forum.opennet.ru

"67% публичных серверов Apache Superset используют ключ доступа из примера настроек"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

"67% публичных серверов Apache Superset используют ключ доступа из примера настроек"	+/–
Сообщение от opennews (?), 26-Апр-23, 09:34
Исследователи из компании Horizon3 обратили внимание на проблемы с безопасностью в большинстве установок платформы анализа и визуализации данных Apache Superset. На 2124 из 3176 изученных публичных серверов с Apache Superset выявлено использование типового ключа шифрования, указанного по умолчанию в примере файла конфигурации. Данный ключ используется в Python-библиотеке Flask для генерации сессионных Cookie, что позволяет знающему ключ атакующему сформировать фиктивные параметры сеанса, подключиться к web-интерфейсу Apache Superset и загрузить данные из привязанных БД или организовать выполнение кода с правами Apache Superset... Подробнее: https://www.opennet.me/opennews/art.shtml?num=59036
Ответить \| Правка \| Cообщить модератору

Оглавление

67% публичных серверов Apache Superset используют ключ доступа из примера настроек, opennews, 26-Апр-23, 09:34 [смотреть все]

Девляпс во всей красе , Tron is Whistling, 26-Апр-23, 09:34 (1) //
- Небось там так непросто свои ключи сгенерировать, что при установке ставят дефол, Аноним, 26-Апр-23, 22:28 (51) //
  - Нормальный девопс начинает подготовку развёртывания с двух вопросов 1 Какие пар, Брат Анон, 27-Апр-23, 07:46 (52) //
    - 1 Где слямзить готовый образ для докерка2 Как бы его запустить с минимумом уси, Tron is Whistling, 27-Апр-23, 07:49 (55)
      - Ты так это написал, как-будто в этом есть что-то плохое кроме смузи , Брат Анон, 27-Апр-23, 12:39 (65)
        
        Если это не кубер и не локалхост админа разработчика, то нахрена он нужен , анон, 27-Апр-23, 14:22 (69)
        
        Прикинь, на одном хосте ты несколько сервисов на одном порту не запустишь И пам, Брат Анон, 10-Май-23, 11:25 (82)
    - Покажи мне инженеров аджайл, инженеров скрам Как илиоты со своим девопс Что , анон, 27-Апр-23, 14:20 (68)
      - Смузи пить и брить бороду в барбершопе , Tron is Whistling, 27-Апр-23, 14:40 (72)
      - Носить штаны-колготки и фоткать себяшки в инсту, Аноним, 27-Апр-23, 20:48 (74)
      - Проходить собеседования, зарабатывать бабки, управлять больше чем 10ю серверами , PV, 28-Апр-23, 00:51 (77)
- Скорее это обычные васяны Где скажем жкс найдет деньги на dev ops с их зп в 300к, Kotlin твой любимый язык, 27-Апр-23, 08:50 (62) //
  - Представь, пришёл ты к врачу, а он тебе гневную тираду, как хреново ты следишь з, Аноним, 27-Апр-23, 20:52 (75) //
    - Если он кроме гневной тирады может сказать как это исправить - то точно да и не , iFRAME, 30-Апр-23, 11:14 (80)
    - При наличии более вежливого выберу вежливого, если он будет так же хорошо лечить, Анониссимус, 07-Май-23, 02:56 (81)
Логины и пароли зло говорили они Меняйте их на ключи говорили они В итоге что , Аноним, 26-Апр-23, 09:35 (2) //
- по идее, ломается всё, что пароли-ключи, что биометрияв материальном мире полага, Аноним, 26-Апр-23, 09:46 (10) //
  - А на что имеет На идеалистическое Бог, в плане информационной безопасности, так, Товарищ майор, 26-Апр-23, 09:49 (14)
  - Согласен Пароли надо хранить в молитвах, возносимых господу нашему Если кто ис, Аноним, 26-Апр-23, 09:51 (16)
- думаешь никогда не бывает такого, что люди не меняют дефолтные логин-пароль да , Аноним, 26-Апр-23, 09:48 (12) //
  - Так уж и быть давай свои запросы, посмотрим сколько там на самом деле процентов , Аноним, 26-Апр-23, 10:17 (21)
- Это примерно как при автомобильной аварии говорить, что надо пересаживаться на л, Аноним, 26-Апр-23, 10:38 (27) //
  - Это пример того как нельзя писать инсталлер, который не запрашивает хотя бы паро, Аноним, 26-Апр-23, 11:54 (33) //
    - Оберегать человека от его собственной глупости - путь к деградации общества в це, YetAnotherOnanym, 26-Апр-23, 12:52 (39)
      - Путь к деградации допускать глупых людей к управлению сложными вещами , Аноним, 26-Апр-23, 13:23 (41)
Ну и разработчики тоже хороши в код была добавлена проверка, при наличии данног, Tron is Whistling, 26-Апр-23, 09:35 (3) //
- А потом окажется что за все года что была уязвимость никакого не взломали потому, Аноним, 26-Апр-23, 09:42 (9) //
  - Тут скорее про это - организовать выполнение кода с правами Apache Superset Н, 1, 26-Апр-23, 10:29 (23)
- Ну можно, например, сделать генерацию псевдослучайного ключа, если он не задан , Товарищ майор, 26-Апр-23, 09:47 (11) //
  - Нет, товарищ майор Всё должно быть по инструкции нет переменной -- нет работы , Брат Анон, 27-Апр-23, 07:49 (54) //
    - Не всегда Смотря что у вас за система и какой характер носит исполнение Есть си, Tron is Whistling, 27-Апр-23, 08:13 (59)
      - Если для такой системы это критично -- значит в такой системе подобной ситуации , Брат Анон, 27-Апр-23, 12:58 (66)
        
        Да, и ошибок в коде тоже вообще быть не должно Но они есть Мир вообще не идеал, Tron is Whistling, 27-Апр-23, 14:38 (70)
    - это не про пароли кнешн, но например если у вас из-за одной ошибки модуля упадё, Tron is Whistling, 27-Апр-23, 08:14 (60)
    - Не всегда Настраивать тот же бареос бакулу с нуля в первый раз - тот ещё геморр, Товарищ майор, 27-Апр-23, 10:22 (64)
      - Тем более, пока не поздно нужно падать с грохотом Лучше никак, чем кое-как , Брат Анон, 27-Апр-23, 12:59 (67)
        
        Запустил ты ядерный реактор - и он остановился С грохотом D, Tron is Whistling, 27-Апр-23, 14:38 (71)
        Так в том и дело, что грохота много, а понятного объяснения косяка в конфигах - , Товарищ майор, 27-Апр-23, 15:06 (73)
- Ага, а потом такие как ты орут как девочки, что СИСТЕМА РЕШАЕТ ЗА МИНЯ, Аноним, 26-Апр-23, 10:39 (28) //
  - А к Солнцу претензии есть Ну, оно типа само за 7 млрд человек решило тут свечу, Брат Анон, 27-Апр-23, 07:51 (56)
- это не выгодно, ибо взлом подорожает , Аноним, 26-Апр-23, 12:38 (38)
- Два чая этому господину , Брат Анон, 27-Апр-23, 07:47 (53)
Кто-то удивляется еще такому , Антифрактал, 26-Апр-23, 09:36 (4) //
- Да, я вот в полном ах е Кто эти целых 37 что зачем-то полезли менять ключи и, пох., 26-Апр-23, 09:51 (15) //
  - Ну, был у меня дивный bad trip с АСУТП шниками, отказывавшимися менять дефолтный, User, 27-Апр-23, 07:59 (58) //
    - Кстати, циска, которую это все подза ло как и дефолтный пароль cisco от всег, пох., 27-Апр-23, 22:56 (76)
Это же Apache Там на самом деле и разработчиков то никаких нет , Аноним, 26-Апр-23, 09:40 (8) //
- Вот к слову скрин из заглавной страницы проекта https superset apache org img , Аноним, 26-Апр-23, 10:11 (19) //
  - Да нет, это просто float , Tron is Whistling, 26-Апр-23, 10:31 (26)
А всего-то надо генерировать случайный ключ, если он не указан явно Вот как тут, pashev.ru, 26-Апр-23, 09:49 (13) //
- Локалхостов, когда ж ты угомонишься уже свой локалхост рекламировать Вот уж вои, Аноним, 26-Апр-23, 16:51 (45)
Вряд ли эти сервера production Скорее всего урезаны по правам и сетевому доступ, Пряник, 26-Апр-23, 09:58 (18) //
- Ага это как те монги которые шли из коробки с дефолтным паролем без пароля Там, Аноним, 26-Апр-23, 10:14 (20) //
  - Ну как бы монги монгами, деляпсы и проч Но сколько установок Oracle где бородаты, 1, 26-Апр-23, 11:38 (30) //
    - Бородатые DBA - это в смысле небритые студенты на полставки , Tron is Whistling, 26-Апр-23, 12:37 (37)
    - в смысле вроде всегда был scott tiger, ivan_erohin, 29-Апр-23, 10:35 (79)
- нет ничего более постоянного чем временное решение на коленке , чатжпт, 26-Апр-23, 10:30 (24)
- Стадия торга , ip1982, 26-Апр-23, 14:34 (44)
Наберут кузьмичей по объявлению, потом удивляются , Catwoolfii, 26-Апр-23, 10:25 (22) //
- Ну ты-то сам, понятное дело, Михалыч, и пришёл по блату, а не по объявлению Отк, Аноним, 26-Апр-23, 10:56 (29) //
  - Ключ доступа в настройках, взятый из общедоступного примера - это не ошибка, это, Catwoolfii, 26-Апр-23, 11:43 (31) //
    - Но как же так на собесе он рассказал ответы на все каверзные вопросы и даже знал, Аноним, 26-Апр-23, 14:02 (42)
Что мешало заблокировать все Отсутствие типа set в Python Ил отсутствие мозг, Аноним, 26-Апр-23, 10:30 (25) //
- Что тебе мешало сделать коммит , Аноним, 26-Апр-23, 14:04 (43)
- Автоматом даже джейсон не парсится , Брат Анон, 27-Апр-23, 07:57 (57)
Отлично А я и не знал про него , Аноним, 26-Апр-23, 12:17 (36) //
- ну теперь-то знаешь и в следующий раз уже не сможешь сказать, что не знал полу, Аноним, 26-Апр-23, 21:37 (50)
И здесь теперь заставляют ставить кодовый замок на дверь туалета , ИмяХ, 27-Апр-23, 08:14 (61) //
- зато с кодом 1234 по умолчанию, 1, 27-Апр-23, 10:02 (63) //
  - вообще-то 1234567890- поэтому ты все равно успеваешь обоср ся пока открываешь , пох., 28-Апр-23, 16:54 (78)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру