем людям. Клаудфлар лезет часто там, где хоть какая-то информация есть в виде элементарных руководств на инглише. И это не раз из 20, а всегда. Хорошо бы нагнули хакеры их по полной.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноньимъ , 18-Июл-21 16:09 
У меня статический ipv4 и подсеть ipv6.

Никто другой моими ойпи не пользуется. Тем не менее проверка браузера тупит, а на некоторые сайты не пускает.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анонъимь , 18-Июл-21 17:58 
- А может какая-то из железок моей сети в ботнете участвует?
- Да не, бред какой-то.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноньимъ , 18-Июл-21 23:21 
Очень маловероятно.

Скорее всего эта чудоклаудфара помечает целые подсети. Или вообще по регионам.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Знаток , 23-Июл-21 18:39 
Клаудфара помечает антипрививочников, гомофобов и трампистов. инфа 100%
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Оно ним , 17-Июл-21 23:07 
А ты попробуй впн с выходной точкой не в России - увидишь большую разницу.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено макпыф , 17-Июл-21 20:43 
>  Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.

А возможно и смог

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено pashev.me , 17-Июл-21 20:44 
Мыши плакали, кололись, но продолжали жрать кактусы.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Sw00p aka Jerom , 17-Июл-21 20:46 
девопсяти на лицо, давайка я втоматизирую.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено анонимас , 17-Июл-21 20:59 
а как тогда по твоему лучше, по старинке rsync'ом в баш скриптике да по крончику ?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Sw00p aka Jerom , 17-Июл-21 21:43 
а баш зачем тут, если можно сразу в крон команду пихнуть? просто CF решил, давайка облегчим труд и так загруженных девопсят. В гитхад не поленился запушил, в нпм не поленился запушил, что в CF лень было пушить? CF просто в последнее время слишком на себя берет, вот и плата. Пусть продолжают в том же духе.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:48 
Во всяком случае, при этом сайт не окажеся ВНЕЗАПНО взломан, да еще по причине "клаудспайварь взломали".
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Слышь васян , 18-Июл-21 10:08 
Не ври. Ломали вас говнокодеров и без клаудфлари 🤣
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено PnD , 20-Июл-21 11:42 
Какой ещё крон у девопсов?!
systemd.timer нужен, не меньше! </sarcasm>
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 17-Июл-21 21:44 
GITHUB_REPO_API_KEY и WORKERS_KV_API_TOKEN. В первой переменной хранился ключ к API для доступа с правом записи в репозиторий robocdnjs на GitHub. Во второй переменной хранился токен к хранилищу KV в cdnjs.

Инфраструктурка аз эээ kokokokoде!

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:49 
А потом некоторые *даки обижаются когда их тыкают носом что мешать код с данными моветон.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено kissmyass , 17-Июл-21 21:02 
в такие моменты я прям улыбаюсь, когда вспоминаю, как каленым железом выжигал ссылки на CDN и бандлил JS вместе с приложением
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено YetAnotherOnanym , 17-Июл-21 21:41 
Фи, какой ты немодный.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Sw00p aka Jerom , 17-Июл-21 21:45 
бармен, смузи этому джентельмену за счет заведения :)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:49 
Дедлок твоему гироскутеру в фирмварь!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено InuYasha , 17-Июл-21 22:25 
Эфирного масла рафлезии в ваш вейп! )
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 05:09 
Не бармен, а барист, попрошу!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 23:37 
>> Фи, какой ты немодный

Дожили, стало комплиментом

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анон123амм , 18-Июл-21 14:11 
ты бумер штoле?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Гентушник , 19-Июл-21 01:58 
Бум-бум-бум, бу-бу-бу-бу-бумер!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 11:46 
На cdnjs тэг script дается с атрибутом integrity (нет в старом IE и нет в iOS <11.3), в котором хэш SHA2-512. А также referrerpolicy="no-referrer" (нет в Edge <79 и нет в iOS <14). И crossorigin="anonymous", дабы куки не посылались. Но да, если нет fallback и файлы бы поменяли, то сайт бы перестал работать из-за несовпадения хэшей.
Чужие CDN могут падать (тогда загрузка сайта временно застывает даже при fallback) и быть забанены РКН, поэтому не знаю зачем CDN для обязательных файлов (js, css, лого, фон). Разве что бесплатные хостинги с маленьким трафиком (100—500 МБ).
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:09 
А сейчас представьте, сколько неизвестных уязвимостей эксплуатируется в данный момент... 🤔
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Нанобот , 18-Июл-21 12:25 
Как страшно жить😱
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Led , 19-Июл-21 14:39 
Надеюсь, ты правильный вывод для себя сделаешь из своего заключения.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено th3m3 , 17-Июл-21 21:14 
JS - ненужен. Сайты которые не используют js или минимально - летают как ракета по сравнению в остальными. Это деградация веба в чистом виде.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено нах.. , 17-Июл-21 22:28 
Тссссс, тихо, хомяк рогатый хочет только жевать что дали да почавкивать.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:47 
Он нужен банкам для нарушения анонимности и определения оборудования, айпи адреса и установления личности, о чем они открыто и пишут. Больше ни за чем жопоскрипт ненужен.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено СеменСеменыч777 , 18-Июл-21 20:37 
> установления личности

чего бххх ? правильный логин + правильный пароль + правильные ключи (приватный + публичный + сертификат публичного) = личность установлена. все остальное - муть, гадание на кофейной гуще, эвристический скоринг с плавающими от -бесконечность до +бесконечность весами.
таково мое скромное мнение.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 11:06 
Для выявления IP адреса нафиг не нужен js
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анончик , 19-Июл-21 12:25 
Зачем ты ему об этом говоришь, он теперь как спать то будет?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено abi , 19-Июл-21 13:12 
Простите конечно, но мы не по своей инициативе, нас ЦБ наставляет
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 05:51 
Но ведь.. проблема в распаковщике архивов на го
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 11:01 
Он действительно потерял смысл. Один большой мега-костыль на костыле. Бандлят скрипты в несколько мегабайт, это дело всё грузится только через 5G или локалке. И зачем читаемый скрипт, если там уже давно нечеловечий текст из-за вебпаков, минимайзеров, костыль TypeScript компилится в JS. Тогда уж лучше WASM, но и тут подстава, он без JS-костылей не работает. Пакеты и фреймворки сегодня живут, завтра уже нет, либо если не обновишься, то вообще собрать не сможешь, если хоть что-то посвежее.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 15:15 
а как ты предлагаешь кормить миллионы вебмакак ? отправить их на трубопрокатный завод вкалывать?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено kissmyass , 18-Июл-21 15:46 
> а как ты предлагаешь кормить миллионы вебмакак ? отправить их на трубопрокатный
> завод вкалывать?

как-будто это кого-то останавливало, была бы возможность - давно бы отправили

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 17:05 
из них труб не понаделать, так себе матерьял. Кроме как на мыло макаку вообще ни к какому делу приспособить нельзя. Ну, вон, еще, можно вирусы новые в них разводить.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено 1 , 19-Июл-21 09:20 
"Гвозди бы делать из этих людей !" (с)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Led , 19-Июл-21 14:41 
Из г-на - гвозди? Оригинально...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Ананимас123 , 18-Июл-21 19:00 
Сейчас смотрю в какую сторону цсс и волосы шевелятся не только на голове, какие-то анимации, циклы.
Скоро из-за него еще отсыпят тормозов.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:17 
не проходите мимо!!! хе хех е
кто-нибудь знает, почему у меня часто блокируется учетная запись при блокировке в plasma?? бесконечные круги из 10 минутных блокировок.
использую gdm, ctrl+alt+Fn, wayland.
кстати говоря, падает, за счёт виджетов.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:18 
опечатка "при работе в plasma_session"
пользователи разные а трудность одна и та же.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:20 
кстати говоря, arch.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:13 
Казалось бы, при чем тут CDNJS? И не стремно что ответы будут под стать вопросу? Т.е. очередной патч Бармина.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено дядя Пэдро , 18-Июл-21 00:50 
деньги за интернет уплочены.
чё тебе еще надо?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Led , 19-Июл-21 14:42 
> кстати говоря, arch.

Скорей бы уже 1-е сентября...

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:57 
вот что нарыл

username : user NOT in sudoers ; PWD=/home/username ; USER=root ; COMMAND=/usr/share/plasma/plasmoids/gr.ictpro.jsalatas.plasma.pstate/contents/code/set_prefs.sh -read-all

и собственно почему пользователю без sudo предлагают ввести пароль для оного? как это заблокиовать изначально, т.е. до самого запроса мгновенным отказом в вводе оного. sudoers править?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 08:46 
> и собственно почему пользователю без sudo предлагают ввести пароль для оного?

сначала понаставят всякого не глядя, а потом вопросы задают. Ридми для виджета не осилил?

> The widget uses a shell script that needs to be run as root user (sudo) and which apparently floods your log files with security related messages as described in issue #16.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 10:53 
7 лет сидел на плазме, всё было хорошо. Два года не сидел. Щаз присматриваю обратно, они вообще всё портят, федора KDE не выключается, всё как-то с задержкой открывается, вяленый-не вяленый, падать стало больше, особенно, если быстро кликать. Чего-то качает с инета постоянно.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:27 
> выявлена критическая уязвимость
> осуществляет загрузку пакетов из Git или репозитория NPM

ЧТД

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 17-Июл-21 21:49 
доступ с production серверов на ЗАПИСЬ в шитхаб и все ключики от всего удобно сложенные кучкой там же - тоже git с npm виноваты?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:51 
Если уж хипстер - то во всем.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:41 
Обожаю баги использующие работу с символическими ссылками. Это та вещь, которая автоматически создаёт тебе уязвимость, если только ты специально не обработал и не закрыл эту дыру. Т.е. оно уязвимо по-умолчанию и приходится прилагать дополнительные усилия, чтобы сделать всё секьюрно.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:21 
Точно такая же дыра (с перезаписью файлов вне текущего каталога при распаковке архивов) была лет 10 назад при обработке вакансий в фейсбук. Годы идут, новые поколения подрастают, баги не меняются.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:19 
> Годы идут, новые поколения подрастают, баги не меняются.

Поколения растаманов: "Зачем думать, система позаботится обо мне!".

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 12:52 
>> Годы идут, новые поколения подрастают, баги не меняются.
> Поколения растаманов: "Зачем думать, система позаботится обо мне!".

То ли дело поколения опеннетных расто-подгорельцев, бдительно выискивающих и разоблачаюзиъ происки "растаманов" …

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 10:42 
Забавно что рустик даже не пытается начать думать. И все равно будет писать на «системном» языке как на джаваскрипте. Но виноваты конечно же хейтеры, а не сами рустики.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 11:08 
Неужели так сложно ограничить пользователя в правах, чтобы из под него нельзя было лезть и писать туда, куда лезть и писать ему не надо?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:17 
Баги с ../../../ стары как мир. И ведут к почти 100% уязвимости если специально не заткнуть. Более того. Если софт можно спровоцировать на шарахание по ФС без ограничений - у меня для вас очень плохие новости: кто-то уже бубнит "all your base are belongs to us". А может быть, они уже давно у вас. Потому что это стандартный тест для любого кулхацкерского барахла много лет.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:41 
Ну хотя б postinstall скрипты не зовут из npm пакетов. И на том спасибо.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено YetAnotherOnanym , 17-Июл-21 21:44 
А вспомнить как клаудфлара щёки надувала - мы вас от всего защитим, от взлома, от доса, переходите к нам, бебебебебе...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 17-Июл-21 21:46 
ну вот и защитила - клаудшмару-то ломануть поинтереснее, чем твой васян-сайт. До него, глядишь, дело так и не дойдет вообще.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:57 
Благодаря клаудспайвари, вот, и до васян сайтов дошло. Одно дело ломать миллион васянов - и другое всем им с CDN вгрузить им всем крупным оптом.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 21:47 
Помимо этого у них проблемы со стабильностью. Часто можно просто потерять соединение.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:01 
И чё?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:04 
Всем по клубничному смузи!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Онаним , 17-Июл-21 22:08 
Муахах, два смузи всем любителям тянуть сотни лефтпадов.
Остальным - задуматься.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 17-Июл-21 23:35 
Я всё не могу понять, чего всем тут так не нравится в смузи? Например пробовали кививый смузи в Шоколадцице? Вкусная штука же.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:15 
Настоящие айтишники бухают в пивнушках, а не слоняются по шоколадницам.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено kissmyass , 18-Июл-21 00:42 
> Настоящие айтишники бухают в пивнушках, а не слоняются по шоколадницам.

это сисадмины пивасик, а программеры жрут вискарь, если здоровье позволяет ))

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Lex , 18-Июл-21 05:55 
Вискарь для начинающих
Воистину продвинутые предпочитают коньяк
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 08:12 
А просветленное совершенство- ведет здоровый образ жизни... делает зарядку, катается на гироскутерах, кушает сму.. ах да.. с этого и начали... :)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Онаним , 20-Июл-21 22:03 
Но на выходе у них получается cdnjs и лефтпады.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 18-Июл-21 12:38 
То есть вы думаете, что люди не потребляющих алкоголь не могут быть хорошими инженерами?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 13:47 
> То есть вы думаете, что люди не потребляющих алкоголь не могут быть
> хорошими инженерами?

конечно, как бы они на инженера-то выучились?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:18 
> Я всё не могу понять, чего всем тут так не нравится в смузи?

Пожиратели оного на гироскутерах.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 18-Июл-21 12:40 
Ну так и говорите про водителей гироскутеров, а не про смузи. Мне вот нравятся некоторые смузи. И никогда не понимал эти претензии в мою сторону лишь за то, что я изредка пью смузи.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 08:31 
Нам не нравится смузи потому что это дорого. А мы бедные программисты едим дошик и пельмени.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 14:59 
Сначала смузи в шоколаднице, потом js... потом задний привод?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 22:36 
Сначала смузи в шоколаднице, потом не совсем смузи и не в совсем шоколаднице.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Led , 19-Июл-21 14:47 
>Сначала смузи в шоколаднице, потом js... потом задний привод?

"Смузи в шоколаднице" - это и есть задний привод.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено СеменСеменыч777 , 18-Июл-21 20:46 
> чего всем тут так не нравится в смузи?

смузи-уюзи. я посмотрел на ru.wikipedia.org/wiki/Смузи - это обычный КИСЕЛЬ !
(ладно, необычный, с фантазией и креативом).
и вот еще хорошая цитата: "Себестоимость производства смузи в США составляет 10—15 центов, а цена продажи 2,5—4,5 доллара". т.е. киселехлебы, упротребляющие кем-то сделанный напиток - еще и лохи.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 18-Июл-21 22:54 
Ну какой же это кисель?
В смузи разве есть агар-агар? Его разве варят?

"
Сму́зи (от англ. smoothie, происходящего из англ. smooth — «однородный, мягкий, приятный») — густой напиток в виде смешанных в блендере или миксере ягод, фруктов или овощей (обычно одного вида) с возможным добавлением молока, сока, льда, мороженого и т. д.
"

Это не кисель, это детский фруктовый йогурт.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено n00by , 19-Июл-21 05:46 
Йогурт кисломолочный продукт же. А выше описано "пюре разбодяженное".
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 19-Июл-21 11:28 
Если разбодяженное, то это не смузи. Смузи делается и цельных продуктов и подаётся сразу (свежим).
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено n00by , 19-Июл-21 12:34 
> Если разбодяженное, то это не смузи. Смузи делается и цельных продуктов и
> подаётся сразу (свежим).

Вам следует это писать в ответ на то сообщение, на которое отвечал я:

"с возможным добавлением молока, сока, льда"

Лёд это вода.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 19-Июл-21 11:26 
Йогурт -- это продукт работы бактерий. А тут всё свежее.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено n00by , 19-Июл-21 13:45 
А кефир, яйцо и банан - это смузи?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 19-Июл-21 11:25 
Я пил много киселя и некоторое количество смузи -- вообще разные вещи.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Led , 19-Июл-21 14:49 
>Я пил много киселя

И в шоколадницу заливал? не слиплось?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 04:14 
Облажалась либа Go, а задуматься про js? И где логика?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Онаним , 18-Июл-21 10:28 
В конечном итоге при любых дырах в говнорепозитариях "облажаются" бездумно тянущие лефтпады.
Поэтому тут не особо важно, го, жс, или что там ещё прочее хипстерское.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 10:53 
тут даже не дыра - технологическое отверстие. Его затыкать никто и не собирался.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 10:52 
действительно, ведь npm совершенно не виноват в том, что не проверяет, что в его репо пихают - то ли зип-бомбу, то ли вот архивчик с ../../.. - да и зачем, со смузи зайдет.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено anonymous , 18-Июл-21 13:08 
Вот та ситуация, где по сути правильно написано, а по форме зачем-то претензии к смузи. И не понятно ставить плюс или минус :)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено n00by , 18-Июл-21 13:31 
"Смузи" тут пишут в тех случаях, когда я пишу "Rosa Tresh", а тащ. майор говорит [вырезано цензурой]. Не обязательно всё принимать на свой счёт.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Онаним , 18-Июл-21 13:58 
Смузи вместо вазелина.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено InuYasha , 17-Июл-21 22:19 
> Эксперименты с демонстрацией взлома cdnjs для получения премии

Как я и писал три новости назад, это тот случай когда великая возможность нагнуть корпорацию зла просрана ради возможной денежной подачки и тешения ЧСВ среди нерд..технических специалистов?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 17-Июл-21 22:46 
В тюрьме таких мамкиных революционеров очень любят. Поэтому кто поумнее, тот сразу выбирает деньги. Но ты всегда можешь выбрать приз, в анализ безопасности только научись сначала. И очко разработай.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 17-Июл-21 23:42 
А че копрорация? Отряхнет брызги под хвостом и дальше пошлепает. Кумара какого может депремирует.

А у тебя да, могут выйти _проблемы_. Так что если чего такое нашел - бери деньгами, не раздумывай!

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноньимъ , 17-Июл-21 23:28 
Эта клаудфара помойный вымогатель.

Их защита задолбала вечно "проверять " браузер.

Кроме того последнее время эта нечистая гадость стала блокировать меня на некоторых зарубежных сайтах, мол - "вы заблокированы, код инцидента такой-то с претензиями можете идти в ****"

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:13 
> Их защита задолбала вечно "проверять " браузер.

Суть "проверки" - заставить тебя включить скрипты.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 10:41 
с недостаточно модным браузером это уже не помогает. Нужны модные скрипты.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено InuYasha , 18-Июл-21 12:59 
Даже достаточно модный User Agent уже недостаточен :(

Если раньше давали решить капчу на слух, то теперь - только палить велосипедистов и номера домов.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 18-Июл-21 13:41 
> Если раньше давали решить капчу на слух, то теперь - только палить
> велосипедистов и номера домов.

это мы немножко о другом - никакая капча не вылазит, просто вместо сайта - "клаудшмара обнюхивает твой браузер". Вечно. При этом еще и пожирая 100% cpu.

Полагаю, ей нужен последний хромоног, ни на чем больше чудо-скрипты не тестируют вообще.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено InuYasha , 19-Июл-21 12:52 
> При этом еще и пожирая 100% cpu.
> и пожирая 100% cpu.
> пожирая 100% cpu.

(0_0)
*шок*
Да они ж ещё и майнят!

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено пох. , 19-Июл-21 13:39 
да вот самое глупое как раз в том, что даже и не майнят. Просто такие вот т-пые. Именно в том случае, когда полезли что-то там обнюхивать именно потому что браузер не совсем типичный - конечно же ж надо использовать последние вебмакачьи выcepы, и ни разу не проверять их с немодными браузерами.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:11 
Cloudflare жулики, не дают нормально просматривать сайты!
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 00:21 
Они еще SSL бампают, если ты не заметил. Сама возможность воткнуть тебе эту проверку обеспечена тем что очень умный админ вгрузил ключи клаудспайвари. Та на своей стороне снимает SLL, видит траф, может претендовать что они ваш сервер и есть, а заодно, вот может плашку врезать. Или что угодно еще. Итого - MITM чистой воды. И тому кто юзает клаудспайварь с https следует плевать в лицо за на...лово.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Sw00p aka Jerom , 18-Июл-21 01:38 
> Итого - MITM чистой воды. И тому кто юзает клаудспайварь с https следует плевать в лицо за на...лово.

ну да терминируют, нет резона им прозрачно проксировать ваш трафик, и могут ссылаться на то, что - "а как мы вас будем защищать WAF-ом".


"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено th3m3 , 18-Июл-21 22:48 
> Cloudflare жулики, не дают нормально просматривать сайты!

Это зависит от настроек владельца сайта. Там можно выставить минимальный уровень этой фигни, тогда никакой капчи и проверок.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено КО , 18-Июл-21 06:34 
Когда уже гугл ломанут, чтоб его счетчики отовсюду поубирали.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 11:25 
ага, например с опеннета)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 13:21 
Этот день станет национальным праздником.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 22:31 
Странно почему не сломали до сих пор, там ведь все на гавне пишется полоумными неопределённого гендера попивающие смузи, да?)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 08:08 
а cdnjs кто писал?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 10:45 
А тебе не приходила в голову такая мысль что качество когда не зависит ни от гендера, ни от смузи и ни от того кого ты считаешь полоумным?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 11:26 
Зависит. Сейчас все лучшее делается гендером, смузи, и теми кого аноним с опеннета считает полоумными. Просто это другой мир... Мир свободы, состоятельности, инноваций и движения вперед.
А его туда не берут...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Павел Отредиез , 18-Июл-21 12:37 
Делов то проверить путь на ../. А уж слов то развели...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 16:36 
> Делов то проверить путь

Для поколения растаманов это немыслимая трудность. "Как, надо что-то проверять?! А что, система за меня это не сделает?".

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 17:48 
AdGuard DNS продукт российских спецслужб?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анонъимь , 18-Июл-21 18:21 
Похоже на то.
Компания зарегистрирована на Кипре, но главный офис находится в Москве.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 18:51 
У меня возникали подозрения в процессе использования. Сейчас гугловский дох поставил, пока ищу альтернативу.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 07:15 
"
Что же выдавало в Штирлице русского разведчика? Волочившийся за спиной парашют или красные трусы?
"

История AdGuard
Посёлок Коммунарка, Московская область
Посёлок Коммунарка, Московская область
2009
Как всё начиналось
Москва, 2009 год. Мировой экономический кризис, отсчитываемый с 2008 года, свирепствует вовсю и осложняет жизнь стартаперам. Будущие создатели AdGuard заняты разработкой NetChart — бесплатного сервиса интернет-аналитики. Именно работа над NetChart позволила нам понять потенциал пользовательских данных — какую информацию можно получать о людях, что можно с ней сделать и как злоупотребить. Понять и то, что сами пользователи этого потенциала и опасностей не осознают. Так мы пришли к созданию AdGuard.
Эволюция логотипа....

Команда

Dmitry Zaytsev Founder, CEO
Andrey Meshkov Founder, CTO
Igor Lukyanov Founder, COO


"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 09:21 
Комментарии ботов на различных ресурсах.
Ну и развитие кампании. Слишком быстро у них всё получилось. Откуда деньги? На платных услугах, которые они предоставляют, много не заработаешь.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 09:27 
а сколько у них денег? вы как их деньги посчитали?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анончик , 19-Июл-21 12:35 
посмотрели отчеты налоговой
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 12:56 
Простая логика. Организация, создавшая простой блокировщик рекламы имеет 55 сотрудников и продолжает набирать новых. Выручка 150 000 000 рублей, а прибыль 0.
https://www.rbc.ru/companies/id/1127746508262-ooo-performiks/
https://sbis.ru/contragents/7728812120/772501001
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 13:01 
И судя по всему ещё большое количество связанных с ними организаций. Одна из них:
Сервероид, ООО зарегистрирована по адресу 115191, г. Москва, ул. Мытная, д. 66. Генеральный Директор организации ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "СЕРВЕРОИД" Лукьянов Игорь Валерьевич. Основным видом деятельности компании является Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность. Также Сервероид, ООО работает еще по 22 направлениям.
Надо провести расследование деятельности adguard, будет интересно.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 13:20 
Безусловно это интересно. Главное в этом расследовании не переступить черту :)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 13:27 
"
Основной заказчик:
ИТАР-ТАСС, ТАСС
"

Вот где непаханное поле выявления скрытых связей :)

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 13:35 
Да-да 😄 я о том же
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 13:19 
я не вижу в этих цифрах чегото криминального. Небольшая мебельная фирма имеет такой оборот в месяц а они- накропали его в год. Понятно что тайные шпионы.. :)
Курам на смех...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 13:34 
Основной заказчик итар-тасс. Вот и прикрытие для финансирования.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анонъимь , 18-Июл-21 18:33 
CDNы в общем и Cloudflare в частности в некоторой степени препятствуют быстрому разворачиванию Чебурнета.
Товарищу майору такое положение вещей очень не нравится.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Ананимас123 , 18-Июл-21 19:15 
Лет пять мамкины хакиры ноют про чебурнет, а его все нет, бида...
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено аннонн , 18-Июл-21 19:36 
Кастрюлю с водой, в которой сидит лягушка, нужно нагревать медленно.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 20:42 
Cloudflare так и делает.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено аннонн , 18-Июл-21 20:53 
Товарищ майор так делает, поэтому Чебурнет вводится в эксплуатацию весьма неторопливо. Так всё и задумано.


"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 21:30 
Армия ботов комперсирует жтот недостаток. А так они пытаются препятствовать внедрению doh и quic.
>"По экспертным оценкам, возрастает число случаев использования маскирующих протоколов, позволяющих скрыть фактические сетевые адреса устройств от внешних систем и протоколов шифрования. Все большее распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной записке к законопроекту, размещенному на портале проектов нормативных правовых актов."
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено аннонн , 18-Июл-21 22:22 
> Армия ботов комперсирует жтот недостаток.

У меня иногда создаётся впечатление, что на одного бота приходится девять полезных ему иди0т0в.

> А так они пытаются препятствовать внедрению doh и quic.
> "... распространение получают протоколы с применением криптографических алгоритмов и методов шифрования TLS 1.3, ESNI, DoH (DNS поверх HTTPS), DoT (DNS поверх TLS)", - сказано в пояснительной записке к законопроекту,...

Да, видел это.
И читал где-то здесь, на опеннете,  в комментариях, что DoH + eSNI как минимум один из провайдеров уже перекрывает.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено lockywolf , 19-Июл-21 05:51 
Логина по номеру телефона в "безопасный телеграмм", Фейсбук, ВК и Юмани нет?

Отправки смс для выхода из дома по время локдауна не было?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноньимъ , 18-Июл-21 23:24 
Вообще не мешает.

Увы, было бы круто если бы мешало, но не мешает.

Не в этом дело. Захотят - будет чебурнет. Как там было - "то что вы еще на свободе это не ваша заслуга, а наша недоработка".

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено аннонн , 19-Июл-21 07:18 
Мешает уже тем, что блокировка по IP, который реально принадлежит CDNу, помимо целевого сайта вызывает блокировку ещё десятков сайтов, блокировать которые задачи не стояло.
Владельцы этих сайтов, которые вообще ни при чём, иногда начинают жаловаться и поднимать шум, что контролирующим органам не нравится, по разным причинам.

eSNI решает вопрос с именем хоста, которое передаётся уже зашифрованным при установлении TLS соединения. Но TLS соединения с шифрованным SNI уже начинают отфильтровывать...
Но за eSNI придёт ECH, с которым они тоже будут бороться.
Задача - создать им такой головняк с блокировками, что они устанут с этим всем бороться.

Хотя правильное решение проблемы лежит вовсе не в технической плоскости.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено ыы , 19-Июл-21 08:02 
То есть вы за белорусский вариант :)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 08:44 
Это потому что айпи в6 до сих пор не стал стандартом, заменив айпи в4 в интернетах. А там хоть убанься, адресов лет на 100 хватит. Скоро варварские методв все равно перестанут работать. Сделают айпи в16 и будет им адресов еще много миллиардов на забанить.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Анончик , 19-Июл-21 12:59 
Расскажу страшную штуку, бан листы ipv6 занимают не намного больше места чем ipv4.
а твои миллионы адресов баняться добавлением одного префикса.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено аннонн , 19-Июл-21 15:43 
> Это потому что айпи в6 до сих пор не стал стандартом, ...

Банить по ipv6 ещё проще. Если "на пальцах", то примерно так:

"По cron-у" резолвить имя хоста и добавлять полученный IPv6-адрес в список фильтруемых, если такого адреса ещё нет в списке.
По другому крону производить агрегирование фильтруемых IP-адресов в сети. Затем скармливать полученный список файерволлам.
Это всё.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноньимъ , 19-Июл-21 18:34 
Обяжут держать все CDN и прочие прокси на территории РФ.
Всё, "проблема" решена.
А пускать во внешний мир будут по пропускам, если захотят.

А могут и обрубить внешний мир совсем, то-же не что-то из ряда вон.

Так что не зазнавайтесь.

То что вы читаете в прессе, все эти блокировки, это имеет целью кошмарить население, а не серьезно создавать чебурнет.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 21:38 
>Опасность проблемы усугубляется тем, что для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов в интернете и компрометация инфраструктуры позволяет подменить библиотеки, отдаваемые любым из этих сайтов.

Нет, не позволяет. Нормальные сайты используют subresource integrity. Говносайты ... не ходите на них.

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 18-Июл-21 21:41 
>Воспользовавшись полученными сведениями злоумышленник мог внести изменения в cdnjs и полностью скомпрометировать инфраструктуру.
>Эксперименты с демонстрацией взлома cdnjs для получения премии на HackerOne

Зачем же whitehatа называть злоумышленником?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 13:16 
>для загрузки JavaScript-библиотек сервисом пользуется около 12.7% всех сайтов

А зачем?

"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 17:47 
То есть зачем так делают 12,7% всех сайтов, когда все остальные обходятся без этого, - никто не здесь знает.
Ну что ж, молодцы.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 17:49 
Д.б. "никто здесь не знает", конечно.
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено lockywolf , 19-Июл-21 13:44 
Много успели намайнить?
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 19-Июл-21 16:31 
Мечта запустить на их серверах
rm -rf /*, может сбыться=)
"Уязвимость в cdnjs, позволившая выполнить код на серверах Cl..."
Отправлено Аноним , 20-Июл-21 16:08 
Всё чир нужно знать о javascript