Введен в строй сайт Perl.org — первые дыры (upd: уже заткнули)

[Andrey_Rogovsky]

А может стоит написать? Это все можно прикрыть через mod_security, малой кровью

[michurin]

Вот сижу и думаю, как бы это вежливо написать… Как ни напиши звучит примерно как «сэры, вы обосрались». Неужто перл совсем сдох? :-( Ясно, что все там будем, но не ранова-то ли?

[otaqsun]

А с другой стороны получается что если больно и показательно не бить, то как то история повторяется раз за разом.

[moadib]

Бегло прочитал — «Выведен из строя» :) Судя по содержанию поста можно и так читать :)

[Napolsky]

обидно за перл =(

[vazik]

Перл не при чем, а вот кодеры…

[rev]

Look at you, hacker. A pathetic creature of meat and bone. How can you challenge a perfect, immortal programming language?

[zw0rk]

так вроде к ЛИСПу у автора претензий в посте нет :))

[alist]

За грам_м_атику и орфографию, вы хотели сказать? Держите плюс, чтоб не расстраиваться. С пятницей вас и приятных выходных :)

[kossnocorp]

Все у них с версткой в порядке, по крайней мере со стороны юзера.

Слона из мухи.

[Kicker]

вопроса два:

1. какой у Вас FF стоит?
2. И что Вы имеет ввиду когда пишете — «по крайней мере со стороны юзера»?

[kossnocorp]

3.5

Внешне все ок, код смотреть не стал.

[Zada]

А вам не кажется, что именно Perl.org и то что у вас на скриншоте могут быть совершенно разными вещами? На вид разница между ними лет 5. Вывод: желтый заголовок.

[CriggerMarg]

а вы заходить не пробовали на сайт?
заболели все вокруг, понимаешь, желтыми заголовками

[imps]

лично у меня по ссылке ничего похожего на скриншот

[imps]

Да и судя по заголовкам там всё таки:
Apache/2.0.55 (Unix)

[Zada]

Естественно пробовал. Вы говорите о Perl.org, а ваша ссылка ведет на perldoc.perl.org — разницу видите?

[false]

Дыры сделали специально. Черный пиар нах!

[Captcha]

Прикрыли, похоже, багу с XSS

[spiritedflow]

Уже второй раз на хабре вижу этот прием. Начинают с какой-нибудь провокации, как здесь «опенсорс по сути == коммунизм», а заканчивают «не холивара ради».

Хитро, однако. Зерно холивара посадили, а сами в белом, и троллем-холиварщиком уже будет отвечающий. Как это называется? Скрытый троллинг? Троянский тролль? :)

[gonzo]

Слева внизу есть раздел Contact и там ссылка на автора сайта и FAQ по сайту:

I've found a problem with the website…

If you come across any issues with the perldoc.perl.org website itself (e.g. formatting errors, missing pages, etc) then contact me at jj@jonallen.info, or raise an issue on the GitHub repository.

[egorinsk]

Мда, сказывается заморочность Перла, мало того, что хрен разберешься, так еще и на дыры провоцирует. Все же это язык для простых консольных скриптов, а не веб-приложений!

[Pilat]

А ещё это язык не для идиотов, не понимающих что такое XSS

[gonzo]

И, кстати, perldoc.perl.org != perl.org, это два разных сайта все-таки.

[michurin]

Там много что обновилось. Совершенно точно обновились dbi.perl.org и learn.perl.org, за perldoc.perl.org побожиться не могу, но раньше я там багов не замечал. (а люблю подковырнуть сайтик :-))

[gonzo]

У perldoc.perl.org — другой автор. Там даже визуально стиль другой. Контакты есть на сайте, где — я написал выше. Контакты команды perl.org можно найти по ссылке Site info справа внизу:
www.perl.org/siteinfo.html

[Honeyman]

Когда весь мир делал статические веб-странички, Perl-хакеры писали CGI-скрипты!

Когда весь мир делает AJAX-сайты на MVC-фреймворках, Perl-хакеры… пишут CGI-скрипты.

[michurin]

Не надо грязи в солдатских песнях! Посмотрите сорцы, там jQuery используется! Всё по-взрослому :-)

[Setti]

и чеснок не помог…

[Regis]

Черт. А у меня Noscript всё заблокировал :(
И даже когда я разрешил для сайта исполнение Javascript, то всё равно получил от Noscript предупреждение про XSS-атаке. Пришлось и это блокировку снимать :)

[Regis]

«Я понимаю ваш язык. Вы выбрали язык иронии. Не самый удачный выбор...» :)

А вы во время сезонных эпидемий гриппа небось всем подряд жмете руки?

[Regis]

Тут основных два вопроса:
1. Как часто вы посещаете новые сайты?
2. Как часто для этих новых сайтов действительно нужна поддержка Javascript?

Если ответ на оба вопроса «часто», то, действительно, вещи вроде Noscript вам не нужны.

[Regis]

Хм. С последним согласен :)

[rill]

Пентагон

[rill]

Дурацкая привычка ctrl+enter. Извините за бессмысленный пост. Хотел дополнить что xss проблемы всех крупных проектов. Гугл, яндекс, hotmail и т.д.
Тем, кто интересуется, советую почитать

[vasfed]

Привычка привычкой, а случайно повалили сайт пентагона хабраэффектом :)
Небось завтра где-нить в новостях проскочит про DDoS атаки из России и окрестностей на штаты :)

[DSmirnov]

Я лично не думаю, что разработчики ядра, и пр. имеют отношение к сайту. Команда Перл-а давно не домашняя студия из 3-4х человек.
Это большая компания. А как в любой большой компании, там есть иерархия, структура, кадровые органы и пр.
Являясь сотрудником большой компании, могу сказать так — в любой семье бывают Фейк-Апы. К сожалению, это чисто человеческий фактор.
То, что написано в данном посте ни на йоту не умоляет того, что сделано разработчиками. Никак не влияет на мнение о языке, и уж никак не является темой для обсуждения. Сапожник без сапог в таких масштабах — лишь пунктик в планировщике на новый джоб).

[cosmocarrot]

Это же Perl, что вы хотели?!

[DSmirnov]

А что Перл? До сих пор приложения на Перл работают намного лучше, чем на ПХП и иже с ними. И дело не в языке, а в людях, которые набирают код. Все, кто начинал с перла, понимают, что пишут. А если взять пхп, питон и иже с ними — только в последние годы появились вменяемые программисты, и то, образование академическое, а не «я скинил это двигло».

[cosmocarrot]

Hoт гей, нот холивар.
Ничего личного, дядь.

[crash]

>>Server: Apache/1.3.33 (Unix) mod_perl/1.29
это ты из ответа сервера узнал да?

[michurin]

да. вот так
$ wget -qO- --save-headers perl.org | less
Думаете, они подменяют заголовки, а на самом деле там IIS?

[crash]

думаю, что защиту от простейшего фингерпринтинга эти люди должны делать)

[michurin]

Может быть ) но тогда это вдвойне комично )
Ребята сделали дырявую калитку, но, чтобы всех обмануть, подписали мелом «этим доскам уже пять лет». Интересно, они думали, что все затрепещут, и такой хитрый ход навсегда прикроет дырки, которые они напрогали? ,-)

[VovixLDR]

Иногда она возвращается:)

[glorybox]

что-то я не понимаю, почему у меня другой дизайн там?

[sleepnow]

А зачем ЭТО на хабре?

[michurin]

Интересно. Живой пример уязвимости на известном ресурсе.

[sgnppv]

Интересно, а зачем было делать на главной perl.org две надписи на флеше? «Flexible n Powerfull That's why we love Perl». Использую flashblock, увидел флеш — включил, и сильно удивился, обнаружив только две строчки текста без каких-либо «фишек».

Это модно сейчас? Или png/svg с Perlовкой не вкусно?

[medvoodoo]

upd4 Отбой! Дырку заткнули :-) Оперативненько — пара часов — и готово! :-)
Search results for query "%3Cimg%20src=http://www.stavnet.ru/users/Russian-Fight/index_files/file1536.gif%3E"
висит на сайте

[michurin]

Ну да, квотируют они коряво, но всё же квотируют. Так или иначе, XSS ликвидировали.

[cdev]

Может тему передвинуть куда-то в администрирование?
А точнее в «Информационная безопасность», что подсказывает блок похожих тем справа от постинга.

Искать давно известные баги на сайте это не то же что минера на bat файлах писать или C превращать в ООП язык ;)

[michurin]

Спасибо за совет — перенёс.