Pull to refresh
25
Karma
0
Rating

Пользователь

Пресечена попытка встроить бэкдор в репозиторий PHP

Насколько я понимаю коммит был сделат от имени Расмуса Лердорфа, но не из под его учетной записи. Посколько команда РНР не работает полностью в ГитХабе, а, я так понимаю, зеркалирует на гитхаб из своего репозитория, то на гитхабе мы видим его аккаунт как контрибьютора, но это скорее всего глюк синхронизации с основным репозиторием.
Комит является атакой, поскольку он уже «прошел» и «замержился» и уже потом всплыл на ГитХабе, где его и «поймал» чешский программист.
Если в период с момента появления комита, кто-то загрузил себе исходники и скомпилил их, то он возможно получил бэкдор в свой PHP. Просто в мире не так много разработчиков, которые компилируют рнр из исходников. Часто они берут уже готовые бинарники, а бинарники в свою очередь поставщики компилят тоже не каждый день, а только по-праздникам при выходе новых релизов и/или важных патчей. Поэтому да, ущерб был нанесен минимальный, но если бы уязвимость вовремя не обнаружили, последствия могли быть весьма плачевными.
Данную атаку нужно также рассматривать как атаку на цепочку поставок. И своевременное обнаружение в данном случае показало прореху в безопасности используемого ПО репозитория, на что и обращает внимание Никита, говоря о том что команда перейдет на использование более безопасного GitHub.

50 лет Паскаля

Я не уверен что это вина языка. Сегодня выбор языка обусловлен не только самим языком но и его «обвеской»: фрэймворки, библиотеки для доступа к другим системам, драйвера, IDE, средства статического анализа и прочая и прочая. Думаю с самим языком ничего такого страшного не случилось. Просто не успел в свое время набрать достаточной массы чтобы коммьюнити и монстры вложились в его разработку.

Square купила биткоинов на сумму $170 млн

Это все зависит от точки зрения.
Почему кто-то в своем уме предпочитает рассчитываться в USD стоимость которого падает по отношению к BTC со скоростью ракеты? ;-)

CI/CD — обещания и реальность

в отличии например от автоматического деплоя который может совершенно внезапно решить обновить контейнера в кубернетесе именно в момент пиковой нагрузки

У нас с Вами разные представления об автоматическом деплое. У меня в голове автоматический деплой настроен правильно и обкатан и потому не может выполнять никаких «внезапных» действий.

CI/CD — обещания и реальность

Вопрос только в том, как ручной деплой раз в месяц повышает надежность и снижает риски относительно нормально настроенного автодеплоя (в пайплайн которого хорошо бы включать и интеграционные и регрешн и енд-то-енд и нагрузочные тесты)?
По мне ответ: никак. Просто собирается вся команда в день Х и, судорожно сглатывая, нажимает на кнопку. А результат одинаковый: либо упадет, либо нет.

ZX Spectrum из коронавируса и палок (на самом деле, не совсем)

Дорогу осилит идущий! Начните, попробуйте! Не боги горшки обжигают!

Фирмы используют баг-баунти, чтобы купить молчание хакеров

По прежнему не понимаю, почему исследователи уязвимостей — это какая-то особенная каста людей, которых нельзя заставлять подписывать NDA.

Кто и где написал и сказал что есть какая-то каста и что какая-то категория людей (исследователи) требуют к себе особого отношения после подписания NDA?
Это ваша личная интерпретация. Поэтому вы и не можете понять суть «претензий».
А суть из сводится к тому что NDA вообще не нужен и вреден для отрасли и для общества. А соглашение о неразглашении на срок решает реальную проблему что дыру надо сначала залатать, и его наличие было легко объяснимо когда начинались все эти баунти программы.
И не понимаю, чем конкретно такой NDA вреден обществу. По такой логике любой NDA вреден обществу.

Вам кажется что это риторический вопрос. А вот моя позиция и позиция многих сторонников свободного ПО и многих ученых из других областей — да NDA вреден обществу вообще. Для развития науки и техники человечество должно абсолютно свободно обмениваться информацией об исследованиях, достижениях и разработках.
Давайте великодушно поделимся с парнями с востока чертежами ядерных боеголовок.

Вы снова исходите что это риторический вопрос. А как вы отреагируете если я отвечу — давайте? Я не верю что на планете есть страны или нации более достойные обладать какими-то технологиями. То что страны находят предлоги чтобы не делиться ими — не делает им на самом деле чести. Многие страны в мире хотели бы использовать атомную энергию в мирных целях, но им показывают кукиш, прикрываясь заботой о безопасности. А реальные террористы — им не нужна особо технология, они покупают сразу готовое «изделие» или партию и им этого достаточно чтобы посеять панику и навести ужас и страх. И это мы говорим только об атомной энергии. А вы считаете правильным что какие-то алгоритмы шифрования запрещены к раскрытию правительством Штатов? И еще тысячи и тысячи технологий просто заживо погребены под печатью секретности во всех странах мира в институтах и на предприятиях «закрытого типа»?

Разглашение неисправленной уязвимости с инструкцией к ее эксплуатации (как это обычно бывает) — значит причинение вреда компании и ее пользователям.

Что вы называете вредом?
Давайте представим гипотетическую ситуацию. Есть компания Груша. Она производит некое устройство для связи и рекламирует его как самое надежное и безопасное в мире. Люди и в том числе госоорганы разных стран покупают это средство связи. Компания говорит что их безопасность растет из года в год, потому что они проводят постоянный аудит третьими компаниями и независимыми экспертами и улучшают безопасность.
И тут какой-то исследователь обнаруживает, что на самом деле много уязвимостей обнаруженных в прошлом не устранены, что компания «симулирует» безопасность но их продукт имеет много дыр и они вяло реагируют на новую серьезную брешь которую он обнаружил.
Вы всерьез считаете что опубликовав это, он принесет вред пользователям компании? Или все же удар будет по репутации и финансам самой компании? А конечные пользователи все же скажут спасибо и будут сами решать стоит ли продолжать пользоваться этими средствами коммуникации или будут искать альтернативы?

Мое мнение — заплатив исследователю, компании вправе решать, хотят ли они оглашать информацию, касающуюся их продуктов.

Ваше мнение — ваше право. Юридически она вправе даже НЕ ЗАПЛАТИВ. Вы постоянно упускаете что NDA подписываетеся еще до того как что-то найдено, и именно против этого направлена данная статья. Что если я оцениваю уязвимость как критическую и стоящую 1 000 000 баксов, а мне пришел ответ: «спасибо мальчик, это не баг, а фича» или «вот тебе 5 баксов, заткнись и иди отсюда»?

Фирмы используют баг-баунти, чтобы купить молчание хакеров

NDA подписывается в момент когда вы начинаете работать по проекту, а не в момент нахождения уязвимости. Нашли вы что-то или нет, не важно. Вас изначально обязывают молчать.

Фирмы используют баг-баунти, чтобы купить молчание хакеров

Вы это кому конкретно предлагаете?

С точки зрения обывателя — обывателю пофиг будет оно опубликовано или нет.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет.
С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно. А если он хочет на этом примере студентов обучать? На конференциях как пример приводить? Книгу выпустить? Опять же опубликовав что-то интересное авторитет такого исследователя возрастает в сообществе. Это выгодно и ему самому и его потенциальным заказчикам, которые знают к кому стоит или не стоит обращаться с заказами. Это такое «портфолио» спеца. И ждать 3 года пока рак на горе свистнет ему не очень интересно.
С точки зрения инвесторов которые вложились в контору, они заинтересованы в реальном и качественном управлении, а не в симуляции такового. Краткосрочно акции может и просядут, но долгосрочно если контора правильно встроит систему реагирования на угрозы в свои процессы и обеспечит прозрачность, то останутся довольны и акционеры и конечные пользователи.

Так что в итоге дело не в 90 днях или 3х годах. Дело в отношении компании к безопасности и прозрачности как таковой.

Фирмы используют баг-баунти, чтобы купить молчание хакеров

Потому что деньги платят не за молчание, а за проведенное исследование и сообщение об уязвимости. Изначально подразумевалось, что компания получит такой сигнал. заплатит исследователю, залатает дыру, сообщит в релиз ноутс, что такая-то уязвимость была закрыта. А после этого исследователь волен рассказывать о своем исследовании где угодно: в институтах, книгах, блогах, конференциях, на ТВ. Потому что это уже не опасно, но очень познавательно и полезно для сообщества.
А тут получается что многие компании просто платят за молчание. Ничего не исправляют. А если исправляют, то втихую или не вовремя. А рассказывать запрещают, даже когда все исправлено и мхом поросло. А это плохо для всех.

Фирмы используют баг-баунти, чтобы купить молчание хакеров

Вы не учитываете во-первых менталитет. На западе менталитет и культура с обеих сторон другая чем на просторах СНГ.
Если рассуждать как вы то вообще DNA не имеет смысла, потому что всегда можно придумать способ и рассказать. Но реальность такова что обычно, если на западе человек что-то говорит, а тем более подписывает, он не считает себя в праве нарушать слово. Он ЗАКОНОПОСЛУШНЫЙ гражданин. И если кто-то с чем-то не согласен он не ищет способ нарушить DNA или любой другой подписанный документ. А ищет способ изменить систему, изменить законы или не подписывать неудобные для него и ограничивающие его свободу бумажки.
В этом вся суть разделения белых и черных шляп. Белые — они законопослушные, но все же честолюбивые, и часто в свободное время все же черные :-) ну или серые.

«Как в „Черном зеркале“»: Стартап Bird уволил более 400 сотрудников во время вебинара Zoom

У многих аспирантов там еще долги за обучение могут висеть полмиллиона-миллион. Так что пока приличную работу не найдут — они далеко не миллионеры.

Я вообще тоже пока в Канаду не перебрался — думал это все «антураж» в фильмах и сериалах. А потом до меня дошло — они довольно точно отражают реальность и соответствуют действительности. И это жесть.

Сноуден: пандемия закончится, а слежка за населением останется

Я нигде не соглашался с тем что полиция в большом городе автоматически становится преступной. Я всего лишь выразил свое несогласие с тем что полиция при любых обстоятельствах должна становиться беспринципной и уж тем более преступной. На мой взгляд полиция при всегда должна следовать букве и духу закона.

Все ваши допущения и ваш взгляд на реальность остаются вашими и просьба меня к ним не пристегивать. Я не согласен, что коррумпированность полиции автоматически вытекает из размеров агломерации. Коррумпированность полиции как и любых других органов власти проистекает из морали общества и стандартов справедливости принятых этим обществом.
Например рассказывают что в Токио вы можете оставить сумку на тротуаре без присмотра на несколько часов — затем вернуться и найти ее на том же месте. А Токио таки довольно большой город. И я уверен что в большинстве маленьких городов СНГ такое невозможно (обязательно кто-то возьмет и как минимум украдет деньги, а может и все остальное). И это не связано ни с законами, ни с коррумпированностью полиции. Это связано с менталитетом общества здесь и сейчас. Это считается просто нормальным.

Сноуден: пандемия закончится, а слежка за населением останется

Нет, не понимаю. Если полиция становится беспринципной, то она перестает быть полицией и становится организованной преступной группировкой. А вот с тем что в поселке, особенно изолированном от остального мира, полиция возможно и не нужна совсем, я мог бы и согласиться.

Сноуден: пандемия закончится, а слежка за населением останется

Никому не пожелаю попасть в такую ситуацию. Жесть.

Сноуден: пандемия закончится, а слежка за населением останется

Странно, что Сноуден не намекнул на искусственное происхождение коронавируса.

Мне кажется такие люди как Сноуден не любят выдвигать гипотезы и огульно обвинять непонятно кого. У него видимо нет никаких причин (документов, информации) о том что вирус создан искусственно и выпущен умышлено. Я бы в этом смысле я бы ждал новостей от Джулиана Ассанжа. Но похоже ему тоже крепко досталось и он не в той форме чтобы нам что-то рассказать. Ждем следующего героя с яйцами.

Сноуден: пандемия закончится, а слежка за населением останется

Кстати да, почти 20 лет. Хорошая пауза чтобы народ привыкал постепенно т не сильно возмущался. Хотя я думаю могли бы и почаще, народ уже все «схавает». Не вижу причин церемониться. Скоро свобода останется только в книжках.

Как мы заморочились по фрикулингу для дата-центра и что из этого вышло

Возможно ли как-то компенсировать энергозатраты использованием солнечных панелей как раз в летний период?

ASCII игра — компромисс аутентичности и удобства

Присоединяюсь.

Есть ссылка на гитхаб?

Сколько весит бинарник? Ведь один из аргументов такого рода текстового движка — что не нужно хранить графические элементы, а хранится только пару байт текста на каждый игровой объект. Разве нет?

1С: Ассемблер — пишем чистый байт-код для стековой машины 1С: Предприятие

Там и перспективы выше, и условия лучше, и задачи интереснее.

Не согласен только с последним. Задачи в гуглоандексах могут оказаться вполне тривиальными, ну или рутинными. Интересные задачи не появляются в каких-то особенных компаниях, интересные задачи — они повсюду. Реверс-инжинирить 1С вполне себе интересная задача, даже если за нее не дадут повышение и не повысят зарплату. Это просто интересная задача.

Information

Rating
Does not participate
Location
Montreal, Quebec, Канада
Date of birth
Registered
Activity