Комментарии 16
Если они есть, то ВПО засыпает на 20 и 30 секунд соответственно
Слышал звон про уязвимости с симлинками?
Вопрос Автору — а почему упор именно на GitHub?
Типа в нем разделы download чем-то кардинально отличаются от других сайтов?
Ну, собственно анализ сырцов тут совсем краткий: "Изучение исходного кода… не дало никаких результатов". Или — если еще короче — "сырцы ниасилил".
Поэтому автор героически слил откуда-то (не с гитхаба) какой-то левый экзешник и начал его героически ковырять.
После чего объявил, что гитхаб — немец.
PS. эх, молодежь… Не умеет жарить заголовки совершенно. Учились бы у Ализара — там так легко за базар не притянешь.
1) Уважаемый justhabrauser, после фразы «не дало никаких результатов» следует еще два предложения и два скриншота, объясняющие, почему изучение исходников — это тупик. Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.
2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.
ПыСЫ Что касается указанных вами загов, посмотрели — не огонь, обычные стандартные глагольные новостные заги. На вкус и цвет как говорится)
Поясню: сорцы опубликованы левые. Они не имеют никакого отношения к исследуемой утилите.
В чем смысл тогда их упоминать?
2) Что касается «левого экзешника»: githubusercontent[.]com, откуда был изначально скачан файл одним из наших клиентов — это домен GitHub, о чем прямо написано в посте.
Демонстрирую: только-что специально для вас кто-то загрузил на сайт Fedora project некую "вредоносную программу". Только-что (там время UTC), специально для Вас. Кто загрузил — загадка. Что там — непонятно (на самом деле это 7-zip x64 9.20).
Домен принадлежит Fedora project (а можно взять и выше — Red Hat).
Вывод: Fedora project == немцы?
После чего объявил, что гитхаб — немец.
GitHub — это крупный и очень полезный проект, кто же спорит, но малвару и там можно словить
А тут банально, скачал какой то бинарник и схватил вирус. Ну каждая первая история такая. История то в чём?..
Однозначно — вирусы, которые мы заслужили.
Ну и 775 баксов за такое поделие даже как-то много.
Возникала ли где-то идея, чтобы туда нельзя было выкладывать свои бинарники, но их мог бы создавать сам ресурс из тех же исходников? Какие ещё будут недостатки кроме нагрузки из-за постоянной компиляции?
2. Полный запрет бинарников приведёт к невозможности выложить что-то полезное (например, linux-ядра для телефонов с включениями проприетарных кусков). Так хоть что-то можно изменить и перекомпилить…
3. В релизных бандлах лежит не только exe-бинарник, а ещё help-файлы, readme, ресурсы (т.е. бинарники, как ни смотри). Всё это может быть собрано в инсталлятор и подписано ключом разработчика. приватные ключи тоже загружать на github?
4. Технически, такое ограничение элементарно обходится. Достаточно сделать «компиляцию» бинарного файла из текстового hex-дампа.
Чужой код — потемки: чем опасно скачивание «безобидного» софта с GitHub