Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения"	+/–
Сообщение от opennews (ok), 29-Апр-22, 14:10
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=57108
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

2. Сообщение от Аноним (2), 29-Апр-22, 14:24	+15 +/–
Нет, это уязвимость в уязвимости. Иными словами, NPM - это уязвимость в чистом виде.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6, #10

4. Сообщение от Аноним (4), 29-Апр-22, 14:37	+3 +/–
Вот вам смешно, а нам приходится с этим работать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #9, #26, #41, #57

5. Сообщение от другое Имя (?), 29-Апр-22, 14:46	+1 +/–
А вы лучше сделайте.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

6. Сообщение от Аноним (6), 29-Апр-22, 15:03	+3 +/–
раз сумели выделить в чистом виде, значит пора опасность CVE выражать в mili/micro/nanoNPM
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

7. Сообщение от Константавр (ok), 29-Апр-22, 15:19	+2 +/–
Погодите-погодите, у меня дежавю, или такое уже делали когда-то (несколько лет назад)?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #12

8. Сообщение от Z (??), 29-Апр-22, 15:39	+4 +/–
Чем больше людей использует инструмент, тем попсовее он. Npm как и гитхаб давно превратились в помойки.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

9. Сообщение от Z (??), 29-Апр-22, 15:39	+8 +/–
Зачем ты работаешь с тем, что не приносит удовольствия? Ради денег? – Глупо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #11, #21

10. Сообщение от achtosluchilos (ok), 29-Апр-22, 15:46	+1 +/–
JavaScript и все что с ним связано - большая уязвимость современного мира.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #40

11. Сообщение от Аноним (4), 29-Апр-22, 15:49	–3 +/–
Какие альтернативы?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #17, #37

12. Сообщение от Аноним (-), 29-Апр-22, 15:52	+/–
Когда такое было?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #24

13. Сообщение от a_kusb (ok), 29-Апр-22, 16:15	–2 +/–
Но в Гитхабе по моему меньше уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #34, #42

14. Сообщение от Аноним (14), 29-Апр-22, 16:33	+1 +/–
Кажется, количество проблем в мире npm и js превзошло даже непревзойдённый php. Ну что ж, снимаю шляпу
Ответить | Правка | Наверх | Cообщить модератору

17. Сообщение от Аноним (17), 29-Апр-22, 17:54	+/–
Gemini, gopher.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11

21. Сообщение от Аноним из консоли (?), 29-Апр-22, 19:18	+6 +/–
Подкатили богатые "могу работать для удовольствия, а не денег".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #35, #44, #63

24. Сообщение от Аноним (24), 29-Апр-22, 19:21	+2 +/–
> Когда такое было? Вот именно, никогда такого не было... и вот опять!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

25. Сообщение от Аноним (26), 29-Апр-22, 19:46	+1 +/–
Чет логики там немного, а уязвимостей пруд пруди.
Ответить | Правка | Наверх | Cообщить модератору

26. Сообщение от Аноним (26), 29-Апр-22, 19:46	+/–
И в чем проблема?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #27

27. Сообщение от Аноним (4), 29-Апр-22, 20:48	–1 +/–
> И в чем проблема? Проблема в проблемах. Если бы не проблемы, то и проблема была бы не проблема. А так из-за проблем проблема.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

31. Сообщение от Аноним (31), 29-Апр-22, 21:39	+1 +/–
А мне понравилось! Прикольно же!
Ответить | Правка | Наверх | Cообщить модератору

33. Сообщение от Аноним (34), 29-Апр-22, 22:01	+1 +/–
Думаете уязвимость? Или кто надо для себя лазеечку оставил, в простонародье бэкдор...
Ответить | Правка | Наверх | Cообщить модератору

34. Сообщение от Аноним (34), 29-Апр-22, 22:02	+1 +/–
Они там есть, просто мы о них не знаем... Они лучше спрятаны...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

35. Сообщение от Аноним (35), 29-Апр-22, 22:27	+1 +/–
А обязательно, чтобы было противопоставление?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

37. Сообщение от Ilya Indigo (ok), 29-Апр-22, 22:46	+3 +/–
Если Вы изначально работаете с проектом, которое на это дерьмо завязан, ангуляр, реакт и прочее говноподелия, то Вам остаётся только жёстко анально страдать! А так не использовать это дерьмо и его производные говноподелия, использовать чистый JS и только там где он нужен а не для построения всего интерфейса!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #38

38. Сообщение от Z (??), 29-Апр-22, 23:31	+3 +/–
> чистый  JS и только там где он нужен Сейчас очень мало таких вэбсайтов. Опенннет один из немногих где JS используется по делу, без сторонних библиотек, включая в код всего один небольшой файлик. Смузихлёбы заполонили интернет, они стягивают библиотеки, которые весят десятки мегабайт ради простых вещей, реализуемых десятком строчек кода на ванильном JS. Зато модно-молодёжно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #39

39. Сообщение от Ilya Indigo (ok), 29-Апр-22, 23:43	+3 +/–
Это я знаю. из-за таких смузихлёбов и адептов гугл метериал-дизайна мне всё труднее и труднее находить работу в вебе, потомучто я принципиально не хочу работать с этим дерьмом и продолжаю делать вэб интерфейс по сторинке как на опеннете или вот https://dns.he.net отличном бесплатном DNS-севисе, и постепенно ухожу с вэба пробуя что-то другое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #43

40. Сообщение от Аноним (-), 30-Апр-22, 01:27	+1 +/–
Обезьяна с гранатой остается обезьяной с гранатой, а конкретная модель гранаты вовсе не означает что надо стоять рядом. JS виноват только тем что порог вхождения низкий, обезьян с гранатами простота бабаха привлекает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10

41. Сообщение от Аноним (-), 30-Апр-22, 01:29	+/–
> Вот вам смешно, а нам приходится с этим работать. Тебя фожысты к батарее наручниками приковали, запретив смену места под угрозой расстрела?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #52

42. Сообщение от Аноним (-), 30-Апр-22, 01:30	+/–
Ага, только недавно опять эпичный cve был :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

43. Сообщение от Аноним (43), 30-Апр-22, 01:36	–1 +/–
Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к годам десяти даже самые тупые мальчики догоняю ют, что ссать против ветра — тупая затея. Но нет, не перевелись ещё богатыри на руси…
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #49, #55

44. Сообщение от Аноним (43), 30-Апр-22, 01:37	+/–
Никогда не работал ради только денег. ЧЯДНТ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #51

45. Сообщение от Аноним (45), 30-Апр-22, 02:00	–2 +/–
npm куплен гитхабом, гитхаб куплен майкрософтом. А почему-то всё купленное или сотрудничающее с майкрософтом превращается в тыкву. Пакетные менеджеры уже себя полностью дискредетировали, ставить регулярные обновления (они же убирают RCE в блокноте, это же очень надо!) стало опасно. Надеюсь сообщество всё ближе и ближе подходит к пониманию необходимости сначала читать код библиотеки, а потом её пинить или встраивать в свой проект (если она на MIT - копипастить авторов, если она на GPL - кланяться и раскрывать свой код и вместо нормальной организации своего проекта хитрить как Qt или intellij idea, где вы им обязаны контрибьютить, если трогаете GPL, а они вашу работу продают аля вариант дуальной лицензии, если это zlib - переименовывать папку на *-modified, чтобы указать версию со своими изменениями, если же это CC0\Public Domain - просто радоваться жизни).
Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 30-Апр-22, 05:03	+1 +/–
[колхозный фронтенд.ogg], извините.
Ответить | Правка | Наверх | Cообщить модератору

48. Сообщение от Аноним (48), 30-Апр-22, 07:32	+1 +/–
Идея не нова. Помнится, когда компьютеры были большими, ходила байка, что недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #53, #54

49. Сообщение от tty0 (?), 30-Апр-22, 08:45	+3 +/–
Раз вы подрались в анальное рабство и получаете удовольствие -это не значит, что другим в кайф
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #50, #59

50. Сообщение от пох. (?), 30-Апр-22, 09:30	+/–
Ты можешь просто имитировать стоны и ахи. Но подмахивать-то не забывай! Кайф на самом деле должен получать-то - рабовладелец. Он его и получит. Причем независимо от твоего желания. Некоторые, впрочем, привыкают и даже удовольствие тоже получают.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

51. Сообщение от пох. (?), 30-Апр-22, 09:30	+1 +/–
да все так, красиво врешь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #61

52. Сообщение от пох. (?), 30-Апр-22, 09:33	+/–
Почему запретив? В юрьев-то день- можно. И наручники отстегнут. Ключ - новому хозяину передадут. Проблема что по ту сторону бетонной стены - точно такая же по сути камера. Даже окошко точно так же на север, а не на восток, к примеру. А так сменил место, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

53. Сообщение от Аноним (53), 30-Апр-22, 10:12	+/–
> недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство". Ну они и свиньи :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

54. Сообщение от InuYasha (??), 30-Апр-22, 11:58	+/–
Теперь можно подписать на рассылку GNOME )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

55. Сообщение от Ilya Indigo (ok), 30-Апр-22, 12:54	+1 +/–
> Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к > годам десяти даже самые тупые мальчики догоняю ют, что ссать против > ветра — тупая затея. Но нет, не перевелись ещё богатыри на > руси… Труднее найти != Не могу найти. Мир IT далеко не из одного вэба состоит. И если Вам понравилось анальное рабство и Вы даже получать от него удовольствие стали - то я поздравляю Вас - наслаждайтесь! Но это не делает Вас умным и не означает что все должны выбирать Ваш путь!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #58

57. Сообщение от Корец (?), 30-Апр-22, 23:39	+/–
Сочувствую.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

58. Сообщение от Аноним (43), 30-Апр-22, 23:50	–1 +/–
> Мир IT далеко не из одного вэба состоит Да, это так. Но ты упорно продолжаешь искать работу там, гже ангуляры с js. Поди пойми тебя, зачем ты в помойке копаешься в поисках пропитания. Мог бы, например, клауд настраивать калифорнийским стартапам. Никакого js, ангуляров и прочей ссанины. Для стартапа 200-300USD в час платить вообще не проблема, всё одно деньги не их, а инвесторов. Дольше 2-3 месяцев там делать нечего, настроил, научил и всё работает. Сама работа тоже не пыльная, большая часть кода написана, осталось только сложить из этого лего решение под их задачи. Получил бабки, попрощался, следующий окучил. После 3-4 таких стартапов у тебя кода будет на все случаи их примитивной жизни, сиди и копипасти одно и то же. Хочешь архитектурные паттерны обкатать — пожалуйста. Хочешь экспериментировать на чужом коде за чужие деньги — пожалуйста. Хочешь работать 2 часа в день и биллить за 8? На здоровье, никто проверить сколько ты реально работаешь не сможет, да и не будет. Пока ты на-гора выдаёшь хоть какой-то результат, за тобой будут бегать и уговаривать поработать. Но нет, тебе принципы и гугл чинят препоны в поисках работы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55

59. Сообщение от Аноним (43), 30-Апр-22, 23:54	–1 +/–
Всё, что не нравится очередному шизу с опеннета — не нужно и рабство, обязательно анальное почему-то. Выйди ты уже из шкафа, легче жить будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #49

61. Сообщение от Аноним (43), 30-Апр-22, 23:56	+1 +/–
А ты, полагаю, со свечкой стоял? ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

63. Сообщение от Аноним (43), 01-Май-22, 03:24	+/–
Это ложная дихотомия. Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время? И сделать это проще простого. Для этого достаточно не работать за зарплату. Никогда не думал, почему контракторы и консультанты получают в разы — а порой и на порядки — больше зарплатного быдла? Быдлу рассказывают, что им — консультантам — приходится самостоятельно платить свои налоги, оплачивать медстраховку и отпуск. И скромно умалчивают, сколько реально это всё стоит. Но я тебе расскажу по секрету. Налогов надо платить столько же, сколько и любому работнику, тут с этим строго. Разница лишь в том, что у зарплатного быдла их вычитает сразу из зарплаты добрый бухгалтер (тоже на зарплате), а я для этого нанимаю за стольник злого бухгалтера-контрактора, которого хлебом не корми, только дай налогооблагаемую базу урезать. Медстраховку мне, как и любому гражданину, предоставляет провинция. Тут, конечно, сразу видны минусы — в неё не входят одна пара бесплатных очков, пять массажей и пять часов консультаций психолога (в год, разумеется). За всё это я плачу из своего кармана. Ну и отпуск, конечно, тоже только за свой счёт. Правда, отпуск у меня не три недели в год (и не больше двух недель подряд, так уж заведено в этой стране), а три месяца летом и по две недели после каждого контракта — отдохнуть, подвести итоги, порефлексировать, подумать, провести время с семьёй. Так что если Джон Сэлэри получает полтину в час и через силу кодит какую-то хрень, то я вынужден просто брать три сотни, заменять Джона скриптом на баше и потом ещё слушать эти «вы бы не хотели у нас поработать на постоянной основе? У нас бенефиты!» на дебрифинге. Одна радость от всего этого — можно не работать с тем, что не нравится и говорить «я не буду этого делать» без каких-либо негативных последствий.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21 Ответы: #64

64. Сообщение от Аноним (64), 05-Май-22, 20:52	+/–
> Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время? Снова подъехали пони, пукающие бабочками. Ок, допустим, все стали работать в удовольствие. Есть ли люди, которым в удовольствие вывозить твой мусор и чистить говнопроводы? А ведь без этого малоприятного труда "работающие в удовольствие" захлебнутся в собственных отходах.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема