forum.opennet.ru - "В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub" (103)

"В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"В ходе атаки GhostAction скомпрометировано 817 репозиториев на GitHub"	+/–
Сообщение от opennews (??), 06-Сен-25, 10:03
Исследователи из компании GitGuardian выявили массовую атаку на пользователей GitHub, в ходе которой был получен контроль над 327 учётными записями и осуществлена подстановка вредоносного обработчика Github Action в 817 репозиториев. Атака привела к утечке 3325 секретов, используемых в системах непрерывной интеграции и передаваемых через переменные окружения, включая токены доступа к PyPI, GitHub, NPM, DockerHub и различным облачным хранилищам... Подробнее: https://www.opennet.me/opennews/art.shtml?num=63831
Ответить \| Правка \| Cообщить модератору

Оглавление

Как новорится, ССЗБ Нечего в проприетарном не селфхост облаке хранить критичные, Аноним (4), 10:18 , 06-Сен-25, (4) –11

Дядя Петя, ты дундук с Что мешает взломать твое не проприетарное селфхостед об, Аноним (-), 10:30 , 06-Сен-25, (7) +13

А что, на self hosted запрещается использовать git daemon , Аноним (26), 14:33 , 06-Сен-25, (26)
Отсутствие неподконтрольного тебе обработчика, КО (?), 15:30 , 06-Сен-25, (31) –1
Если команда небольшая удобнее просто использовать Fossil вместо папок GitHub вс, ffirefox (?), 16:52 , 06-Сен-25, (38)

Не, ну это конечно тоже вариант - нет ci cd как концепции - нет проблем с ci cd, User (??), 08:26 , 08-Сен-25, (92)

Угу, отрвился хлебом - пеки сам, Анон666 (?), 12:21 , 06-Сен-25, (22) +4

Никогда такого не было и вот опять , Андрей (??), 10:25 , 06-Сен-25, (6) +1

Ага Если учетку мейнтенера сломают, то могут сделать плохие вещи Кто бы мог поду, Аноним (-), 10:33 , 06-Сен-25, (8) +7

Gitlab это скорее клон github Нормальную конкуренцию может составить radicle xyz, Аноним (32), 15:52 , 06-Сен-25, (32) –2

Это ты про п2п штуку для нетакусиков Нормальные люди такой дичью не страдают Ты , Аноним (-), 15:58 , 06-Сен-25, (34) –3
Что у вас с логикой Конкуренцию продукту А может составить продукт Б, который л, Анон666 (?), 17:55 , 06-Сен-25, (48)

Системы непрерывной интеграции троянов всё заинтегрировали нормально , Tron is Whistling (?), 10:33 , 06-Сен-25, (9) +3

Ваши предложения Передевать код на дискетках как диды Кричать вася не трогай фа, Аноним (-), 10:38 , 06-Сен-25, (11) +1

да лучше на дискетах, сто процентов безопасно, 27730 (?), 10:43 , 06-Сен-25, (12)

Особенно, если она размагнитится по пути , Аноним (16), 11:29 , 06-Сен-25, (16) +1

Два чая этому господину , Да ну нах (?), 11:42 , 06-Сен-25, (18)
Мои дискеты не размагнитились за 35 лет Что у тебя там за путь или дискеты , Ананоним (?), 15:09 , 06-Сен-25, (30)

Сказочник, блинДаже для того, что бы донести из дома до универа писали минимум н, Эксконтрибутор FreeBSD (?), 16:13 , 06-Сен-25, (35) +1

Твоя сказка про твои дискеты и путь выглядит для меня как купил колонки в магаз, Ананоним (?), 17:07 , 06-Сен-25, (40)

Знаешь в чем твоя проблема У тебя не было дискет, ты в те времена еще не родился, Эксконтрибутор FreeBSD (?), 17:13 , 06-Сен-25, (41)

Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации , Ананоним (?), 17:30 , 06-Сен-25, (42) –2
Вот ради тебя нашёл Verbatium на 1 44 Извини 5 не осталось дискет у меня В, 1 (??), 09:13 , 08-Сен-25, (94)

Ну, он скорее про то, что не все проблемы, вызывающие невозможность прочитать д, User (??), 08:41 , 08-Сен-25, (93)

Размагнитится - вряд ли А вот сектора у трёхдюймовок бились только в путь , Аноним (49), 18:10 , 06-Сен-25, (49)

Кстати был случай, у нас упал интернет и мы пушили на флешку file протокол , Аноним (32), 15:55 , 06-Сен-25, (33) +1

это понятно, голь на выдумки хитра и эту страну не победить хехе попробуйте п, 0xdeadbee (?), 07:19 , 07-Сен-25, (75) –1

щас он спросит у чатгпт, как настроить сдван , Аноним (81), 11:05 , 07-Сен-25, (81)

а правда что на каждый SDWAN накладывается обременение в виде vendor lock , 0xdeadbee (-), 18:23 , 07-Сен-25, (89)

гемини отвечает так Да, обременение в виде vendor lock-in зависимость от пост, Аноним (81), 00:22 , 08-Сен-25, (90)

спс за инфо продолжайте доить нейросеть, не остнавливайтесь на пол-пути что это, 0xdeadbee (-), 07:41 , 08-Сен-25, (91)

Если бизнес-процесс - два студента, пилящих курсач - флешка и file протокол в, mickvav (?), 14:27 , 07-Сен-25, (83)

ок но все же дождемся ответа анона, который пушил через флэшку 28 - оверкилл и, 0xdeadbee (-), 18:18 , 07-Сен-25, (88)

Зачем до каменного века скатываться Может достаточно просто не доверять свою чу, localhostadmin (ok), 10:46 , 06-Сен-25, (14)

Сомнительные люди тут кто Мейнтенеры, учетки которых взломали Значит надо обходи, Аноним (-), 10:51 , 06-Сен-25, (15) +3

Ты хоть новость читал Очевидно, что разрабы Github Actions Security, localhostadmin (ok), 11:52 , 06-Сен-25, (19) –2

Разрабы GitHub actions security просто добавили отправку секретов на деревню дед, Ангним (?), 12:02 , 06-Сен-25, (20)
Нет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна т, PROgrm_JARvis (ok), 14:44 , 06-Сен-25, (28) +1

Но зачем в это углубляться Увидели название гитхаб, вспомнили что ими владеют ма, Аноним (-), 14:49 , 06-Сен-25, (29) +10

Никаких предложений говорю ж - нормально всё заинтегрировали, очень удобная шту, Tron is Whistling (?), 11:34 , 06-Сен-25, (17)

Скажите, а мой репозиторий не скомпрометировали Как проверить , Аноним (21), 12:10 , 06-Сен-25, (21)
А что, двухфакторная авторизация не помогла , Anonymus (?), 16:43 , 06-Сен-25, (36) +1

В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной По, Tron is Whistling (?), 17:00 , 06-Сен-25, (39) –1

Чел, второй фактор - это отдельный девайс По твоему заявлению выше очевидно, ты , Аноним (43), 17:36 , 06-Сен-25, (43)

ты и не понимаешь Тотп и все там , Аноним (44), 17:43 , 06-Сен-25, (44)
Что пароль что второй фактор OTP храню в Keepass На одном устройстве В одном п, Аноним (47), 17:53 , 06-Сен-25, (47)

Но весьма уменьшает безопасность От 50 баксов до Неужели дорого , Аноним (-), 18:26 , 06-Сен-25, (51) +1
Все стараются увеличить безопасность, но наш брат непобедим У тебя уже есть моби, Аноним (43), 18:45 , 06-Сен-25, (54)

Как TOTP увеличит безопасность Если пароль утек с сервера, то утечет и секрет Ч, Аноним (49), 21:36 , 06-Сен-25, (68) –2

Нет Оба утекут только у тех, кто хранит их на одном устройстве Что непонятного, Аноним (43), 22:34 , 06-Сен-25, (72)

Так все хранят Только я - в зашифрованной базе KPXC, и браузер в песочнице А ты, Аноним (77), 08:51 , 07-Сен-25, (77) –1

Нет, только альтернативно одаренные, которые не понимают, у чем суть двуфакторки, Аноним (43), 15:03 , 07-Сен-25, (84)

Медаль тебе нужно выдать За понимание А зачем вообще что-то генерировать Исп, Аноним (114), 11:52 , 08-Сен-25, (114)

И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно, нейм (?), 07:49 , 07-Сен-25, (76)

Конечно приведу у тебя сперли один фактор пароль ломанули телефон , но второй , Аноним (43), 15:24 , 07-Сен-25, (86)

Так можно и девайс с кодогенератором взломать На нём, по-любому, рядом будет бр, Аноним (114), 11:44 , 08-Сен-25, (112)

Господи У тебя на ноуте сканера отпечатка пальцев нет и камера изолентой заклее, User (??), 09:16 , 08-Сен-25, (95)

Очевидно, что TOTP в KPXC хранится не ради безопафосности с этим обычный пароль, Аноним (114), 11:39 , 08-Сен-25, (110)

И телефон при регистрации отбирают, выдавая nokia 3110 и заставляя использовать , User (??), 11:45 , 08-Сен-25, (113)

Это в HOTP требуется синхронизация счётчика C между клиентом и сервером http, Аноним (49), 18:28 , 06-Сен-25, (52)

Круть Но это все как-то противоречит тому факту, что в двуфакторке вторым факто, Аноним (43), 18:50 , 06-Сен-25, (55)

В вебе, в двухфакторках используется TOTP При регистрации настройке передаётся , Аноним (49), 19:03 , 06-Сен-25, (56) –1

https github com keepassxreboot keepassxc pull 1206, Аноним (49), 19:07 , 06-Сен-25, (57)
Ты вообще не понял, о чем я тебе говорю Ну валяй - делай из двуфакторки однофак, Аноним (43), 20:50 , 06-Сен-25, (63)

Да не помогут тебе даже две корзины, если на той стороне - фишинговый ресурс, на, Tron is Whistling (?), 20:57 , 06-Сен-25, (66) +1

Ну вот для этого тебе passkey придумали, да , User (??), 09:20 , 08-Сен-25, (96)

Именно, вот только оно слишком сложно для большинства девляпсов и около , Tron is Whistling (?), 09:51 , 08-Сен-25, (100)

Ну, разве только в linux е, т к реализация там будет традиционно с т ранненька, User (??), 10:47 , 08-Сен-25, (106)

Как пользователем настроено, так и будет То есть у пряморуков - удобно и безопа, Аноним (114), 11:34 , 08-Сен-25, (109)
Ну вот мы видим, ага Пряморуки наяривают на TOTP на том же устройстве - остал, User (??), 11:42 , 08-Сен-25, (111)
Когда он обязательный, его так обходят Не работает Не решает Если пользователь, Аноним (114), 12:53 , 08-Сен-25, (115)
А, так ты из тех, кто на зло маме Ух, и пароль поди - Qwerty123 назло застав, User (??), 13:08 , 08-Сен-25, (116)

Ну валяй, подключай к Стиму телефон Только и пароль куки, и TOTP-секрет будут н, Аноним (49), 21:27 , 06-Сен-25, (67) –1

Ты адекватный вообще Я тебе в третий раз повторяю смысл 2FA в том, чтобы НЕ хр, Аноним (43), 22:37 , 06-Сен-25, (73)

Мало кто предлагает 2FA Например, второй пароль, который явно более надежен, че, Аноним (77), 09:03 , 07-Сен-25, (78) –1

Ты сам себе противоречишь TOTP на втором девайсе - это и есть второй фактор Чи, Аноним (43), 15:14 , 07-Сен-25, (85)

TOTP 2FA Ты юзаешь У меня KPXC, телефон мне не нужен Если ты при регистрац, Аноним (114), 11:28 , 08-Сен-25, (108)

2FA TOTP, ёлки , User (??), 09:23 , 08-Сен-25, (97)

идея второго фактора в интернете безполезна, куда безопаснее записанный на бумаж, Аноним (81), 11:11 , 07-Сен-25, (82)

Бгг, ты просто пользователей не видел D, Tron is Whistling (?), 20:47 , 06-Сен-25, (62)

171 Принужденные 187 всегда при любых условиях будут делать всё, что угодно,, Аноним (46), 17:50 , 06-Сен-25, (46)

Я не зря написал - в том виде, в котором оно сейчас строится Вообще там, где н, Tron is Whistling (?), 20:55 , 06-Сен-25, (64) +1

То есть не провокация, а профанация, простите , Tron is Whistling (?), 20:56 , 06-Сен-25, (65) +1
Проблемы страны вечных NATов Откровения про шамира и сколько паролей автоматичес, Аноним (46), 05:48 , 07-Сен-25, (74) –1
TOTP - _устаревшая_ технология, которую НЕ НАДО использовать при наличии более , User (??), 09:26 , 08-Сен-25, (98)

И я о том же , Tron is Whistling (?), 09:50 , 08-Сен-25, (99)
Но с passkeys и вообще любым 2FA есть всё та же проблема, выше упомянутая оно в, Tron is Whistling (?), 09:54 , 08-Сен-25, (101)

В общем нет Может быть проблема доверия конечной реализации TPM - насколько о, User (??), 10:36 , 08-Сен-25, (105)

И тут мы возвращаемся к исходной проблеме фишинговый ресурс вполне себе такой з, Tron is Whistling (?), 09:57 , 08-Сен-25, (102)

Нет, не может Конкретный passkey привязан с одной стороны к твоему ресурсу, а с, User (??), 10:27 , 08-Сен-25, (104)

Всё правильно сделал Он же не бесплатно эту библиотеку разрабатывал Лицензия я, Аноним (45), 17:49 , 06-Сен-25, (45)

Ст 273 УК РФ, Аноним (49), 18:20 , 06-Сен-25, (50) –1

И какое отношение понятия папуасов имеют к серверам Github , Эксконтрибутор FreeBSD (?), 18:29 , 06-Сен-25, (53) –1

А ты сам-то с какого раёна будешь , Аноним (49), 19:14 , 06-Сен-25, (58)

Это неприменимо принимая лицензию на программу включая зависимые библиотеки в, Аноним (59), 19:20 , 06-Сен-25, (59)

У УК приоритет выше Сам себя не запустит И делает ровно то, о чём заявляет Неза, Аноним (49), 19:30 , 06-Сен-25, (60) –1

Что же тогда Bear не сидят поголовно, не видим массовых судов над ними Та ли, Аноним (69), 22:26 , 06-Сен-25, (69)

Потому что никто не призвал их к ответу Потому что все малодушно и трусливо счи, Аноним (77), 09:31 , 07-Сен-25, (79)

Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно не может при, Аноним (87), 17:53 , 07-Сен-25, (87)

Рабы - по эту сторону границы, а ОПГ - по ту Но прецеденты призвания к ответ, Аноним (114), 11:19 , 08-Сен-25, (107)

Разработчики обязаны соблюдать законы нашей Вилкой страны Вы согласны в этом, и, Аноним (61), 19:51 , 06-Сен-25, (61)

Они там с ума посходили UUID v4 - случайный, для его генерации библиотека, тем , Аноним (69), 22:29 , 06-Сен-25, (70) –1

сортировка , бочок (??), 10:17 , 08-Сен-25, (103)

Сообщения [Сортировка по времени | RSS]

4. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –11 +/–

Сообщение от Аноним (4), 06-Сен-25, 10:18

> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub.
Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.

Ответить | Правка | Наверх | Cообщить модератору

7. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +13 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:30

Дядя Петя, ты дундук? (с)
>  Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
Что мешает взломать твое не проприетарное селфхостед облако?
Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд?
А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.

Ответить | Правка | Наверх | Cообщить модератору

26. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (26), 06-Сен-25, 14:33

>"Новая Папка (1)", "Новая Папка (2)" и тд
А что, на self hosted запрещается использовать git daemon?

Ответить | Правка | Наверх | Cообщить модератору

31. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от КО (?), 06-Сен-25, 15:30

Отсутствие неподконтрольного тебе обработчика

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

38. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от ffirefox (?), 06-Сен-25, 16:52

Если команда небольшая удобнее просто использовать Fossil вместо папок.
GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

92. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 08:26

Не, ну это конечно тоже вариант - "нет ci\cd как концепции - нет проблем с ci\cd", тут не поспоришь. Конечно будет проблема найти второго такого в "команду" - но тут на помощь всегда может прийти кот.

Ответить | Правка | Наверх | Cообщить модератору

22. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +4 +/–

Сообщение от Анон666 (?), 06-Сен-25, 12:21

Угу, отрвился хлебом - пеки сам

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

6. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Андрей (??), 06-Сен-25, 10:25

Никогда такого не было и вот опять ?

Ответить | Правка | Наверх | Cообщить модератору

8. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +7 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:33

Ага.
Если учетку мейнтенера сломают, то могут сделать плохие вещи.
Кто бы мог подумать?!!
ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены
docs.gitlab.com/user/project/quick_actions/
docs.gitea.com/usage/actions/comparison

Ответить | Правка | Наверх | Cообщить модератору

32. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от Аноним (32), 06-Сен-25, 15:52

Gitlab это скорее клон github
Нормальную конкуренцию может составить radicle.xyz

Ответить | Правка | Наверх | Cообщить модератору

34. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –3 +/–

Сообщение от Аноним (-), 06-Сен-25, 15:58

> Нормальную конкуренцию может составить radicle.xyz
Это ты про п2п штуку для нетакусиков?
Нормальные люди такой дичью не страдают.
Ты бы еще даркнет предложил)

Ответить | Правка | Наверх | Cообщить модератору

48. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Анон666 (?), 06-Сен-25, 17:55

Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества.
То что вы говорите, это _разнообразие_, а не конкуренция.
По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.

Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

9. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +3 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 10:33

Системы непрерывной интеграции троянов всё заинтегрировали нормально.

Ответить | Правка | Наверх | Cообщить модератору

11. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:38

Ваши предложения?
Передевать код на дискетках как диды?
Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"?
Не делать автотесты перед мерджом?

Ответить | Правка | Наверх | Cообщить модератору

12. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 27730 (?), 06-Сен-25, 10:43

да лучше на дискетах, сто процентов безопасно

Ответить | Правка | Наверх | Cообщить модератору

16. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (16), 06-Сен-25, 11:29

Особенно, если она размагнитится по пути.

Ответить | Правка | Наверх | Cообщить модератору

18. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Да ну нах (?), 06-Сен-25, 11:42

Два чая этому господину!

Ответить | Правка | Наверх | Cообщить модератору

30. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Ананоним (?), 06-Сен-25, 15:09

Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

35. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 16:13

Сказочник, блин
Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига
Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась

Ответить | Правка | Наверх | Cообщить модератору

40. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Ананоним (?), 06-Сен-25, 17:07

Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.

Ответить | Правка | Наверх | Cообщить модератору

41. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 17:13

Знаешь в чем твоя проблема?
У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности

Ответить | Правка | Наверх | Cообщить модератору

42. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от Ананоним (?), 06-Сен-25, 17:30

> Знаешь в чем твоя проблема?
> У тебя не было дискет, ты в те времена еще не родился,
> а теперь тут рассказываешь сказки об их надежности
Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации.

Ответить | Правка | Наверх | Cообщить модератору

94. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 1 (??), 08-Сен-25, 09:13

Вот ради тебя нашёл Verbatium на 1.44 (Извини 5" не осталось дискет у меня ... Валяется 8" но для неё нет дисковода). Всё она читается - какие-то данные для налоговой за 2003 год.
Может из-за тог, что она в жестяной коробке лежала ?
А по поводу "размагничивания" не надо её магнитом к холодильнику крепить.

Ответить | Правка | К родителю #41 | Наверх | Cообщить модератору

93. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 08:41

Ну, он скорее про то, что "не все проблемы, вызывающие невозможность прочитать данные с дискеты вызваны именно "размагничиванием" - да и с надежностью мммм... по разному - от хранения ключей банк-клиента на 4х дискетах и нормальной работой (2-3 операции в неделю) в течении трех лет (Могло бы и больше, наверное - но там уже банк процедуру поменял) и отправки бухгалтерской отчетности по почте - до чтения этих "двух дискет" на трех дисководах с (оправдавшейся!) надеждой, что хоть один из них прочитает.
И, кстати - может он про 5,25" дискеты, с которыми и правда было лучше? :)

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

49. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 18:10

Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

33. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (32), 06-Сен-25, 15:55

Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

75. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от 0xdeadbee (?), 07-Сен-25, 07:19

это понятно, "голь на выдумки хитра и эту страну не победить". хехе.
попробуйте посчитать убытки от торможения бизнес-процессов,
и сопоставить их с расходми на
1) у провайдера взять /29
2) второй канал, второй провайдер, тоже /29.
100 Mbit/sec достаточно. даже 32 Mbit/sec достаточно.
3) настроить два фаерволла с SNAT, чтобы каждый был постоянно подключен
к двум провайдерам, умел определять состояние каналов, балансировать исходящий траф
и выводить дохлый канал из работы.

Ответить | Правка | Наверх | Cообщить модератору

81. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (81), 07-Сен-25, 11:05

> настроить два фаерволла
щас он спросит у чатгпт, как настроить сдван :)

Ответить | Правка | Наверх | Cообщить модератору

89. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 0xdeadbee (-), 07-Сен-25, 18:23

а правда что на каждый SDWAN накладывается обременение в виде vendor lock ?

Ответить | Правка | Наверх | Cообщить модератору

90. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (81), 08-Сен-25, 00:22

гемини отвечает так
"""
Да, обременение в виде vendor lock-in (зависимость от поставщика) — это распространённая проблема в сфере SD-WAN, хотя и не неизбежная.
Что такое vendor lock-in в SD-WAN
Vendor lock-in означает, что, выбрав решение SD-WAN от одного конкретного поставщика, вы сталкиваетесь с высокими издержками и техническими трудностями при попытке перейти на продукт другого производителя.
Это происходит из-за нескольких ключевых факторов:
Проприетарные технологии. Многие SD-WAN-решения используют закрытые протоколы и форматы, которые несовместимы с оборудованием и программным обеспечением других поставщиков. Например, контроллер одного вендора не сможет управлять устройствами (edge devices) другого.
Сложность миграции. Переход на новое решение SD-WAN — это не просто замена одной коробки на другую. Это требует перенастройки всей сетевой архитектуры, политик безопасности и маршрутизации, что может быть очень трудоёмким и дорогим процессом.
Специфические навыки. Для работы с каждым решением SD-WAN требуется обученный персонал, который знаком с конкретным интерфейсом и функционалом. Миграция может потребовать переобучения сотрудников или найма новых специалистов.
Лицензионные соглашения. Контракты с поставщиками могут содержать условия, которые затрудняют или делают невыгодным разрыв отношений.
Как избежать vendor lock-in
Хотя vendor lock-in — это реальный риск, его можно минимизировать, следуя определённым стратегиям:
Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения, основанные на открытых протоколах, что делает их более совместимыми с продуктами других производителей.
Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика, можно строить сеть, используя компоненты от разных производителей, что даёт большую гибкость и снижает зависимость.
Оценивайте простоту миграции. На этапе выбора решения задавайте вопросы о том, как происходит миграция, есть ли у вендора открытые API для автоматизации и интеграции.
Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование. Это позволяет избежать привязки к проприетарному "железу".
"""

Ответить | Правка | Наверх | Cообщить модератору

91. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 0xdeadbee (-), 08-Сен-25, 07:41

спс за инфо. продолжайте доить нейросеть, не остнавливайтесь на пол-пути.
> Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения,
> основанные на открытых протоколах, что делает их более совместимыми с продуктами
> других производителей.
что это за поставщики, названия их решений и открытых протоколов ?
> Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика,
> можно строить сеть, используя компоненты от разных производителей, что даёт большую
> гибкость и снижает зависимость.
какие гарнатии, что решения окжутся совместимыми ? как проводить тестирование и пилот-проекты, чтобы получить значимые результаты ?
> Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают
> SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование.
что это за поставщики, названия их решений и продуктов ?

Ответить | Правка | Наверх | Cообщить модератору

83. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от mickvav (?), 07-Сен-25, 14:27

Если бизнес-процесс - два студента, пилящих курсач - флешка и file:// протокол вполне себе норм решение, если сети _вообще_ нет. Да, потеряется час-два времени недоджунов за неделю работы. Не критично.
Если есть хотя бы ethernet - то кабель между компами + статические айпишники + ssh протокол уже уделают флешку натаком проекте.
Ваши /28 + второй канал + настройка всего этого осмысленны если это _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой. Если инфраструктура в облаке - то нафига вот-это-все, если при отрубании интернета в офисе каждый за пару минут раздает себе интернетик с телефончика? Ну разве что у вас офис на 1000 человек и интернетики с телефончиков перегружают сотового оператора и все лежит...

Ответить | Правка | К родителю #75 | Наверх | Cообщить модератору

88. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от 0xdeadbee (-), 07-Сен-25, 18:18

> Если бизнес-процесс - два студента, пилящих курсач
ок. но все же дождемся ответа анона, который пушил через флэшку.
> Ваши /28 + второй канал + настройка всего этого осмысленны если это
/28 - оверкилл и оверпрайс. /29 достаточно для разумных применений.
> _бизнес_ проект с продолжительностью больше месяца И своей физической инфраструктурой.
> Если инфраструктура в облаке - то нафига вот-это-все,
для фанатов облаков приготовлен отдельный филиал ИТшного ада.
надеюсь, кое-кто (из МТС облаков например) уже там.
кстати для фанатов циски и микротиков - тоже.
> при отрубании
> интернета в офисе каждый за пару минут раздает себе интернетик с
> телефончика
1) спрашивается - почему они изначально не раздавали сами себе ?
и перенастраивать ничего не надо.
2) с мобильными интернетами в некоторых местах этой страны сейчас проблемы.
фанаты облаков отрываются от земли и витают в облаках, как обычно.

Ответить | Правка | Наверх | Cообщить модератору

14. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от localhostadmin (ok), 06-Сен-25, 10:46

Зачем до каменного века скатываться? Может достаточно просто не доверять свою чувствительную инфу сомнительным людям?

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

15. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +3 +/–

Сообщение от Аноним (-), 06-Сен-25, 10:51

Сомнительные люди тут кто?
Мейнтенеры, учетки которых взломали?
Значит надо обходиться без мейнтенеров и писать все в одну персону.
А чтобы твою учетку тоже не взломали, не доверять код интернету, и хранить его на подкроватном сервере.

Ответить | Правка | Наверх | Cообщить модератору

19. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от localhostadmin (ok), 06-Сен-25, 11:52

>> Сомнительные люди тут кто?
Ты хоть новость читал? Очевидно, что разрабы Github Actions Security

Ответить | Правка | Наверх | Cообщить модератору

20. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Ангним (?), 06-Сен-25, 12:02

Разрабы GitHub actions security просто добавили отправку секретов на деревню дедушке. А вот сам этот экшен добавляли сломанные учётки мэинтейнеров.

Ответить | Правка | Наверх | Cообщить модератору

28. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от PROgrm_JARvis (ok), 06-Сен-25, 14:44

> разрабы Github Actions Security
Нет никакого Github Actions Security, там злоумышленники тупо стадию пайплайна так назвали.

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

29. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +10 +/–

Сообщение от Аноним (-), 06-Сен-25, 14:49

Но зачем в это углубляться?
Увидели название гитхаб, вспомнили что ими владеют майкрософт...
Всё этого достаточно чтобы полторы извилины уже отключились, во рту начала собираться пена и с праведным гневом пошли писать глупые комментарии.

Ответить | Правка | Наверх | Cообщить модератору

17. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 11:34

Никаких предложений: говорю ж - нормально всё заинтегрировали, очень удобная штука.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

21. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (21), 06-Сен-25, 12:10

Скажите, а мой репозиторий не скомпрометировали? Как проверить?

Ответить | Правка | Наверх | Cообщить модератору

36. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Anonymus (?), 06-Сен-25, 16:43

>Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга.
А что, двухфакторная авторизация не помогла?

Ответить | Правка | Наверх | Cообщить модератору

39. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 17:00

В том виде, в котором она сейчас реализуется, двухфакторка - это лютый энной. Поэтому принужденные к этой фигне реально будут хранить оба фактора в одном менеджере паролей и вкопировать не глядя.

Ответить | Правка | Наверх | Cообщить модератору

43. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 17:36

> хранить оба фактора в одном менеджере паролей
Чел, второй фактор - это отдельный девайс.
> В том виде, в котором она сейчас реализуется
По твоему заявлению выше очевидно, ты не понимаешь, как она реализуется.

Ответить | Правка | Наверх | Cообщить модератору

44. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (44), 06-Сен-25, 17:43

ты и не понимаешь. Тотп и все там

Ответить | Правка | Наверх | Cообщить модератору

47. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (47), 06-Сен-25, 17:53

Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно. Были бы дешёвые физические устройства для OTP пользовался бы ими

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

51. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Аноним (-), 06-Сен-25, 18:26

> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве. В одном приложении. Удобно.
Но весьма уменьшает безопасность.
> Были бы дешёвые физические устройства для OTP пользовался бы ими
От 50 баксов до ...
Неужели дорого?

Ответить | Правка | Наверх | Cообщить модератору

54. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 18:45

> Что пароль что второй фактор OTP храню [...] На одном устройстве.
Все стараются увеличить безопасность, но наш брат непобедим!
> Что пароль что второй фактор OTP храню в Keepass. На одном устройстве.
У тебя уже есть мобильный смартфон.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

68. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –2 +/–

Сообщение от Аноним (49), 06-Сен-25, 21:36

> стараются увеличить безопасность
Как TOTP увеличит безопасность?
Если пароль утек с сервера, то утечет и секрет. Через ту же дыру.
Если пароль утек у пользователя, то утечет и секрет. У того же балбеса.
Был бы смысл, если бы секрет был ассиметричный. Но симметричный секрет не даёт ничего. Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.

Ответить | Правка | Наверх | Cообщить модератору

72. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 22:34

> Если пароль утек у пользователя, то утечет и секрет.
Нет. Оба утекут только у тех, кто хранит их на одном устройстве. Что непонятного?
> Но симметричный секрет не даёт ничего.
Если человек упрям, как баран, то объяснять что-либо бесполезно.
> Это просто благовидный повод привязать девайс, чтобы деанонимизировать пользователя.
А, ну понятно: ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.

Ответить | Правка | Наверх | Cообщить модератору

77. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (77), 07-Сен-25, 08:51

> Нет. Оба утекут только у тех, кто хранит их на одном устройстве.
Так все хранят.
Только я - в зашифрованной базе KPXC, и браузер в песочнице. А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи.
> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
Деанонимизирует программа-генератор кода, установленная на девайс. Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом. А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум. А ещё можно пошерудить по соседним программам, файлам пользователя, контактам и т.п.

Ответить | Правка | Наверх | Cообщить модератору

84. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 07-Сен-25, 15:03

>> Нет. Оба утекут только у тех, кто хранит их на одном устройстве.
> Так все хранят.
Нет, только альтернативно одаренные, которые не понимают, у чем суть двуфакторки. Ну, вот типа местных комментаторов.
> А ты на телефоне - с уникальными идентификаторами, привязанными к паспорту, с недобраузером в недоОСи.
Естественно, на телефоне. Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактора, и что привязанность телефона к паспотру здесь никакой роли не играет, ведь TOTP можно хоть на тостере генерировать.
>> ты из той секты параноиков, у кого TOPT что-то там деанонимизирует.
> Деанонимизирует программа-генератор кода, Ты в неё, как минимум, секрет сохраняешь, который связан с конкретным аккаунтом.
Опять нет. Секрет сам по себе никак не связан с аккаунтом. Ты, конечно, можешь его подписать "Мой аккаунт на Гитхабе" - но на этом все. Но даже в этом случае взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим.
> А информация, полученная с устройства, уже позволяет связать аккаунт с реальным пользователем. Как минимум
Если кто-то может получать информацию с твоего устройства, то говорить о "деанонимизации" как-то тупо, не находишь? Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами.
В общем, что и требовалось доказать - вы несете типичные бредни параноиков. Воюй дальше, друг!

Ответить | Правка | Наверх | Cообщить модератору

114. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 11:52

> Я-то понимаю, что суть двуфакторки - ВНЕЗАПНО! - в наличии второго фактора
Медаль тебе нужно выдать. "За понимание".
> ведь TOTP можно хоть на тостере генерировать.
А зачем вообще что-то генерировать? Используй второй пароль, хранимый отдельно. А. Тебе сервисы TOTP навязали, вместо второго пароля. Ясно-понятно.
> Секрет сам по себе никак не связан с аккаунтом.
Он хранится на сервере в той же базе данных, что и хэш пароля.
> взломавшие твой телефон люди даже не поймут, какой иммено аккаунт на Гитхабе является твоим.
Зато M$, владеющий Гитхабом, поймёт и сообщит куда следует (в программу национальной слежки), и куда не следует (маркетол-ам) - тоже.
> Если кто-то может получать информацию с твоего устройства
Каждое второй приложение на твоём, обязательном к наличию, телефоне.
> Таким макаром и сохраненные закладки в браузере, история звонков и т.п. являются деанонимизаторами.
Если браузер позволяет их получить любой вкладке без аутентификации.
> Воюй дальше, друг!
Само собой! Спускать шtanы и получать yдовольствие я определенно не намерен.

Ответить | Правка | Наверх | Cообщить модератору

76. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от нейм (?), 07-Сен-25, 07:49

> Все стараются увеличить безопасность, но наш брат непобедим!
И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей. Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже)
Ну и да, расскажи как на безопасность влияют в мобильных тотп мейнстримных аппах: облачная синхронизация (гугол) и санкции на учетки по причине страны (мс аутх, который еще и к гитхабу ао конторе близок).

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

86. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 07-Сен-25, 15:24

> И сейчас ты конечно принесешь в описание такой вектор атаки, который унизительно легок в выполнении и стоимость его настолько низка на любых вариантах АПК, что именно наличие второго отдельного устройства (а точнее смартфона, раз ты на него так запал) требуется для всех пользователей
Конечно приведу: у тебя сперли один фактор (пароль/ломанули телефон), но второй остался у тебя. Аккаунт не взломан.
Но я понимаю, это очень сложная мысль для опеннетного эксперта.
> Под любыми вариантами АПК в том числе понимаются такие, где база кипаса с тотп лежит на шифрованном диске (бэкапы шифрованы тоже)
А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом. И получить все твои пароли, лол. Хотя я не понял, к чему ты это упомянул. Навесить шифрований дисков и паролей можно на любой девайс с TOTP - суть двуфакторности как бы не в этом, а именно в наличии второго фактора.

Ответить | Правка | Наверх | Cообщить модератору

112. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 11:44

> А в этом сценарии достаточно спереть и взломать один фактор - девайс с кипасом.
Так можно и девайс с кодогенератором взломать. На нём, по-любому, рядом будет браузер и нужная веб-кука.
Причем, базу keepassxc ты так просто не сломаешь, если она залочена. А вот на телефоне, всё всегда плейнтекстом валяется на флешке.
> Навесить шифрований дисков и паролей можно на любой девайс
Не на телефон. Там ты всегда "в гостях". Там только видимость шифрования.

Ответить | Правка | Наверх | Cообщить модератору

95. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 09:16

Господи. У тебя на ноуте сканера отпечатка пальцев нет и камера изолентой заклеена? Ну, используй passkey с пин-кодом, что ли - все надежней этого вот позорища будет.

Ответить | Правка | К родителю #47 | Наверх | Cообщить модератору

110. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 11:39

> все надежней этого вот позорища будет.
Очевидно, что TOTP в KPXC хранится не ради безопафосности (с этим обычный пароль справляется), а по необходимости - сервисы его навязывают.

Ответить | Правка | Наверх | Cообщить модератору

113. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 11:45

>> все надежней этого вот позорища будет.
> Очевидно, что TOTP в KPXC хранится не ради безопафосности (с этим обычный
> пароль справляется), а по необходимости - сервисы его навязывают.
И телефон при регистрации отбирают, выдавая nokia 3110 и заставляя использовать СМС!

Ответить | Правка | Наверх | Cообщить модератору

52. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 18:28

> второй фактор - это отдельный девайс
Это в HOTP требуется синхронизация счётчика (C) между клиентом и сервером. (https://www.rfc-editor.org/rfc/rfc4226#section-5)
В TOTP для счётчика используется общеизвестное синхронизированное время. Достаточно хранить секрет (K), и одноразовый пароль можно вычислить независимо. (https://www.rfc-editor.org/rfc/rfc6238#section-4)

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

55. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 18:50

Круть! Но это все как-то противоречит тому факту, что в двуфакторке вторым фактором является отдельный девайс?

Ответить | Правка | Наверх | Cообщить модератору

56. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 19:03

В вебе, в двухфакторках используется TOTP. При регистрации/настройке передаётся секрет, из которого с помощью общеизвестного алгоритма и общеизвестного времени получают временный код. Например, в менеджере паролей, вроде KeePassXC. Девайс не нужен.
Даже если девайс типа "требуется" (например, как в Steam), код можно получить без него. Там другой, но также известный алгоритм (в KPXC есть из коробки). Valve просто привязку телефона у вас так беззастенчиво выпрашивает.

Ответить | Правка | Наверх | Cообщить модератору

57. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 19:07

https://github.com/keepassxreboot/keepassxc/pull/1206

Ответить | Правка | Наверх | Cообщить модератору

63. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 20:50

> Девайс не нужен.
Ты вообще не понял, о чем я тебе говорю. Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).

Ответить | Правка | К родителю #56 | Наверх | Cообщить модератору

66. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:57

Да не помогут тебе даже две корзины, если на той стороне - фишинговый ресурс, на 100% копирующий оригинальный, который сразу же авторизуется дальше под креденшлами юзера, не ожидая смены одноразового презерватива.

Ответить | Правка | Наверх | Cообщить модератору

96. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 09:20

Ну вот для этого тебе passkey придумали, да?

Ответить | Правка | Наверх | Cообщить модератору

100. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 08-Сен-25, 09:51

Именно, вот только оно слишком сложно для большинства девляпсов и около.

Ответить | Правка | Наверх | Cообщить модератору

106. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 10:47

> Именно, вот только оно слишком сложно для большинства девляпсов и около.
Ну, разве только в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual" - интеграции в ОС нет, штатных средств нет - вот тебе пачка костылей имитирующих реализацию - ну там вместо платформенного TPM'а будет у тебя - keepassxc со всеми вытекающими. Но будет, да - и проблему с фишингом решит.
У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.

Ответить | Правка | Наверх | Cообщить модератору

109. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 11:34

> в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual"
Как пользователем настроено, так и будет. То есть у пряморуков - удобно и безопасно, у остальных - как решил админ/сопроводитель/кто-то ещё.
> У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.
У всех остальных будет имитация безопасности, прикрытая фиговым листком. Как обычно. Достаточно на интеграцию TPM в Windows посмотреть, чтобы понять.

Ответить | Правка | Наверх | Cообщить модератору

111. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 11:42

>> в linux'е, т.к. реализация там будет традиционно "с(т)ранненькая", с безопасностью "as usual"
> Как пользователем настроено, так и будет. То есть у пряморуков - удобно
> и безопасно, у остальных - как решил админ/сопроводитель/кто-то ещё.
Ну вот мы видим, ага. "Пряморуки" наяривают на TOTP на том же устройстве - остальные вот вовсе топят за "да фигня это ффсе, ниработаит и проблем не решает!". Может пара "я у мамы хакИр" с чем-то как-то никем и никогда не валидированным по stackoverflow настроенным РЕШЕНИЕМ найдется.
>> У всех остальных более, чем приличная реализация будет "из коробки" с zero setup.
> У всех остальных будет имитация безопасности, прикрытая фиговым листком. Как обычно. Достаточно
> на интеграцию TPM в Windows посмотреть, чтобы понять.
Ну или так, да. Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно - а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то. Старик-с-бритвой как бы намекает нам...

Ответить | Правка | Наверх | Cообщить модератору

115. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 12:53

> "Пряморуки" наяривают на TOTP на том же устройстве
Когда он обязательный, его так обходят.
> ниработаит и проблем не решает!"
Не работает. Не решает. Если пользователь ввёл пароль по фишинговой ссылке, то и код введёт. А вот правильно настроенный парольный менеджер пароль от сайта фейку не отдаст.
> по stackoverflow настроенным РЕШЕНИЕМ найдется
Это у корпоративных разработчиков так принято. Вот тех самых, которые TOTP внедряют везде и всюду.
Хакеры обмениваются знаниями через Вики сообществ (например, Arch Wiki) или публикуя исследования в персональных блогах.
> Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно
И TOTP тут не спасёт.
> а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то
А зачем нужна такая огласка службам, регулярно получающим доступ к вашим устройствам при задержаниях?

Ответить | Правка | К родителю #111 | Наверх | Cообщить модератору

116. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 13:08

>> "Пряморуки" наяривают на TOTP на том же устройстве
> Когда он обязательный, его так обходят.
А, так ты из тех, кто "на зло маме"?
>> ниработаит и проблем не решает!"
> Не работает. Не решает. Если пользователь ввёл пароль по фишинговой ссылке, то
> и код введёт. А вот правильно настроенный парольный менеджер пароль от
> сайта фейку не отдаст.
Ух, и пароль поди - Qwerty123@ назло заставлятелям использовать СЛОЖНОЕ?
>> по stackoverflow настроенным РЕШЕНИЕМ найдется
> Это у корпоративных разработчиков так принято. Вот тех самых, которые TOTP внедряют
> везде и всюду.
> Хакеры обмениваются знаниями через Вики сообществ (например, Arch Wiki) или публикуя исследования
> в персональных блогах.
Не-не-не. У корпоративных как раз - централизованная политика управления.
>> Вот про "понатыквших в фишинговые ссылки" Ъ мы наблюдаем регулярно
> И TOTP тут не спасёт.
Конечно. Пройдет еще лет *цать и индеец Быстрое Полено прочитает про более другие(ТМ) реализации 2FA... но это не точно.
>> а информации о том, что "из-за уязвимой реализации TPM утекло ..." - чот не очень как-то
> А зачем нужна такая огласка службам, регулярно получающим доступ к вашим устройствам
> при задержаниях?
Оу. Ты, надеюсь и аппаратную защиту от терморектального криптоанализа с левой резьбой установил с такой моделью угроз? Придут, панимаишь, четыре тарищмаёра во главе с МЕДАЛЕНОСНЫМ, достанут квантовый паяльник - а ты и ЗАЩИЩЕН!
Уважаю, бро - уважаю!

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

67. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 21:27

Ну валяй, подключай к Стиму телефон. Только и пароль/куки, и TOTP-секрет будут на одном девайсе. Угнал девайс (или одолжил на пять минут) равно угнал аккаунт.

Ответить | Правка | К родителю #63 | Наверх | Cообщить модератору

73. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 06-Сен-25, 22:37

>> Ну валяй - делай из двуфакторки однофакторку, храня все в одной корзине (своем KeePassXC, например).
> Только и пароль/куки, и TOTP-секрет будут на одном девайсе.
Ты адекватный вообще? Я тебе в третий раз повторяю: смысл 2FA в том, чтобы НЕ хранить оба фактора (пароль и TOPT) на одном девайсе.

Ответить | Правка | Наверх | Cообщить модератору

78. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (77), 07-Сен-25, 09:03

> Смысл 2FA
Мало кто предлагает 2FA. Например, второй пароль, который явно более надежен, чем Truncate(HMAC-SHA-1(K,C)).
Все предлагают TOTP. Со своим приложением. Или гугловским - известный коллектор данных и участник программы PRISM. Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон, которые суть - тонкий клиент к веб-серверу + инструменты слежки (сбора и передачи данных).
> The HOTP algorithm is based on an increasing counter value and a static symmetric key known only to the token and the validation service.
Будь там ассиметричный ключ, TOTP имел бы смысл. Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.

Ответить | Правка | Наверх | Cообщить модератору

85. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (43), 07-Сен-25, 15:14

> Мало кто предлагает 2FA
> Все предлагают TOTP.
Ты сам себе противоречишь. TOTP на втором девайсе - это и есть второй фактор. Чисто по определению.
В общем, очередной персонаж, не понявший сути 2fa ринулся против него воевать.
> Т.о. смысл TOTP - деанон через привязку устройств. Как, впрочем, и 99% приложений на телефон
То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP?  Ясно, понятно...
> Т.о. смысл TOTP - деанон через привязку устройств.
Опять эти бредни параноиков. Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН!
> Но с симметричным, это просто ослабленный (для легкого ввода, ага) второй пароль.
Да, второй пароль. На отдельном девайсе. Казалось бы, в голове должно было что-то щелкнуть (ну, в контексте названия "двуфакторность"), но нет...

Ответить | Правка | Наверх | Cообщить модератору

108. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 11:28

> TOTP на втором девайсе - это и есть второй фактор.
( TOTP < 2FA )
> То есть, ты юзаешь Андроидный телефон от ПРИЗМовского Гугла, но деанонимизация происходит именно по TOTP?
Ты юзаешь. У меня KPXC, телефон мне не нужен.
> Ты уже регистрируешь аккаунт на сарсвисе, но вот если он просит 2fa - О БОЖЕ ДЕАНОН!
Если ты при регистрации каждому сервису сообщаешь свой телефон/паспорт, то это твои проблемы.
> Да, второй пароль.
Нет. *Ослабленный* (то есть *бесполезный*) второй пароль.
P.S. Туго соображаешь.

Ответить | Правка | Наверх | Cообщить модератору

97. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 09:23

2FA != TOTP, ёлки.

Ответить | Правка | К родителю #78 | Наверх | Cообщить модератору

82. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (81), 07-Сен-25, 11:11

идея второго фактора в интернете безполезна, куда безопаснее записанный на бумажке второй пароль.

Ответить | Правка | К родителю #73 | Наверх | Cообщить модератору

62. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:47

>> хранить оба фактора в одном менеджере паролей
> Чел, второй фактор - это отдельный девайс.
Бгг, ты просто пользователей не видел :D

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

46. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (46), 06-Сен-25, 17:50

«Принужденные» всегда при любых условиях будут делать всё, что угодно, лишь бы саботировать принуждателя. Без исключений. Но даже в этом случае не вижу проблемы для конечного пользователя. Хороший менеджер паролей заполнит все поля сам, даже копировать не надо — считай, чуть лучше одинакового пароля на всех ресурсах. Для тех, кому 2fa не жмёт и кто понимает как им пользоваться не жертвуя удобством тоже всё хорошо. Недовольно бухтят только опеннетчики, что тоже хорошо — можно почитать комментарии и в очередной раз убедиться, что без работы на ближайшие 50 лет не останусь. Сплошная благодать. Омммммммм…

Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

64. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:55

Я не зря написал - "в том виде, в котором оно сейчас строится".
Вообще там, где надо, есть даже многофакторка - например три человека из группы в пять. При этом каждый со своим брелком с неизвлекаемым приватным ключом и пином к этому брелку, которого именно имеющий брелок - не знает.
Но вот TOTP "в текущем виде", например так, как для пользователей разных гитшляп, особенно с переавторизацией каждый час - это тупой энной и провокация. Его будут сейвить в один KeePass рядом с паролем и копипастить. Или читать с брелка - и набивать в общий кейлоггер не глядя.

Ответить | Правка | Наверх | Cообщить модератору

65. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +1 +/–

Сообщение от Tron is Whistling (?), 06-Сен-25, 20:56

То есть не провокация, а профанация, простите.

Ответить | Правка | Наверх | Cообщить модератору

74. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (46), 07-Сен-25, 05:48

> переавторизацией каждый час
Проблемы страны вечных NATов.
Откровения про шамира и сколько паролей автоматически вводит keepass читать лень. Ещё раз: кому надо пользуется как надо, за остальных 1Password всё делает что так, что эдак. Не работает эта схема только у людей без интернета и мамкиных борцунов со слежкой инопланетянами, накрутивших uMatrix. Других причин пока обнаружено не было.

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

98. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 09:26

TOTP - _устаревшая_ технология, которую НЕ НАДО использовать при наличии "более других"(ТМ) возможностей. Индустрия, если что - идет в сторону passkeys.
Тут вот тебе и аутентификация на ключах, и защита от фишинга из коробки, и удобство использования, и хранение этого вот добра в TPM конечного устройства с разблокировкой доступа "как выберешь" - но... Н-ноо, лошадка! У меня есть TOTP!!!111

Ответить | Правка | К родителю #64 | Наверх | Cообщить модератору

99. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 08-Сен-25, 09:50

И я о том же.

Ответить | Правка | Наверх | Cообщить модератору

101. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 08-Сен-25, 09:54

Но с passkeys и вообще любым 2FA есть всё та же проблема, выше упомянутая: оно всё на одном девайсе :) Даже если вы брелок суёте в девайс - оно всё равно на одном девайсе.
Т.е. реальная 2FA реализуется ВНЕЗАПНО не через браузер или аппликуху, которая авторизуется. Это ещё и вторая аппликуха на втором девайсе, которая ОТДЕЛЬНО получает запрос на авторизацию, который пользователь подтверждает. Такие дела.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

105. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 10:36

> Но с passkeys и вообще любым 2FA есть всё та же проблема,
> выше упомянутая: оно всё на одном девайсе :) Даже если вы
> брелок суёте в девайс - оно всё равно на одном девайсе.
> Т.е. реальная 2FA реализуется ВНЕЗАПНО не через браузер или аппликуху, которая авторизуется.
> Это ещё и вторая аппликуха на втором девайсе, которая ОТДЕЛЬНО получает
> запрос на авторизацию, который пользователь подтверждает. Такие дела.
В общем "нет". Может быть проблема доверия конечной реализации TPM - насколько оно там у тебя "неизвлекаемое" на самом деле и проблема надежности аутентификации\авторизации на конечном устройстве в случае его кражи (TPM конечно хорошо - но passcode 1111 в соответствии с best practice(ТМ) или там разблокировка-по-фотографии) - но тут уже модель угроз немножко другая.

Ответить | Правка | Наверх | Cообщить модератору

102. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Tron is Whistling (?), 08-Сен-25, 09:57

И тут мы возвращаемся к исходной проблеме: фишинговый ресурс вполне себе такой запрос послать может, если попытается авторизоваться с первым фактором на исходном ресурсе. Шах и мат, и никаких реальных путей решения для публичных сервисов здесь не существует.

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

104. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от User (??), 08-Сен-25, 10:27

> И тут мы возвращаемся к исходной проблеме: фишинговый ресурс вполне себе такой
> запрос послать может, если попытается авторизоваться с первым фактором на исходном
> ресурсе. Шах и мат, и никаких реальных путей решения для публичных
> сервисов здесь не существует.
Нет, не может. Конкретный passkey привязан с одной стороны к твоему ресурсу, а с другой - к конкретному потребителю. Не ты глазками выбираешь "а какой из пасскеев сунуть gitthub.com"? а система смотрит, есть ли у неё что-то ассоциированное с этим вот сайтом и если есть - ну, на тебе запрос на разблокировку TPM и вот это ффсе.

Ответить | Правка | Наверх | Cообщить модератору

45. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (45), 06-Сен-25, 17:49

> Анализ изменений в репозитории FastUUID показал, что 2 сентября мэйнтейнер проекта добавил коммит с новым обработчиком Github Action, в котором содержался код для отправки токена к репозиторию PyPI на внешний хост.
Всё правильно сделал. Он же не бесплатно эту библиотеку разрабатывал. Лицензия явно позволяет ему так делать. Вы бесплатно дары данайцев берёте (что fastuuid, что проект fastllm, купленный задешево по цене разработки "бесплатной" либы-зависимости), а потом удивляетесь "а за що?!" Потому что жизнь такая. Не нравится - можете всю экосистему лично для себя делать. Сначала дейтацентр купите, потом LLM свою натренируйте на своих данных, а потом с помощью LLM персонально для себя перепишите всю софтовую экосистему, какая вам нужно, а иначе так и будете жить на либох, служащих не тебе, а чужому господину.
Таких атак дальше будет только больше: LLM позволяют даже васяну дешево писать "бесплатный" высококачественный код, который уже окупается через бекдоры.

Ответить | Правка | Наверх | Cообщить модератору

50. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 18:20

Ст. 273 УК РФ

Ответить | Правка | Наверх | Cообщить модератору

53. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 18:29

И какое отношение понятия папуасов имеют к серверам Github?

Ответить | Правка | Наверх | Cообщить модератору

58. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (49), 06-Сен-25, 19:14

А ты сам-то с какого раёна будешь?

Ответить | Правка | Наверх | Cообщить модератору

59. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (59), 06-Сен-25, 19:20

Это неприменимо: принимая лицензию на программу (включая зависимые библиотеки) вы подтверждаете, что согласны на любой вред, который она нанесёт, и подтверждаете, что вы сами несёте за него ответственность. Иначе можно и разрабов coreutils за бинарь rm обвинить - она может стереть все данные на жёстком диске. Однако разрабы не виноваты, что пользователь не читает лицензи  документации, а лучшая документация к программе - это её исходный код. Разрабы fastbullshit делали библиотеку исключительно для себя, то что выложили на github - это чтобы вы поизучать могли, и не виноваты, что вы не читаете исходный код и тащите в свою программу какие попало зависисмости, а равно используете программы других разрабов, не читая их код и не аудируя зависимости, в общем дарёному коню в зубы не смотрите, а конь данайцев оказался.

Ответить | Правка | К родителю #50 | Наверх | Cообщить модератору

60. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (49), 06-Сен-25, 19:30

> принимая лицензию на программу
У УК приоритет выше.
> бинарь rm
Сам себя не запустит. И делает ровно то, о чём заявляет.
> Разрабы fastbullshit
Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.

Ответить | Правка | Наверх | Cообщить модератору

69. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (69), 06-Сен-25, 22:26

Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними?
>Сам себя не запустит. И делает ровно то, о чём заявляет.
Та либа тоже сама себя не запустит, её ручками в проект притащили. И сам этот проект тоже ручками во все остальные места затащили, а не в результате drive-by взлома.
>Незаявленное поведение, причиненный вред, злой умысел. Для возбуждения только заявления не хватает.
любой DRM подпадает абсолютно под то же самое, так же как и системный промпт и файнтюнинг в ChatGPT, предписывающий модели врать, когда это необходимо для интересов компании и США, так же, как и системы шпионажа "телеметрии" в приложениях и ОС, так же, как откровенно вредоносные скрипты, активирующиеся автоматом до того, как у пользователя есть шанс прочитать лицензионное соглашения на них и явно с ним согласиться. Что же всех этих копирастов и пособников до сих пор не посадили?

Ответить | Правка | Наверх | Cообщить модератору

79. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (77), 07-Сен-25, 09:31

> Что же тогда "* Bear" не сидят поголовно, не видим массовых судов над ними?
Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию.
> Та либа тоже сама себя не запустит, её ручками в проект притащили.
Код отправки подстановлен после.
> Что же всех этих копирастов и пособников до сих пор не посадили?
См. ответ на первый вопрос. Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии". За ликбез не благодари, пользы от тебя всё равно никому не будет.

Ответить | Правка | Наверх | Cообщить модератору

87. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (87), 07-Сен-25, 17:53

>Потому что никто не призвал их к ответу? Потому что все малодушно и трусливо считают, что они зрители в кинотеатре, а не полноправные участники общественной жизни? См. "Общество спектакля" и прочую философию.
Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно не может призвать их к ответу ... А вы тут мне рассказываете, что бесправные рабы могут призвать к ответу того, кого на порядки более опасные и могучие призвать к ответу не могут.
>Код отправки подстановлен после.
И что? Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти. В почти всех лицензиях написано, что AS IS и на свой страх и риск.
>Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии".
Нет, это называется "монополистический капитализм", который вообще нифига не капитализм. А про оседлых бандитов я и до тебя знал. И не надо мне втирать про то, что кто-то кому-то что-то должен. Тут у каждого только то, что он взял. Вот разраб той либы взял своё - вот и получил что заслужил. И не тебе его судить. Всяким двуличным бандитам с двойными стандартами он по-видимому интересен только с точки зрения того, имеет ли он понимание, когда приходится делиться. Раз он такое провернул, то есть вероятность, что очень даже имеет.

Ответить | Правка | Наверх | Cообщить модератору

107. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (114), 08-Сен-25, 11:19

> Американская ОПГ своим врагам спуску не даёт, но даже оно всё равно
> не может призвать их к ответу ... А вы тут мне
> рассказываете, что бесправные рабы могут призвать к ответу того, кого на
> порядки более опасные и могучие призвать к ответу не могут.
"Рабы" - по эту сторону границы, а "ОПГ" - по ту.
Но прецеденты призвания к ответу были, как у тех (1917 год), так у других ("Русские хакеры: Начало").
> Используя либу вы заранее соглашаетесь со всем, что её владельцам может в готову прийти.
Исключая злонамеренные действия.
> В почти всех лицензиях написано, что AS IS и на свой страх и риск.
Есть более приоритетные нормативно-правовые документы.
>>Плюс, "копирасты" зарабатывают деньги (идол) и делятся ими с "крышей" (налоги). Это называется "буржуазное государство" или "диктатура буржуазии".
> Нет, это называется "монополистический капитализм", который вообще нифига не капитализм.
Любите вы придумывать сорта капитализма, для оправдания неприглядной действительности. Только он везде такой и во все времена.
Всё по классике. Отрицание. Гнев. Торг.
> Вот разраб той либы взял своё - вот и получил что заслужил.
Нет. Но ещё получит.

Ответить | Правка | Наверх | Cообщить модератору

61. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от Аноним (61), 06-Сен-25, 19:51

> "Разрабы"
Разработчики обязаны соблюдать законы нашей Вилкой страны! Вы согласны в этом, или нет?
Даже в том случаи, если просто выложил открытый код, разраб должен нести полную ответственность (в том числе и уголовную) за свой код!
А если разработчик находится в другой стране, то он должен быть экстрадирован к нам для суда!

Ответить | Правка | К родителю #59 | Наверх | Cообщить модератору

70. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." –1 +/–

Сообщение от Аноним (69), 06-Сен-25, 22:29

>связанной с пакетом FastUUID, предоставляющем Python-обвязку над Rust-библиотекой UUID
Они там с ума посходили? UUID v4 - случайный, для его генерации библиотека, тем более на Rust, не нужна, а для никаких других UUIDов в принципе нет легитимного применения.

Ответить | Правка | Наверх | Cообщить модератору

103. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..." +/–

Сообщение от бочок (??), 08-Сен-25, 10:17

сортировка :(

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

4. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–11 +/–
Сообщение от Аноним (4), 06-Сен-25, 10:18
> GitHub Actions даёт возможность разработчикам кода прикреплять обработчики для автоматизации различных операций в GitHub. Как новорится, ССЗБ. Нечего в проприетарном не селфхост облаке хранить критичные данные.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+13 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:30
	Дядя Петя, ты дундук? (с) > Вредоносный коммит добавлялся с учётных записей мэйнтейнеров проектов, которые, вероятно, до этого были взломаны или стали жертвой фишинга. Что мешает взломать твое не проприетарное селфхостед облако? Если ты им пользуешься сам, то может тебе хватит "Новая Папка (1)", "Новая Папка (2)" и тд? А если у тебя распределенная команда, то вероятность того что их взломают, не меньше гита.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (26), 06-Сен-25, 14:33
	>"Новая Папка (1)", "Новая Папка (2)" и тд А что, на self hosted запрещается использовать git daemon?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–1 +/–
	Сообщение от КО (?), 06-Сен-25, 15:30
	Отсутствие неподконтрольного тебе обработчика
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	38. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от ffirefox (?), 06-Сен-25, 16:52
	Если команда небольшая удобнее просто использовать Fossil вместо папок. GitHub всё больше в помойку превращается. Большинство реп никому не нужны кроме хозяина. А с приходом ИИ всё становится ещё печальней.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	92. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от User (??), 08-Сен-25, 08:26
	Не, ну это конечно тоже вариант - "нет ci\cd как концепции - нет проблем с ci\cd", тут не поспоришь. Конечно будет проблема найти второго такого в "команду" - но тут на помощь всегда может прийти кот.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+4 +/–
	Сообщение от Анон666 (?), 06-Сен-25, 12:21
	Угу, отрвился хлебом - пеки сам
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

6. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
Сообщение от Андрей (??), 06-Сен-25, 10:25
Никогда такого не было и вот опять ?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+7 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:33
	Ага. Если учетку мейнтенера сломают, то могут сделать плохие вещи. Кто бы мог подумать?!! ИЧСХ у "типа конкурентов" гитхаба есть такие же экшены docs.gitlab.com/user/project/quick_actions/ docs.gitea.com/usage/actions/comparison
	Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–2 +/–
	Сообщение от Аноним (32), 06-Сен-25, 15:52
	Gitlab это скорее клон github Нормальную конкуренцию может составить radicle.xyz
	Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–3 +/–
	Сообщение от Аноним (-), 06-Сен-25, 15:58
	> Нормальную конкуренцию может составить radicle.xyz Это ты про п2п штуку для нетакусиков? Нормальные люди такой дичью не страдают. Ты бы еще даркнет предложил)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	48. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Анон666 (?), 06-Сен-25, 17:55
	Что у вас с логикой? Конкуренцию продукту А может составить продукт Б, который лучше удовлетворяет запрос потребителя, либо имеет другие рыночные преимущества. То что вы говорите, это _разнообразие_, а не конкуренция. По вашей же логике получается, что конкуренцию БМВ и Ауди может составить паровой автомобиль.
	Ответить \| Правка \| К родителю #32 \| Наверх \| Cообщить модератору

9. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+3 +/–
Сообщение от Tron is Whistling (?), 06-Сен-25, 10:33
Системы непрерывной интеграции троянов всё заинтегрировали нормально.
Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Аноним (-), 06-Сен-25, 10:38
	Ваши предложения? Передевать код на дискетках как диды? Кричать "вася не трогай файл N я туда сейчас буду изменения заливать!"? Не делать автотесты перед мерджом?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от 27730 (?), 06-Сен-25, 10:43
	да лучше на дискетах, сто процентов безопасно
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Аноним (16), 06-Сен-25, 11:29
	Особенно, если она размагнитится по пути.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Да ну нах (?), 06-Сен-25, 11:42
	Два чая этому господину!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Ананоним (?), 06-Сен-25, 15:09
	Мои дискеты не размагнитились за 35 лет. Что у тебя там за путь или дискеты?
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	35. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 16:13
	Сказочник, блин Даже для того, что бы донести из дома до универа писали минимум на две дискеты, потому что одна вполне может размагнитится даже за время пути из дома в универ. А у тебя якобы за 35 лет нифига Ну, то есть я тебе верю. У тебя нет ни одной дискеты и потому ни одна не размагнитилась
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Ананоним (?), 06-Сен-25, 17:07
	Твоя сказка про твои дискеты и путь выглядит для меня как "купил колонки в магазине за 100500 денех, пока нёс до дома, магниты в динамиках размагнитились". :D Если то не понимаешь что такое "размагнитились" или от чего реальное размагничивание происходит, то ты ССЗБ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Эксконтрибутор FreeBSD (?), 06-Сен-25, 17:13
	Знаешь в чем твоя проблема? У тебя не было дискет, ты в те времена еще не родился, а теперь тут рассказываешь сказки об их надежности
	Ответить \| Правка \| Наверх \| Cообщить модератору


	42. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–2 +/–
	Сообщение от Ананоним (?), 06-Сен-25, 17:30
	> Знаешь в чем твоя проблема? > У тебя не было дискет, ты в те времена еще не родился, > а теперь тут рассказываешь сказки об их надежности Ты так уверен, что я подозреваю что у тебя стойкие галлюцинации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от 1 (??), 08-Сен-25, 09:13
	Вот ради тебя нашёл Verbatium на 1.44 (Извини 5" не осталось дискет у меня ... Валяется 8" но для неё нет дисковода). Всё она читается - какие-то данные для налоговой за 2003 год. Может из-за тог, что она в жестяной коробке лежала ? А по поводу "размагничивания" не надо её магнитом к холодильнику крепить.
	Ответить \| Правка \| К родителю #41 \| Наверх \| Cообщить модератору


	93. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от User (??), 08-Сен-25, 08:41
	Ну, он скорее про то, что "не все проблемы, вызывающие невозможность прочитать данные с дискеты вызваны именно "размагничиванием" - да и с надежностью мммм... по разному - от хранения ключей банк-клиента на 4х дискетах и нормальной работой (2-3 операции в неделю) в течении трех лет (Могло бы и больше, наверное - но там уже банк процедуру поменял) и отправки бухгалтерской отчетности по почте - до чтения этих "двух дискет" на трех дисководах с (оправдавшейся!) надеждой, что хоть один из них прочитает. И, кстати - может он про 5,25" дискеты, с которыми и правда было лучше? :)
	Ответить \| Правка \| К родителю #35 \| Наверх \| Cообщить модератору


	49. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (49), 06-Сен-25, 18:10
	Размагнитится - вряд ли. А вот сектора у трёхдюймовок бились только в путь.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	33. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+1 +/–
	Сообщение от Аноним (32), 06-Сен-25, 15:55
	Кстати был случай, у нас упал интернет и мы пушили на флешку (file:// протокол) и пулились оттуда :)
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	75. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	–1 +/–
	Сообщение от 0xdeadbee (?), 07-Сен-25, 07:19
	это понятно, "голь на выдумки хитра и эту страну не победить". хехе. попробуйте посчитать убытки от торможения бизнес-процессов, и сопоставить их с расходми на 1) у провайдера взять /29 2) второй канал, второй провайдер, тоже /29. 100 Mbit/sec достаточно. даже 32 Mbit/sec достаточно. 3) настроить два фаерволла с SNAT, чтобы каждый был постоянно подключен к двум провайдерам, умел определять состояние каналов, балансировать исходящий траф и выводить дохлый канал из работы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	81. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (81), 07-Сен-25, 11:05
	> настроить два фаерволла щас он спросит у чатгпт, как настроить сдван :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	89. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от 0xdeadbee (-), 07-Сен-25, 18:23
	а правда что на каждый SDWAN накладывается обременение в виде vendor lock ?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	90. "В ходе атаки GhostAction скомпрометировано 817 репозиториев ..."	+/–
	Сообщение от Аноним (81), 08-Сен-25, 00:22
	гемини отвечает так """ Да, обременение в виде vendor lock-in (зависимость от поставщика) — это распространённая проблема в сфере SD-WAN, хотя и не неизбежная. Что такое vendor lock-in в SD-WAN Vendor lock-in означает, что, выбрав решение SD-WAN от одного конкретного поставщика, вы сталкиваетесь с высокими издержками и техническими трудностями при попытке перейти на продукт другого производителя. Это происходит из-за нескольких ключевых факторов: Проприетарные технологии. Многие SD-WAN-решения используют закрытые протоколы и форматы, которые несовместимы с оборудованием и программным обеспечением других поставщиков. Например, контроллер одного вендора не сможет управлять устройствами (edge devices) другого. Сложность миграции. Переход на новое решение SD-WAN — это не просто замена одной коробки на другую. Это требует перенастройки всей сетевой архитектуры, политик безопасности и маршрутизации, что может быть очень трудоёмким и дорогим процессом. Специфические навыки. Для работы с каждым решением SD-WAN требуется обученный персонал, который знаком с конкретным интерфейсом и функционалом. Миграция может потребовать переобучения сотрудников или найма новых специалистов. Лицензионные соглашения. Контракты с поставщиками могут содержать условия, которые затрудняют или делают невыгодным разрыв отношений. Как избежать vendor lock-in Хотя vendor lock-in — это реальный риск, его можно минимизировать, следуя определённым стратегиям: Выбирайте решения на базе открытых стандартов. Некоторые поставщики предлагают решения, основанные на открытых протоколах, что делает их более совместимыми с продуктами других производителей. Используйте мульти-вендорный подход. Вместо того чтобы полагаться на одного поставщика, можно строить сеть, используя компоненты от разных производителей, что даёт большую гибкость и снижает зависимость. Оценивайте простоту миграции. На этапе выбора решения задавайте вопросы о том, как происходит миграция, есть ли у вендора открытые API для автоматизации и интеграции. Рассматривайте решения с "белой" коробкой (white box). Некоторые поставщики предлагают SD-WAN-софт, который можно установить на стандартное, общедоступное оборудование. Это позволяет избежать привязки к проприетарному "железу". """
	Ответить \| Правка \| Наверх \| Cообщить модератору