Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Утечка 800 млн email через СУБД MongoDB сервиса подтверждени..., opennews (?), 08-Мрт-19, (0) [смотреть все] В MySQL Mariadb открыть такой доступ геморой, а в MongoDB видимо закрыть такой, asdasd (?), 10:02 , 08-Мрт-19, (1) +15 // Веб-мартышки, сэр , Аноним (2), 10:21 , 08-Мрт-19, (2) +22 // Плевать на то что база жопой в интернет торчит, за то у нас куберннтис и микросе, Аноним (4), 10:27 , 08-Мрт-19, (4) +41 // Докерки, кубернетисы и прочие графаны - уже давно синоним голого зада, торчащего, Аноним (19), 17:06 , 08-Мрт-19, (19) +3 А графану-то за что , asand3r (ok), 17:57 , 08-Мрт-19, (20) он перечислил технологии за незнание которых его развернули на прошлом собеседов, annual slayer (?), 19:48 , 08-Мрт-19, (22) +3 А всё за тоже brainlessware, Онаним (?), 20:10 , 08-Мрт-19, (25) А конкретика есть А то я как раз думал рассмотреть эту графану , Q2W (?), 09:48 , 09-Мрт-19, (37) Так рассматривай, чего ты слушаешь всяких И зперечимсленного я щкпал только док, Аноним (43), 13:44 , 09-Мрт-19, (43) +2 сцк, вечно я вместе с й tab нажимаю документации, а не статеек типа как за т, Аноним (43), 13:47 , 09-Мрт-19, (44) Графана это вообще не про хранение данных, а их визуализацию Докер - отличная н, Аноним (45), 16:07 , 09-Мрт-19, (45) ну, короче, добрый совет - рассматривай ее в виде виртуалки благо, ресурсов нуж, пох (?), 22:22 , 09-Мрт-19, (52) +2 Вот, дельный пост , Онаним (?), 10:14 , 10-Мрт-19, (54) конкретней можно о чем вы мыслю свою излагаете больше похоже на понос, ворапдфр (?), 03:54 , 11-Мрт-19, (74) –3 А если смотреть глубже то в веб все переносят На луркморе были правы Планшеты-те, Последний из могикан. (?), 14:44 , 05-Мрт-21, (91) Ненавидимый вами кубернетес как раз-таки требует явной конфигурации сервиса, кот, Anonim (??), 21:13 , 08-Мрт-19, (27) –1 Видимо комментарий был о том, что акцент делается не на архитектуру, при которой, Аноним (4), 00:06 , 09-Мрт-19, (33) +1 Тему раскрой Просто в кубернетесе по умолчанию ничего не доступно снаружи Ну, , Лапчатый девляпс бубунтёнак (?), 10:47 , 09-Мрт-19, (40) –2 Очевидно что вэб-мартишки думают, что кубернетис сделает все за них Отсюда дефо, замзибор (?), 06:26 , 10-Мрт-19, (53) Раскрываю взяли докерок, взяли кубернетю, взяли либо со стора либо вообще с как, Онаним (?), 10:16 , 10-Мрт-19, (55) Просто бессмысленный вой Ну понятно С таким же подходом можно доверять только с, Лапчатый девляпс бубунтёнак (?), 11:09 , 11-Мрт-19, (75) –1 Проблема в том, что это были С-гуру , Аноним (5), 10:30 , 08-Мрт-19, (5) –4 // из личного опыта видел бы баш скрипты или конфиги, написанные С-гуру вместо хотя, annual slayer (?), 19:50 , 08-Мрт-19, (23) +3 Видел как ужасные так и вполне нормальные, от знание СИ корреляции не заметил, н, Аноним (32), 23:54 , 08-Мрт-19, (32) +1 зато есть корреляция качества скриптов к тому, является их писатель админом или , annual slayer (?), 14:12 , 11-Мрт-19, (79) +1 ну в целом так и есть - с поправкой что если бы ты манд монгу использовал так , пох (?), 10:27 , 08-Мрт-19, (3) –2 // На себя посмотрел бы, де билл Они придумали всё это , а тебе выдали вантуз , Лапчатый девляпс бубунтёнак (?), 10:39 , 09-Мрт-19, (38) –1 // В чём проблема хранить и даже успешно ворочать несколько терабайт в мускуле Зна, Онаним (?), 10:18 , 10-Мрт-19, (57) в том, что это делают только идиоты , arisu (ok), 10:44 , 10-Мрт-19, (60) +1 это все очень здорово в эпоху одноразовых инстансов с плавающими айпишниками, ра, пох (?), 11:04 , 10-Мрт-19, (61) +1 Смысл сего воя - раньше трава была зеленее, они не такие как мы, и потому - вино, Лапчатый девляпс бубунтёнак (?), 11:11 , 11-Мрт-19, (76) –1 Вы админку Амазона хоть раз видели По умолчанию в ней доступ ко всем сервисам з, Анонимус2 (?), 22:08 , 13-Мрт-19, (89) Это да Уже лет 10 как понятно, что сервисный софт с низким порогом вхождения по, Онаним (?), 10:17 , 10-Мрт-19, (56) +1 Знаешь пох, я таки понял почему ты пишешь во всех подряд новостях - это потому , Аноним (84), 14:18 , 12-Мрт-19, (84) // 171 Здесь так принято 187 На третий день Зоркий Глаз заметил, что у сарая н, анонн (?), 16:49 , 12-Мрт-19, (85) у нее есть мануал Ну посмешили У нее есть невразумительная гуановика с неочев, пох (?), 17:13 , 12-Мрт-19, (86) А iptables уже отменили , microcoder (ok), 15:55 , 08-Мрт-19, (18) // Так это думать надо, готовый тяпляпбук не скачаешь , Аноним (29), 22:08 , 08-Мрт-19, (29) // Шо Не верю Сам же пишу тяпляпбуки в большом количестве Может ты это, ртфм сде, Лапчатый девляпс бубунтёнак (?), 10:43 , 09-Мрт-19, (39) –1 так уже ж полгода как - правда, пока объявили deprecated еще учти что у тру-девл, пох (?), 18:49 , 09-Мрт-19, (46) +1 // И без докера ты это не умеешь Молодец , Лапчатый девляпс бубунтёнак (?), 19:51 , 11-Мрт-19, (80) –1 Вы будете смеяться, но он уже не молодежно , КО (?), 19:33 , 10-Мрт-19, (65) // Наверное я отстал от жизни Что сегодня модно вместо iptables , microcoder (ok), 20:50 , 10-Мрт-19, (72) вместо - nft Но nft приличные люди давно уже не носют, нам нужно больше трэша и, пох (?), 22:10 , 10-Мрт-19, (73) О, ещё один, выставляющий базы наружу У нас такое в впн заворачивают, вообще-то, Лапчатый девляпс бубунтёнак (?), 10:50 , 09-Мрт-19, (41) –1 // на каждом амазонском инстансе у тебя по vpn у И как там монга - не тормозит P S, пох (?), 18:54 , 09-Мрт-19, (47) +2 // Я там где-то выше писал о том, что внутреннее - внутри, а наружнее - снаружи Во, Лапчатый девляпс бубунтёнак (?), 11:12 , 11-Мрт-19, (77) а, ну тогда просто подожди - придет тимлид разработчиков и прикажет немедля пере, пох (?), 11:29 , 11-Мрт-19, (78) Ты просто не на месте, вот и истекаешь жёлчью Бросай эти линуксы, иди на мсдн и, Лапчатый девляпс бубунтёнак (?), 20:03 , 11-Мрт-19, (81) я-то как раз на своем месте, оно к девляпсам с гентами и лепке костылей на squas, пох (?), 13:20 , 12-Мрт-19, (82) Судя по всему - это облако У нормальных людей БД наружу не торчит, только API , SubGun (ok), 11:56 , 09-Мрт-19, (42) // Ну вот у них API самой монги и торчало, муахаха Видимо, решили, что DB API - то, Онаним (?), 10:21 , 10-Мрт-19, (58) // mongo as a service, чо не так-то - , пох (?), 11:06 , 10-Мрт-19, (62) +1 И когда особо одарённая вендурь научится поставлять своё поделие сконфигурирован, Michael Shigorin (ok), 15:12 , 10-Мрт-19, (63) // Михаил, но ведь за это объявят админом локалхоста , КО (?), 19:36 , 10-Мрт-19, (66) // Придётся объяснить, какое значение изначально вложил в этот термин о примени, Michael Shigorin (ok), 20:09 , 10-Мрт-19, (67) с инстансами в этом разе, очевидно, все было, потому что 150g ценных для перепро, пох (?), 20:17 , 10-Мрт-19, (69) Миша, оно так не работаит - в смысле, ее не для того ставят, чтобы она локалхвос, пох (?), 20:14 , 10-Мрт-19, (68) // Я про изкоробку, ну и 61 затем прочитал -- сочувствую , Michael Shigorin (ok), 20:21 , 10-Мрт-19, (71) Ононим такой ононим Если не знаешь как настраивается доступ в Монге - не открыв, Аноним (84), 14:07 , 12-Мрт-19, (83) –1   // молодец, заявление по собственному желанию сам напишешь, или на тебя компании по, пох (?), 17:28 , 12-Мрт-19, (87)   Без этой базы мне эта новость нафиг не нужна, Аноним (6), 10:34 , 08-Мрт-19, (6) // Сколько лет будешь выкачивать , Аноним (7), 10:49 , 08-Мрт-19, (7) –1 // Если провайдер позволит то 0,000237823439878 лет, Аноним (12), 12:20 , 08-Мрт-19, (12) +3 // 150 Гб за 2 часа жырненькый у вас интернетик , У (?), 21:22 , 08-Мрт-19, (28) ЫыПри 1Gbps - 850gb за 2 часа через канал пролетает Taк шо можем считать что , DiabloPC (ok), 22:39 , 08-Мрт-19, (31) Ну хз плачу 200р за месяц через канал пролазит 5тб но шибко что то не качаю, так, Аноним (32), 00:44 , 09-Мрт-19, (34) То ли нолик забыл, то ли виртуалку арендуете где эти 150 гб и не разместить, то , Аноним (35), 05:52 , 09-Мрт-19, (35) Так чтоб это, 150 гиг за два часа, всего примерно 200 Mbps и надо-то Это разве , Онаним (?), 10:22 , 10-Мрт-19, (59) +1 если я правильно понял, чувак просто нашёл, написал владедьцу и те закрыли даже, Нанобот (ok), 09:42 , 09-Мрт-19, (36) // эх я бы вот в такое зашел - не поленился бы заплатить 5, и стереть всю базу , пох (?), 18:56 , 09-Мрт-19, (48) +1 Тоже об этом подумал , EgorData (ok), 04:17 , 15-Мрт-19, (90) Ну что сказать, надо технически грамотных специалистов нанимать и тех долг закры, Вадик (??), 11:20 , 08-Мрт-19, (8) +4 // а если бы пароль прставить на все СУБЛ или требование -- обязательно всё нужно д, Xasd5 (?), 11:47 , 08-Мрт-19, (10) // Какой пароль, вы о чём кубернетесом докерок пнули, и забыли, Онаним (?), 20:11 , 08-Мрт-19, (26) +1 а вот ты нам сейчас и расскажешь, как в монге 2 4 это делается Инстансах так на, пох (?), 19:02 , 09-Мрт-19, (49) +2 // http www opennet ru openforum vsluhforumID3 116773 html 83 - во, первый пришел, пох (?), 17:31 , 12-Мрт-19, (88) Проблема в том, что монетизацию поставили на первое место , Аноним (15), 14:25 , 08-Мрт-19, (15) вот примерно такой хипстор как ты там и занимался безопасностью , arisu (ok), 22:38 , 08-Мрт-19, (30) // такой там ниасилил, иначе бы оно, наверное, все же бы сработало, даже если vpn , пох (?), 19:06 , 09-Мрт-19, (50) +1 Магнит на дамп есть у кого Друг спрашивает , Аноним (11), 12:03 , 08-Мрт-19, (11) –2 // До друга не дошла судьба того чувырлы из центра американского английского , Michael Shigorin (ok), 15:22 , 10-Мрт-19, (64) // так пристрелили ж директора, а админ, поди, вон, новую работу нашел, с солидным , пох (?), 20:18 , 10-Мрт-19, (70) Зачем сервису для подтверждения email-ов их хранить Или они деньги с продажи на, Аноним (14), 14:23 , 08-Мрт-19, (14) +2 // Ну а зачем еще нужна такая база - только торговать ПДн , Аноним (15), 14:26 , 08-Мрт-19, (16) +5 Here is the scenario 8220 Mr Threat Actor 8221 has a list of 1000 companies, Аноним (17), 14:39 , 08-Мрт-19, (17) // и так скомненько опустили часть между hi и Then , annual slayer (?), 20:00 , 08-Мрт-19, (24) +1 То-то нам спам последний месяц посыпался , Аноним (51), 21:47 , 09-Мрт-19, (51) +1 1,6,8,11,14,17,51

Сообщения

[Сортировка по времени | RSS]

	83. "Утечка 800 млн email через СУБД MongoDB сервиса подтверждени..."	–1 +/–
	Сообщение от Аноним (84), 12-Мрт-19, 14:07
	> В MySQL / Mariadb открыть такой доступ геморой, а в MongoDB видимо > закрыть такой доступ геморой -_-" Ононим такой ононим. Если не знаешь как настраивается доступ в Монге - не открывай свою пасть. Ведь она тебе нужна только что бы есть. И нет, никакого геморроя нет: всего одна строчка в конфиге в разделе безопасности. security:   authorization: enabled Ну, параноики еще могут настроить строгую привязку к сетевым интерфейсам и отключение обхода авторизации при локальном (127.0.0.1) доступе. Это тоже по одной строчке. net:   bindIp: "тут оставить только нужный интерфейс" setParameter:   enableLocalhostAuthBypass: false Собственно все - теперь вы кроме как с логином\паролем никак к БД не подключитесь.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	87. "Утечка 800 млн email через СУБД MongoDB сервиса подтверждени..."	+/–
	Сообщение от пох (?), 12-Мрт-19, 17:28
	> security: >  authorization: enabled молодец, заявление по собственному желанию сам напишешь, или на тебя компании подать в суд, для получения компенсаций за потерянную выгоду, поскольку ты вот сейчас сломал нахрен доступ (и себе заодно, поскольку про bypass вспомнил уже потом, да и есть ли там локальный клиент или доступ к репо для его установки - не факт, так что починить уже ничего не сможешь) ? вот так оно у любителей простых решений всегда и бывает.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема