Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Применение тайпсквоттинга для распространения вредоносных мо..., opennews (?), 09-Июн-16, (0) [смотреть все] Теперь в npm встроят искуственный интеллект с десятком нейросетей, который будет, rob pike (?), 21:46 , 09-Июн-16, (1) +6 // Ну, жертв джаваскрипта меньше всего Но суть от этого не меняется , Crazy Alex (ok), 22:45 , 09-Июн-16, (6) +2 // Жертв джаваскрипта меньше всего - что , rob pike (?), 23:15 , 09-Июн-16, (8) // 15221 хоста были поражены через пакеты PyPi, 1631 через rubygems и 525 через NP, Crazy Alex (ok), 01:37 , 10-Июн-16, (15) +1 возможно, это просто значит, что юзеров pypi в семь раз больше, чем юзеров rubyg, Нанобот (ok), 09:26 , 10-Июн-16, (26) +1 Вполне возможно С другой стороны - серверного JS сейчас на вид не меньше, чем п, Crazy Alex (ok), 10:06 , 10-Июн-16, (34) –3 новые времена - новые проблемы С поколеним старперов тоже все плохо - раньше бы, омномномнимус (?), 09:55 , 10-Июн-16, (32) +3 // Огласите список новых проблем , rob pike (?), 11:03 , 10-Июн-16, (39) // тайпсквоттинг, омномномнимус (?), 11:42 , 10-Июн-16, (42) +2 Раздолбайство - проблема не новая , rob pike (?), 17:57 , 10-Июн-16, (59) И не всегда проблема http img-fotki yandex ru get 3104 yurasikgor 3 0_1af70_4, Michael Shigorin (ok), 18:38 , 10-Июн-16, (61) +1 ну, с таким подходом все можно подвести под раздолбайство , омномномнимус (?), 20:13 , 10-Июн-16, (62) Проблема в безграмотности владельцев админов, а не в Javascript , Sabakwaka (ok), 22:24 , 09-Июн-16, (2) +1 // Это очень даже связанные вещи Достойные плоды низкого порога вхождения и привыч, Аноним (-), 22:52 , 09-Июн-16, (7) // Когда злоумышленники регистрируют какой-нибудь vkontalke ru, надеясь получить па, Аноним (-), 10:36 , 10-Июн-16, (38) // А вот и вебмакака подтянулась со своей попоболью Репозиторий в который кто уго, Аноним (-), 11:19 , 10-Июн-16, (40) Может лучше вообще интернет запретим А то по запросу скачать винрар открывает, synweap (ok), 12:48 , 10-Июн-16, (47) +1 Просто объясните как на 17289-х уникальных хостах оказались левые пакеты , Аноним (-), 16:15 , 10-Июн-16, (53) Я откуда знаю Мой npm-пакет с очень редким специфичным применением кто-то тоже , synweap (ok), 17:34 , 10-Июн-16, (56) Угу Сервисы, сервисы, 17289 одних сервисов , Аноним (-), 17:50 , 10-Июн-16, (58) Новость не читай Камменты оставляй Ненавидь веб всею душою своею, synweap (ok), 18:27 , 10-Июн-16, (60) Как я и думал, по делу вам сказать нечего , Аноним (-), 16:59 , 11-Июн-16, (68) та вроде никто и не говорил, что проблема в javascript, Нанобот (ok), 09:28 , 10-Июн-16, (27) +1 Обязательную pgp-подпись пакетов да ручное добавление ключей в доверенные, Аноним (-), 22:36 , 09-Июн-16, (3) +8 // В чем разница с обязательным подписанием RSA-ключами и ручным добавлением ключей, Аноним (-), 00:43 , 10-Июн-16, (13) +1 // Очевидно тем что PGP ключ не обязательно RSA , Аноним (-), 09:59 , 10-Июн-16, (33) верный способ отпугнуть 95 пользователей и привести всю систему в негодностьдля, Нанобот (ok), 09:01 , 10-Июн-16, (24) // Не, велосипеды _должны_ быть разнообразны и неожиданны Просто работать оно до, Andrey Mitrofanov (?), 09:32 , 10-Июн-16, (29) +2 Может, это какие-нибудь докеры и прочие контейнеры, в которых это норма , Аноним (-), 22:36 , 09-Июн-16, (4) // Я знаю только за ноду В npm лежат не только модули к ноде, но, иногда, попадаютс, Аноним (-), 06:29 , 10-Июн-16, (21)   // Вы невнимательно читаете было зафиксировано 45334 запросов от 17289 уникаль, Moomintroll (ok), 09:38 , 10-Июн-16, (30)   // Уикальных IP, скорее всего Если IPv6 у кого-то поднят - то запросто , Crazy Alex (ok), 10:20 , 10-Июн-16, (37)   так то это совсем капец ведь чтоб гарантировано защититься от этого -никаких мощ, AS (??), 22:40 , 09-Июн-16, (5) // Бухать меньше надо, тогда бред мерещаться по zabbix-у не будет и мания величия п, Аноним (-), 00:03 , 10-Июн-16, (10) +4 А я сижу и жду, пока это болото не перебодит Когда есть 100500 модулей, и сотня, IZh. (?), 23:45 , 09-Июн-16, (9) +5 // Ну Логическую цепочку продолжай Зачем нам 2048 дистров пингвина Лучше десяток, Аноним (-), 00:43 , 10-Июн-16, (14) // Разница в том, что у дистров пингвина очень крутая кривая распределения популярн, Crazy Alex (ok), 01:41 , 10-Июн-16, (17) // Там кривая более пологая, может быть, но в целом похоже на пингвинов Но с одной, rob pike (?), 04:50 , 10-Июн-16, (20) +1 Ну так, считай, при любом сравнении популярности надёте гауссиану - конечно похо, Crazy Alex (ok), 10:13 , 10-Июн-16, (36) Хрен вам ОСС - тем и силён что тут всего овердомного И у проприетарщиков шан, . (?), 01:42 , 10-Июн-16, (18) +1 // Эк Вы жёстко ихнего добровольного обслуживателя-то это судя по типовым стир, Michael Shigorin (ok), 07:16 , 10-Июн-16, (22) Угу, по десктопу особенно видна смла этого подхода , Аноним (-), 09:30 , 10-Июн-16, (28) зачем столько комментариев - по одному на каждого зарегистрированногозачем столь, hatersgonnahate (?), 15:56 , 10-Июн-16, (51) +1 Дожили , Онаним (?), 04:49 , 10-Июн-16, (19) Хипстерские подходы, увы Почему-то эти ребята считают, что всю безопасность к, Аноним (-), 08:52 , 10-Июн-16, (23) +2 просто разрабы расслабились, т к целевые атаки против них - большая редкость и, Нанобот (ok), 09:23 , 10-Июн-16, (25) Вспоминается старая байка времен DOS Клиент vs саппорт -надо набирать install, пучапучс (?), 09:53 , 10-Июн-16, (31) +1 8614 6174 4758 19546шутка о ста сорока шести процентах , Аноним (-), 10:13 , 10-Июн-16, (35) +1 // Уникальный IP уникальный хост Искренне ваш, К О , Аноним (-), 11:22 , 10-Июн-16, (41) // Все еще хуже Это виртуальные машины или virtualenv у питона - , Шапкоед (?), 12:57 , 10-Июн-16, (48) Будте любезны, поясните - VPS это уникальный хост или просто уникальное IP , анином (?), 17:38 , 10-Июн-16, (57) // Да , Аноним (-), 00:21 , 11-Июн-16, (66) +2 что-что кто-то еще не использует йомена и свои сценарии разворачивания окружени, анон (?), 11:46 , 10-Июн-16, (43) –1 Есть репы с deb-пакетами Всё остальное от лукавого , Аноним (-), 11:48 , 10-Июн-16, (44) +1 // Есть репы с р-п-м-ами, gpgcheck 0 и вперёд I I , Andrey Mitrofanov (?), 13:12 , 10-Июн-16, (49) 8230 душить скрипт 8208 киддисов пока они ещё маленькие , arisu (ok), 14:52 , 10-Июн-16, (50) +1 // Похоже что уже поздно Вон их сколько уже понабежало , Аноним (-), 16:18 , 10-Июн-16, (54) // Два раза уже это пунктик, Нониус (?), 13:14 , 14-Июн-16, (70) Система рейтингов для пакетов право заверять пакеты тем, кому мы доверяем 10-, тОпор (?), 22:29 , 10-Июн-16, (63) Проблема высосана из пальца Единственное, что надо запретить отъем названия пак, spotify.space (?), 23:18 , 10-Июн-16, (64) // - На сервере было зафиксировано 45334 запросов от 17289 уникальных хостов В 43 , Никто (??), 15:02 , 11-Июн-16, (67) 1,2,3,4,5,9,19,23,25,31,35,43,44,50,63,64

Сообщения

[Сортировка по времени | RSS]

	21. "Применение тайпсквоттинга для распространения вредоносных мо..."	+/–
	Сообщение от Аноним (-), 10-Июн-16, 06:29
	Я знаю только за ноду. В npm лежат не только модули к ноде, но, иногда, попадаются всякие вспомогательные утилиты, вроде генератора заготовки для экспресса или jshint. В всех инструкциях к этим "модулям", авторы считают что их детищем будут пользоваться ежедневно и поэтому пишут чтобы их поделия ставились с флагом -g (npm install -g jshint). После такой установки модули помещаются не в текущую директорию, из которой был вызван npm install, а куда-то в /usr и поэтому требуют права рута для инсталяции. Т.ч. npm install может запускаться с рутовскими правами не только в докере. Если же пакеты запускаются в докере, то не понятно как у них считается статистика. Если люди доросли до докера в связке в нодой, то это явно случай девопса головного мозга. А это значит запуск юнит тестов на каждый чих, запуск приложения на нескольких серверах и т.п. Если это будет фигово сделано, то npm install может дергаться постоянно и один такой крупный проект может накрутить всю статистику с установкой модулей под рутом.
	Ответить | Правка | Наверх | Cообщить модератору

	30. "Применение тайпсквоттинга для распространения вредоносных мо..."	+/–
	Сообщение от Moomintroll (ok), 10-Июн-16, 09:38
	> один такой крупный проект может накрутить всю статистику с установкой модулей под рутом Вы невнимательно читаете: "... было зафиксировано 45334 запросов от 17289 уникальных хостов"
	Ответить | Правка | Наверх | Cообщить модератору

	37. "Применение тайпсквоттинга для распространения вредоносных мо..."	+/–
	Сообщение от Crazy Alex (ok), 10-Июн-16, 10:20
	Уикальных IP, скорее всего. Если IPv6 у кого-то поднят - то запросто.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема