forum.opennet.ru

"Более половины npm-пакетов могли быть скомпрометированы из-з..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Более половины npm-пакетов могли быть скомпрометированы из-з..."	+/–
Сообщение от istepan (ok), 28-Июн-17, 08:11
Основной риск будет на твоих клиентах. В библиотеки встроят XSS и все, гуляй вася. Миллионы фронтов. Сам пишу фронт, и жутко бесит npm, поэтому стараюсь писать в основном на ванили. Максимум это вебпак, полифилы и jquery. И еще мелкие библиотеки без зависимостей, исходники которых я как правило смотрю изначально из интереса, сейчас в целях безопасности буду. Второй способ защиты это зафиксировать версии библиотек, чтоб npm не самостоятельно обновлялся на последние версии.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Более половины npm-пакетов могли быть скомпрометированы из-з..., opennews, 27-Июн-17, 20:58 [смотреть все]

вопрос очень простой, а какого черта нет валидации при установке пароля что за , анон, 27-Июн-17, 20:58 (1) //
- Главное не переборщить, а то некоторые такую валидацию устроят, что пользователи, Аноним, 27-Июн-17, 21:05 (3) //
  - Бумажка гораздо безопаснее очень многих других способов хранения А если хранить , gogo, 27-Июн-17, 21:13 (8) //
    - хрен через два-три года не сможешь вспомнить, что тут записано Не благодари ну , пох, 28-Июн-17, 00:14 (28)
      - Видать у тебя фантазия бурная и ассоциации к намекам нетривиальные Я лично не , gogo, 28-Июн-17, 00:56 (35)
        
        да нет, просто паролей - много, некоторые нужны раз в пару лет, не везде можно в, пох, 28-Июн-17, 08:39 (51)
        
        А что мешает пользоваться длинными, но осмысленными паролями Внезапно, в базах п, тоже Аноним, 28-Июн-17, 09:26 (57)
        
        Согласен Сам так делаю и знакомым советую , Онанимус, 28-Июн-17, 13:39 (71)
        А зачем вообще запоминать пароли к сайтам Сгенерил, авторизовался, браузер запо, rshadow, 28-Июн-17, 14:33 (75)
        
        Интернет-банки, например, не дают браузеру запоминать логин и пароль И правильн, тоже Аноним, 28-Июн-17, 17:06 (82)
      - Пффф Просто запомните соль, которую приписываете в конце каждого своего пароля,, freehck, 28-Июн-17, 13:07 (67)
  - Бумажка может и в бумажнике лежать И - да, лучже пароль на бумажке, который мог, YetAnotherOnanym, 28-Июн-17, 00:49 (32) //
    - камера, в той же комнате, или не в той же раз в бумажнике - значит ты предполаг, пох, 28-Июн-17, 08:43 (52)
- Как будто другие вэб-макаки бывают , Led, 27-Июн-17, 21:08 (5) //
  - Нода не совсем о вебе в привычном его понимании Скорее о веб сервисах и бекенда, Отражение луны, 27-Июн-17, 22:06 (16) //
    - Ок, признаю, был неправ Корректирую Как будто другие вэб-сервисные-не-совсем-в-п, Led, 27-Июн-17, 22:21 (18)
      - веб-макакус-илитус-нон-вулгарис, Аноним, 27-Июн-17, 22:37 (20)
        
        Хотел было приписать один сапиенс , но вовремя увиделчто как бы намекает , Аноним, 27-Июн-17, 22:39 (22)
      - Иронизирующая илитка нарисовалась, как же хорошо Я не понимаю, зачем пытаться, Добрый анон, 28-Июн-17, 15:26 (80)
        
        Ну, внезапно, обычные мартышки появились тоже не просто так, правда Их сформиро, Спрашивающий анон, 07-Окт-17, 11:00 (108)
        Ну, внезапно, обычные мартышки появились тоже не просто так, правда Их сформиро, Спрашивающий анон, 07-Окт-17, 11:00 (109)
    - Яваскрипт в рот тянут именно бывшие веберы И именно им нужна серверная часть , Аноним, 27-Июн-17, 23:32 (26)
      - Я тяну яваскрипт просто потому, что это лучший язык программирования Никогда по, Аноним, 28-Июн-17, 14:11 (74)
        
        Чтоб понять, насколько вы адекватны и можно ли доверять вашему мнению, назовите,, Аноним, 28-Июн-17, 14:49 (78)
      - Вообще-то один язык там и там - это выгодное решение по куче причин, как техниче, Crazy Alex, 28-Июн-17, 19:43 (87)
    - Большинство пользователей ноды -- веб-макаки, решившие освоить фулл-стэк И прин, Аноним, 28-Июн-17, 10:04 (60)
  - kernel org месяцами лежал в maintenance, но макаки при этом npm , Anonminus, 28-Июн-17, 00:51 (33) //
    - Так это одни и теже макаки - , Аноним, 28-Июн-17, 13:21 (68)
- Надеюсь возможность брутфорса на этом репозитарии пресекается , Аноним, 27-Июн-17, 21:43 (14)
- Это же жабаскриптеры, у них в голове при слове security ничего не возникает , Аноним, 28-Июн-17, 02:22 (40)
- Что за проверка на сложность qwertQWERT1234 Это сложный пароль или нет , mumu, 28-Июн-17, 05:18 (42) //
  - Легкий для перебора Перебирают не только посимвольно, но и сочетаниями квертей, Онанимус, 28-Июн-17, 13:46 (72)
И что в этом не так Вполне секьюрно Сомневаюсь, что в словарях есть какой-то т, A.Stahl, 27-Июн-17, 21:04 (2) //
- Сто лет как Банально потому что словари во многом составлены из утёкших реальны, Crazy Alex, 27-Июн-17, 23:21 (25)
- 123456 - это очень серьюрный пароль, если его правильно посчитать В базе таког, тоже Аноним, 28-Июн-17, 08:14 (48) //
  - Очень длинный пароль выходит в нём ведь 574965 цифер Задолбаешься вводить Може, freehck, 28-Июн-17, 13:23 (69)
- Да я бы сказал, и 1234567 тоже секьюрный пароль, в шестизначной базе его нет Ка, щи, 04-Июл-17, 13:40 (107)
npm прочел как rpm Фух Мимо , Аноним, 27-Июн-17, 21:07 (4)
Так може они кому порулить дают и чтобы если что не оказаться виноватым - ой, , Константавр, 27-Июн-17, 21:09 (6)
Кодеры пролазят в любые щели Это только начало , Аноним, 27-Июн-17, 21:13 (7)
И как уберечься Ну, вот допустим, хочу я поставить глобально какой-то пакет из n, Виталик, 27-Июн-17, 21:15 (9) //
- Отдельного пользователя заведи и из-под него работай , Аноним, 27-Июн-17, 21:31 (11)
- Использовать другую платформу , Аноним, 27-Июн-17, 22:02 (15)
- В докер ту ноду вместе с её нпмами, заодно и деплой с самого начала заготовишь, Аноним, 27-Июн-17, 22:20 (17)
- Основной риск будет на твоих клиентах В библиотеки встроят XSS и все, гуляй вас , istepan, 28-Июн-17, 08:11 (47)
Ну блин хоть peerflix удаляй нафиг , corvuscor, 27-Июн-17, 21:17 (10) //
- Он у меня из нпм только и стоит, ке, 27-Июн-17, 21:38 (13)
Краткое содержание комментариев к этой новости 1 А я говорил 2 Эти веб-макаки , Аноним, 27-Июн-17, 21:31 (12) //
- Я бы согласился со снобизмом, если бы не раздел в новости интересные факты Хо, Ordu, 27-Июн-17, 22:37 (21) //
  - или неубедительно объяснили причины а то мы все никак не соберемся озаботиться з, пох, 28-Июн-17, 00:20 (29) //
    - Это палка о двух концах Чем сложнее поменять пароль, тем реже и неохотнее польз, Ordu, 28-Июн-17, 14:50 (79)
      - так менять и не надо вообще Это тоже очередной псевдо-безопасный жупел, когда, пох, 29-Июн-17, 09:25 (105)
        
        gt оверквотинг удален Может быть Но отсутствие практики смены паролей даст ат, Ordu, 29-Июн-17, 15:45 (106)
самое смешное что все они верны, Аноним, 27-Июн-17, 22:31 (19)
Зачем сразу 2-факторная авторизация Неужто килобайтный ключ вместо паролей - не , Аноним, 27-Июн-17, 22:49 (23) //
- Во-первых, двухфакторная аутентификация, а не авторизация Во-вторых, она не обя, Аноним, 28-Июн-17, 10:55 (64)
Гг Ребята окунулись в реальный мир До этого всё думали, что в сказку попали , pda, 27-Июн-17, 23:16 (24)
Вот не зря ушёл с Node js и вернулся на Python , th3m3, 28-Июн-17, 00:01 (27) //
- А я ушел с Node js на Java Кстати, по бенчмаркам в десятки раз быстрее питона , Anonminus, 28-Июн-17, 00:35 (31) //
  - Проиграл Ну хоть не php , th3m3, 28-Июн-17, 01:16 (37) //
    - Издеваешься что ли Даже питон лучше пыха , Anonminus, 28-Июн-17, 01:32 (38)
      - Чем лучше-то Они практически идентичны Типизация скрыта, управление памятью от, A.Stahl, 28-Июн-17, 07:57 (45)
        
        Ты что с ума сошел это в похапе синтаксис класный Да таких укурков еще не виде, Аноним, 28-Июн-17, 09:51 (59)
        Опять проиграл Ребята, с вами и башорг ненужен , th3m3, 28-Июн-17, 11:31 (65)
        Астахл, я понимаю твои чувства, говорю как человек, который покинул php и попроб, Anonminus, 28-Июн-17, 18:03 (84)
        
        бардак в этом плане - мелочи по сравнению с общиии бедами скриптодинамики на не , Crazy Alex, 28-Июн-17, 19:50 (88)
- Да, не зря, раз не различаешь ноду и npm Они связаны, но не единое целое И у n, Аноним, 28-Июн-17, 08:10 (46) //
  - угу, весь мир с нуля за недельку создам начиная с leftpad - весь смысл ноды-, пох, 28-Июн-17, 09:04 (55)
  - Альтернативы npm решают только огрехи в принципе резолвинга версий зависимостей , Аноним, 28-Июн-17, 10:15 (61)
вспомнити npm leftpad , Аноним, 28-Июн-17, 00:22 (30)
А что вы хотели от людей, которые возводят в ранг добродетели свою неспособность, YetAnotherOnanym, 28-Июн-17, 00:53 (34) //
- От тебя ничего не хотим , Мы, 28-Июн-17, 00:57 (36)
Интересно, из каких побуждений он не желает публиковать полный список Глупая от, Аноним, 28-Июн-17, 02:06 (39) //
- Конкретных людей палить нехорошо, там же написано , Аноним, 28-Июн-17, 19:21 (85)
Хипсторы не умеют в it безопасность, mumu, 28-Июн-17, 05:14 (41) //
- сказал нехипстер, сидя из-под провайдера, хранящего его трафик минимум полгод, Аноним, 28-Июн-17, 05:46 (43) //
  - И сколько полугодий потребуется провайдеру, чтобы расшифровать https рафик, м , mumu, 28-Июн-17, 07:51 (44) //
    - Нисколько Они его и так незашифрованным хранят , rpm, 28-Июн-17, 08:19 (49)
      - Дай угадаю, мало того, что ты хохол, ты ещё и на JS пишешь Ибо с принципом рабо, Аноним, 28-Июн-17, 10:18 (62)
А статейка безумно полезная Прям описание группового поведения приматов Теперь, odity, 28-Июн-17, 08:32 (50)
Да кому интересны эти результаты По удалял бы эти акки и дело с концом , Меломан1, 28-Июн-17, 08:44 (53) //
- Ты ж помнишь, что после удаления аккаунта можно посоздавать модули с такими же и, Аноним, 28-Июн-17, 10:21 (63)
А без работы всё равно ты, username , Аноним, 28-Июн-17, 09:07 (56)
ну теперь точно вся надежда на webassemble, придут ребята с большыми ками, и, qwerty_qwert1, 28-Июн-17, 09:26 (58) //
- Один хер инициализация на JS идет DOM опять же еще не завезли Печально пока , istepan, 28-Июн-17, 11:37 (66)
Всё, что надо знать о веб-разработчиках, wins proxy, 28-Июн-17, 13:26 (70)
Человеческая тупось безгранична , Аноним, 28-Июн-17, 13:57 (73)
Никогда такого не было и вновь произошло, Ненужно, 28-Июн-17, 17:25 (83)
NPM No Password Management, anomymous, 28-Июн-17, 19:31 (86) //
- https github com npm npm-expansions blob master expansions txt L452, Аноним, 28-Июн-17, 21:58 (96)
А вот это просто неверный перевод И 171 Главная ссылка к новости 187 на агре, Аноним, 28-Июн-17, 21:35 (89) //
- Вот так в оригинале Вот это додумано Перебор модификаций применялся ко всем пот, Аноним, 28-Июн-17, 21:38 (90) //
  - И что здесь додумано Ровно то, что в оригинале, with very minor modifications , Аноним, 28-Июн-17, 21:48 (91) //
    - Вот это додумано 0 6 8212 это пользователи, у которых с другого сервиса утё, Аноним, 28-Июн-17, 21:52 (93)
      - Логично, но можно и так и так понять Что именно подразумевалось под reused не , Аноним, 28-Июн-17, 22:01 (97)
  - Совсем нет - reused _their_ leaked passwords , Аноним, 28-Июн-17, 21:52 (92) //
    - _their leaked passwords_Пароли, утёкшие с других сервисов использовались на npm , Аноним, 28-Июн-17, 21:54 (95)
- Ох, ну это вообще трэш Там речь о том, что токены или пароли были запушены челов, Аноним, 28-Июн-17, 22:03 (98) //
  - Вы в тесте новости смотрите, а не в левом черновике на форуме , Аноним, 28-Июн-17, 22:05 (99) //
    - В смысле , Аноним, 28-Июн-17, 22:06 (100)
      - Актуальный текст на https www opennet ru opennews art shtml num 46768На https , Аноним, 28-Июн-17, 22:12 (103)
        
        Ох Спасибо, я этого не заметил Я сюда перешёл по ссылке 171 смотреть все 1, Аноним, 28-Июн-17, 22:16 (104)
    - Я как раз и жалуюсь на то, что вот этот перевод слишком левый , Аноним, 28-Июн-17, 22:06 (101)
      - Кстати, кажется, поправили И это хорошо , Аноним, 28-Июн-17, 22:09 (102)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру