Pull to refresh

Comments 16

Если они есть, то ВПО засыпает на 20 и 30 секунд соответственно

Слышал звон про уязвимости с симлинками?

Вопрос Автору — а почему упор именно на GitHub?
Типа в нем разделы download чем-то кардинально отличаются от других сайтов?

Наверно, предубеждением у некоторых лиц, что «это OpenSource, там все друг другу доверяют, кодер кодеру не нашкодит»

Ну, собственно анализ сырцов тут совсем краткий: "Изучение исходного кода… не дало никаких результатов". Или — если еще короче — "сырцы ниасилил".
Поэтому автор героически слил откуда-то (не с гитхаба) какой-то левый экзешник и начал его героически ковырять.
После чего объявил, что гитхаб — немец.
PS. эх, молодежь… Не умеет жарить заголовки совершенно. Учились бы у Ализара — там так легко за базар не притянешь.

justhabrauser, тут по законам жанра, видимо, требуется пара реплик от автора

1) Уважаемый justhabrauser, после фразы «не дало никаких результатов» следует еще два предложения и два скриншота, объясняющие, почему изучение исходников — это тупик. Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.

2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.

ПыСЫ Что касается указанных вами загов, посмотрели — не огонь, обычные стандартные глагольные новостные заги. На вкус и цвет как говорится)
Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.

В чем смысл тогда их упоминать?


2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.

Демонстрирую: только-что специально для вас кто-то загрузил на сайт Fedora project некую "вредоносную программу". Только-что (там время UTC), специально для Вас. Кто загрузил — загадка. Что там — непонятно (на самом деле это 7-zip x64 9.20).
Домен принадлежит Fedora project (а можно взять и выше — Red Hat).
Вывод: Fedora project == немцы?

justhabrauser, ну тут все просто: 1) потому что автор утилиты их выложил, как сорцы утилиты. 2) Потому что исследуемую утилиту загрузил на GitHub некто под ником faca5. Об этом тоже сказано в статье. Полная ссылка частично видна на 1 скриншоте.
После чего объявил, что гитхаб — немец.

GitHub — это крупный и очень полезный проект, кто же спорит, но малвару и там можно словить
Как и на любом сайте, контент для которого генерируют пользователи.
Вы же знаете, как переводятся последние два слова в названии домена githubusercontent?
Как насчёт статьи по мотивам исследования файла с какого-нибудь googleusercontent.com?
Кстати да. Когда была криптолихорадка, многие программы-майнеры, ноды разных криптовалют и т.п. (не malware) хостились на github без исходников. В git-е какой-нибудь readme.md, а в релизах — бинарники. Зато как красиво на форумах — ссылка на github.
возможно дело в большей известности относительно аналогов
А я открывая статью надеялся на рекламу какого нибудь антивирусного решения для зеркал исходного кода и зеркал репозиториев Maven, NPM,….
А тут банально, скачал какой то бинарник и схватил вирус. Ну каждая первая история такая. История то в чём?..
А тут банально, скачал какой то бинарник и схватил вирус. Ну каждая первая история такая. История то в чём?..
Повторюсь, GitHub — это крупный и очень полезный проект, но малвару и тут легко можно словить. Предупрежден — вооружен
AutoIt, да на гитхабе.
Однозначно — вирусы, которые мы заслужили.
Ну и 775 баксов за такое поделие даже как-то много.

Возникала ли где-то идея, чтобы туда нельзя было выкладывать свои бинарники, но их мог бы создавать сам ресурс из тех же исходников? Какие ещё будут недостатки кроме нагрузки из-за постоянной компиляции?

1. github не сможет обеспечить поддержку 100500 версий компиляторов, препроцессоров, make-систем. останется legacy-режим для старых проектов, либо их придётся сносить с сервера

2. Полный запрет бинарников приведёт к невозможности выложить что-то полезное (например, linux-ядра для телефонов с включениями проприетарных кусков). Так хоть что-то можно изменить и перекомпилить…

3. В релизных бандлах лежит не только exe-бинарник, а ещё help-файлы, readme, ресурсы (т.е. бинарники, как ни смотри). Всё это может быть собрано в инсталлятор и подписано ключом разработчика. приватные ключи тоже загружать на github?

4. Технически, такое ограничение элементарно обходится. Достаточно сделать «компиляцию» бинарного файла из текстового hex-дампа.
Only those users with full accounts are able to leave comments. Log in, please.