forum.opennet.ru

"Применение тайпсквоттинга для распространения вредоносных мо..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Отдельный RSS теперь доступен для каждого обсуждения в форуме и каждого минипортала.

. "Применение тайпсквоттинга для распространения вредоносных мо..."	+/–
Сообщение от Аноним (-), 10-Июн-16, 06:29
Я знаю только за ноду. В npm лежат не только модули к ноде, но, иногда, попадаются всякие вспомогательные утилиты, вроде генератора заготовки для экспресса или jshint. В всех инструкциях к этим "модулям", авторы считают что их детищем будут пользоваться ежедневно и поэтому пишут чтобы их поделия ставились с флагом -g (npm install -g jshint). После такой установки модули помещаются не в текущую директорию, из которой был вызван npm install, а куда-то в /usr и поэтому требуют права рута для инсталяции. Т.ч. npm install может запускаться с рутовскими правами не только в докере. Если же пакеты запускаются в докере, то не понятно как у них считается статистика. Если люди доросли до докера в связке в нодой, то это явно случай девопса головного мозга. А это значит запуск юнит тестов на каждый чих, запуск приложения на нескольких серверах и т.п. Если это будет фигово сделано, то npm install может дергаться постоянно и один такой крупный проект может накрутить всю статистику с установкой модулей под рутом.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Применение тайпсквоттинга для распространения вредоносных мо..., opennews, 09-Июн-16, 21:46 [смотреть все]

Теперь в npm встроят искуственный интеллект с десятком нейросетей, который будет, rob pike, 09-Июн-16, 21:46 (1) //
- Ну, жертв джаваскрипта меньше всего Но суть от этого не меняется , Crazy Alex, 09-Июн-16, 22:45 (6) //
  - Жертв джаваскрипта меньше всего - что , rob pike, 09-Июн-16, 23:15 (8) //
    - 15221 хоста были поражены через пакеты PyPi, 1631 через rubygems и 525 через NP, Crazy Alex, 10-Июн-16, 01:37 (15)
      - возможно, это просто значит, что юзеров pypi в семь раз больше, чем юзеров rubyg, Нанобот, 10-Июн-16, 09:26 (26)
        
        Вполне возможно С другой стороны - серверного JS сейчас на вид не меньше, чем п, Crazy Alex, 10-Июн-16, 10:06 (34)
- новые времена - новые проблемы С поколеним старперов тоже все плохо - раньше бы, омномномнимус, 10-Июн-16, 09:55 (32) //
  - Огласите список новых проблем , rob pike, 10-Июн-16, 11:03 (39) //
    - тайпсквоттинг, омномномнимус, 10-Июн-16, 11:42 (42)
      - Раздолбайство - проблема не новая , rob pike, 10-Июн-16, 17:57 (59)
        
        И не всегда проблема http img-fotki yandex ru get 3104 yurasikgor 3 0_1af70_4, Michael Shigorin, 10-Июн-16, 18:38 (61)
        ну, с таким подходом все можно подвести под раздолбайство , омномномнимус, 10-Июн-16, 20:13 (62)
Проблема в безграмотности владельцев админов, а не в Javascript , Sabakwaka, 09-Июн-16, 22:24 (2) //
- Это очень даже связанные вещи Достойные плоды низкого порога вхождения и привыч, Аноним, 09-Июн-16, 22:52 (7) //
  - Когда злоумышленники регистрируют какой-нибудь vkontalke ru, надеясь получить па, Аноним, 10-Июн-16, 10:36 (38) //
    - А вот и вебмакака подтянулась со своей попоболью Репозиторий в который кто уго, Аноним, 10-Июн-16, 11:19 (40)
      - Может лучше вообще интернет запретим А то по запросу скачать винрар открывает, synweap, 10-Июн-16, 12:48 (47)
        
        Просто объясните как на 17289-х уникальных хостах оказались левые пакеты , Аноним, 10-Июн-16, 16:15 (53)
        
        Я откуда знаю Мой npm-пакет с очень редким специфичным применением кто-то тоже , synweap, 10-Июн-16, 17:34 (56)
        
        Угу Сервисы, сервисы, 17289 одних сервисов , Аноним, 10-Июн-16, 17:50 (58)
        
        Новость не читай Камменты оставляй Ненавидь веб всею душою своею, synweap, 10-Июн-16, 18:27 (60)
        
        Как я и думал, по делу вам сказать нечего , Аноним, 11-Июн-16, 16:59 (68)
- та вроде никто и не говорил, что проблема в javascript, Нанобот, 10-Июн-16, 09:28 (27)
Обязательную pgp-подпись пакетов да ручное добавление ключей в доверенные, Аноним, 09-Июн-16, 22:36 (3) //
- В чем разница с обязательным подписанием RSA-ключами и ручным добавлением ключей, Аноним, 10-Июн-16, 00:43 (13) //
  - Очевидно тем что PGP ключ не обязательно RSA , Аноним, 10-Июн-16, 09:59 (33)
- верный способ отпугнуть 95 пользователей и привести всю систему в негодностьдля, Нанобот, 10-Июн-16, 09:01 (24) //
  - Не, велосипеды _должны_ быть разнообразны и неожиданны Просто работать оно до, Andrey Mitrofanov, 10-Июн-16, 09:32 (29)
Может, это какие-нибудь докеры и прочие контейнеры, в которых это норма , Аноним, 09-Июн-16, 22:36 (4) //
- Я знаю только за ноду В npm лежат не только модули к ноде, но, иногда, попадаютс , Аноним, 10-Июн-16, 06:29 (21) //
  - Вы невнимательно читаете было зафиксировано 45334 запросов от 17289 уникаль, Moomintroll, 10-Июн-16, 09:38 (30) //
    - Уикальных IP, скорее всего Если IPv6 у кого-то поднят - то запросто , Crazy Alex, 10-Июн-16, 10:20 (37)
так то это совсем капец ведь чтоб гарантировано защититься от этого -никаких мощ, AS, 09-Июн-16, 22:40 (5) //
- Бухать меньше надо, тогда бред мерещаться по zabbix-у не будет и мания величия п, Аноним, 10-Июн-16, 00:03 (10)
А я сижу и жду, пока это болото не перебодит Когда есть 100500 модулей, и сотня, IZh., 09-Июн-16, 23:45 (9) //
- Ну Логическую цепочку продолжай Зачем нам 2048 дистров пингвина Лучше десяток, Аноним, 10-Июн-16, 00:43 (14) //
  - Разница в том, что у дистров пингвина очень крутая кривая распределения популярн, Crazy Alex, 10-Июн-16, 01:41 (17) //
    - Там кривая более пологая, может быть, но в целом похоже на пингвинов Но с одной, rob pike, 10-Июн-16, 04:50 (20)
      - Ну так, считай, при любом сравнении популярности надёте гауссиану - конечно похо, Crazy Alex, 10-Июн-16, 10:13 (36)
  - Хрен вам ОСС - тем и силён что тут всего овердомного И у проприетарщиков шан, ., 10-Июн-16, 01:42 (18) //
    - Эк Вы жёстко ихнего добровольного обслуживателя-то это судя по типовым стир, Michael Shigorin, 10-Июн-16, 07:16 (22)
    - Угу, по десктопу особенно видна смла этого подхода , Аноним, 10-Июн-16, 09:30 (28)
- зачем столько комментариев - по одному на каждого зарегистрированногозачем столь, hatersgonnahate, 10-Июн-16, 15:56 (51)
Дожили , Онаним, 10-Июн-16, 04:49 (19)
Хипстерские подходы, увы Почему-то эти ребята считают, что всю безопасность к, Аноним, 10-Июн-16, 08:52 (23)
просто разрабы расслабились, т к целевые атаки против них - большая редкость и, Нанобот, 10-Июн-16, 09:23 (25)
Вспоминается старая байка времен DOS Клиент vs саппорт -надо набирать install, пучапучс, 10-Июн-16, 09:53 (31)
8614 6174 4758 19546шутка о ста сорока шести процентах , Аноним, 10-Июн-16, 10:13 (35) //
- Уникальный IP уникальный хост Искренне ваш, К О , Аноним, 10-Июн-16, 11:22 (41) //
  - Все еще хуже Это виртуальные машины или virtualenv у питона - , Шапкоед, 10-Июн-16, 12:57 (48)
  - Будте любезны, поясните - VPS это уникальный хост или просто уникальное IP , анином, 10-Июн-16, 17:38 (57) //
    - Да , Аноним, 11-Июн-16, 00:21 (66)
что-что кто-то еще не использует йомена и свои сценарии разворачивания окружени, анон, 10-Июн-16, 11:46 (43)
Есть репы с deb-пакетами Всё остальное от лукавого , Аноним, 10-Июн-16, 11:48 (44) //
- Есть репы с р-п-м-ами, gpgcheck 0 и вперёд I I , Andrey Mitrofanov, 10-Июн-16, 13:12 (49)
8230 душить скрипт 8208 киддисов пока они ещё маленькие , arisu, 10-Июн-16, 14:52 (50) //
- Похоже что уже поздно Вон их сколько уже понабежало , Аноним, 10-Июн-16, 16:18 (54) //
  - Два раза уже это пунктик, Нониус, 14-Июн-16, 13:14 (70)
Система рейтингов для пакетов право заверять пакеты тем, кому мы доверяем 10-, тОпор, 10-Июн-16, 22:29 (63)
Проблема высосана из пальца Единственное, что надо запретить отъем названия пак, spotify.space, 10-Июн-16, 23:18 (64) //
- - На сервере было зафиксировано 45334 запросов от 17289 уникальных хостов В 43 , Никто, 11-Июн-16, 15:02 (67)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру