Здравствуйте, Ночной Смотрящий, Вы писали:
S>>Владелец в своём праве. Разработай что-нибудь сам и не пускай контрибьютить жителей Европы, США, или Украины.
НС>Уверен? Так я напомню, что один из топов того самого гитхаба недавно призывал бойкотировать проекты, в командах которых нет черных, женщин и/или ЛГБТ.
Да и хрен с ним. Если твой проект действительно нужен людям, они и с твоего репозитория скачают, а не с гитхаба.
Здравствуйте, Anton Batenev, Вы писали:
AB>кого надо будет обходить за версту, когда это все закончится.
Это закончится не скоро, и особого выбора к тому моменту не будет.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, Michael7, Вы писали:
M>Ранее уже были инциденты, когда автор, емнип colors.js возбухнул
Вроде бы первым сломавшим все интернетики был аффтар мегасложного кода leftpad.
Я ещё тогда фейспалмил от идиотов, которые будут подключать сторонний модуль хз откуда для такой элементарнейшей вещи.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
M>Строго говоря, это в очередной раз показало какое же адское говнище есть вся эта web js-фреймворчная архитектура, в которой один js фреймворк ссылается на другой, все это бурлит и загружается-подгружается со сторонних сайтов и конца краю не найдешь. Ранее уже были инциденты, когда автор, емнип colors.js возбухнул, что он получается за бесплатно на фейсбук работает, захотел зарплаты там, но его кажется даже не услышали и он как автор выпилил этот скрипт, куда мог дотянуться и отчего было дело слегка попадали даже крупные корпоративные сайты.
В таком случае любой сколько-нибудь крупный проект — либо "адское говнище", либо еле шевелится и не развивается. Потому что либо все всем доверяют и каждый вносит свой вклад, в результате чего проект довольно активно движется и обрастает участниками, но любой мудак может в него насрать и сделать плохо всем. Либо все за всеми следят в результате проект еле шевелится, потому что чем больше участников — тем медленнее вносятся изменения и новые участники тоже добавляются с трудом — велик порог входа (такая ситуация, например, в Debian, там стать мейнтейнером — пройти несколько кругов ада и проще создать свой репозиторий, зато код проверяют довольно тщательно).
В ядре Linux не так давно была похожая история — чудаки из универа решили добавить туда багов и написали отчет, как хреново разработчики ядра следят за кодом, который в него добавляют (их коммиты пропустили). Мудаков оперативно забанили, их коммиты стали тщательно проверять. Короче, куча работы из-за очередных ушлепков.
Суть в том, что чем больше в проекте разработчиков и чем проще туда вносить свой код — тем быстрее он движется и тем проще туда нагадить (а если ты имеешь доступ к проекту, то насрать в него всегда найдешь как при желании). Более жесткие требования усложняют в первую очередь внесение полезного нового кода и напрочь убивают возможность попадания в такой проект новых людей (если ты в проекте давно, то к тебе и проще относятся и нужные связи у тебя уже налажены, а новичков часто откровенно чморят и относятся намного строже, да и связей еще никаких нет, поэтому: "Да ну, на — пойду на JS писать — там меня за человека считают и коммиты пропускают.").
S>>Владелец в своём праве. Разработай что-нибудь сам и не пускай контрибьютить жителей Европы, США, или Украины.
НС>Уверен? Так я напомню, что один из топов того самого гитхаба недавно призывал бойкотировать проекты, в командах которых нет черных, женщин и/или ЛГБТ.
А чем закончилось? Собака лает — караван идет. Или был какой-то реальный результат. Потому что на очередного балабола насрать.
Здравствуйте, Reset, Вы писали:
R>В таком случае любой сколько-нибудь крупный проект — либо "адское говнище", либо еле шевелится и не развивается. Потому что либо все всем доверяют и каждый вносит свой вклад, в результате чего проект довольно активно движется и обрастает участниками, но любой мудак может в него насрать и сделать плохо всем. Либо все за всеми следят в результате проект еле шевелится, потому что чем больше участников — тем медленнее вносятся изменения и новые участники тоже добавляются с трудом — велик порог входа (такая ситуация, например, в Debian, там стать мейнтейнером — пройти несколько кругов ада и проще создать свой репозиторий, зато код проверяют довольно тщательно).
Я так назвал именно веб-инфраструктуру за то, что в отличие от Debian, ядра Linux и прочих привычных операционных систем и софта в них, она подразумевает, что все эти скрипты все время апдейтятся и подгружаются со сторонних сайтов. Более того, чтобы все сделать статично и загружать со своих серверов надо приложить определенные усилия. В результате удивительно действительно не то, что подобные истории происходят, а что они все же еще достаточно редкие.
R>>В таком случае любой сколько-нибудь крупный проект — либо "адское говнище", либо еле шевелится и не развивается. Потому что либо все всем доверяют и каждый вносит свой вклад, в результате чего проект довольно активно движется и обрастает участниками, но любой мудак может в него насрать и сделать плохо всем. Либо все за всеми следят в результате проект еле шевелится, потому что чем больше участников — тем медленнее вносятся изменения и новые участники тоже добавляются с трудом — велик порог входа (такая ситуация, например, в Debian, там стать мейнтейнером — пройти несколько кругов ада и проще создать свой репозиторий, зато код проверяют довольно тщательно).
M>Я так назвал именно веб-инфраструктуру за то, что в отличие от Debian, ядра Linux и прочих привычных операционных систем и софта в них, она подразумевает, что все эти скрипты все время апдейтятся и подгружаются со сторонних сайтов. Более того, чтобы все сделать статично и загружать со своих серверов надо приложить определенные усилия. В результате удивительно действительно не то, что подобные истории происходят, а что они все же еще достаточно редкие.
После разных историй типа чувак удалил свои репозитории потому что его задолбали особо политкорректные, а затем кто-то другой создал репозитории с тем же названием и зловредами внутри, репозитории в разных языках стали делать так, чтобы туда что-то троянское было добавить довольно сложно. Сейчас когда ты используешь внешние пакеты, для них высчитывается хеш и эта информация распространяется с твоими исходниками (в виде файла с версиями установленных пакетов и их хешами). В результате при клонировании твоего репозитория, все зависимости скачаются не просто той же версии, а побайтно одинаковые с тем, что было у тебя (даже если ссылка на твой пакте ведет на github).
Кроме того, в OpenSource мудаков-фанатиков не так много. И даже в случае с node-ipc информация о трояне стала оперативно известна, а мейнтейнеры vue-cli отреагировали рационально (сами зафиксировали версию внешнего пакета на варианте без трояна).
Так что таких событий не избежать, но они довольно редкие и исправляют ситуацию довольно оперативно.
В идеале я еще хочу, чтобы их прокуратура отреагировала на эти события. Ах, мечты, мечты...
Здравствуйте, Cyberax, Вы писали: C>Автор патча забанен в Github и больше не будет вредить. C>В упор не вижу никаких попыток уничтожить российский софт.
Ты лжешь.
Дело обстоит следующим образом. 7 марта разработчик и мейнтенер с кистально чистой репутацией более 40 популрных пакетов для инфраструктуры npm, большая часть из которых транзитивные, создал пакет peacenotwar, который не просто выводил в консоль баннер мира в консоль, но еще и создавал текстовые файлы WITH-LOVE-FROM-AMERICA.txt с определенным содержимым на рабочем столе, в домашнем каталоге пользователя а так же в OneDrive, если он имеется на компьюетере.
После чего он добавил этот модуль в качестве зависимости в свой же пакет node-ipc, который являетс транзитивной зависимостью во множестве популярном программном обеспечении, например в инструментах Vue.js и Unity.
Но этого ему показалось мало, после чего он добавил деструктивный обсфуцированный код в сам пакет node-ipc (https://github.com/RIAEvangelist/node-ipc/blob/847047cf7f81ab08352038b2204f0e7633449580/dao/ssl-geospec.js), который совершал запрос к удаленному сервису геопозиции, определял страну по IP-адресу, и в случае совпадения страны с Росиией или Белоруссией рекурсивно проходил по всем каталогам на жестком диске и затирал содержимое всех файлов на эмоджи-сердечко, на которые хватало прав.
Помимо добавления вредоносного кода, разработчик так же опакетил эту версию модуля и опубликовал ее в репозитории пакетов. После чего она была скачана несколько тысяч раз.
Лишь спустя 24 часа пакет был заблокирован в репозитории, а разработчик стал активно заметать следы, пытаясь скрыть преступление. Он активно отрицал содеянное, удалял все комментарии в баг-трекере которые указывали на это и вообще до последнего врал. Тем временм сам пакет node-ipc в репозитории был обновлен до новой версии уже без кода удаляющего файлы, но все еще создающего файлы на рабочем столе и в OneDrive.
Боьшинство пользователей заметило что-то неладоное именно потому что у них ВНЕЗАПНО стали появляться файлы WITH-LOVE-FROME-AMERICA.txt на рабочем столе.
Тем временем один китайский разработчик проводил расследование, собирая все доказательства и деобсфуцируя вредоносный код. Сам же автор пытался всячески этому препятсовать. Лишь спусят неделю удалось доказать все, что произошло и зарегистрировать CVE. В том чсиле в базе NIST https://nvd.nist.gov/vuln/detail/CVE-2022-23812
Но даже после этого, разработчик всячески отрицал свою вину, говоря буквально — "этот код выглядит страшно, однако оне может быть исполнен, потому что я отозвал API_ключ к сервису геопозиционирования". Тем неменее на момент публикации пакета в репозитории ключ был работспособным, а следовательно код мог выполняться.
В то же время администрация гитахаба никак не реагирует на множество жалоб на данную ситуацию, несмотря на то, что явно нарушены ToS,а немногим ранее в аналогичном происшествии, когда другой раработчик color.js и faker решил протестова — он был заблокирован в тот же день.
Разработчик node-ipc не заблокирован до сих пор и никакого наказания он не понес. Все это создало прецедент показавший, что ЛЮБОЙ мейнтенер в ЛЮБОМ репозитории в современных условях может прикрыться какой-то идеей и не бояться уголовного преследования.
По состоянию на сегодняшний день разработчика активно травят. Ему заказывают доставку пиццы на дом и вызывают к нему домой полицию, о чем он активно пишет. Вчера был взломан его твиттер, в котором хакер сменил его аватар на Российский флаги разместил неколько изобличающих твиттов.
Таким образом мы видим, что на самом деле активный и ужасный лжец здесь именно ты, отрицающий происходящее и называющий белым черное, даже когда тебе показывают все перед носом.
Здравствуйте, Reset, Вы писали:
R>В ядре Linux не так давно была похожая история — чудаки из универа решили добавить туда багов и написали отчет, как хреново разработчики ядра следят за кодом, который в него добавляют (их коммиты пропустили).
И таки формально они правы. См байку про хакера и солонки в столовой.
R> Мудаков оперативно забанили, их коммиты стали тщательно проверять. Короче, куча работы из-за очередных ушлепков.
Хорошо что эти ушлёпки были в общем то безобидными, а не серьёзными дядьками с весьма нехорошими намерениями.
... << RSDN@Home 1.3.110 alpha 5 rev. 62>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, CreatorCray, Вы писали:
CC>Вроде бы первым сломавшим все интернетики был аффтар мегасложного кода leftpad. CC>Я ещё тогда фейспалмил от идиотов, которые будут подключать сторонний модуль хз откуда для такой элементарнейшей вещи.
Так это их гуру научили, про повторное использование кода. Хотя тут еще надо додуматься поискать такой пакет.
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, L.K., Вы писали:
scf>>завести уголовные дела по 272й статье
LK>Зачем? Просто для галочки? Или забугорная полиция будет помогать расследованию?
Если эти умники, не успели сдрыснуть с Украины, то хватит российской полиции.
Если раньше от любой либы можно было ждать просто ошибок, то сейчас брать не провернный код стало опасно.
Я после этих событий скачивая обработку для 1С на всякий случай пробежал глазами по коду, чтобы явного говна не было.
Теперь чужой код минное поле.
Фишка опен-сосрса померла.
Тю, проснулись, едрёнть. Китай с 2004-го года начал прорабатывать эти вопросы. И Harmony на замену трансгендерному ведру не просто так делают, а с полным пониманием целей и задач.
Если коротко, то fork+fix
Если длинно, то: вот тебе нужен некий опенсорц софт. Ты на него завязан. Крепко сидиш. В софте появляется некое говно. Что тебе будет дешевле — найти и внедрить чтото другое или нанять программиста/отсорс контору, которые форкнут и будут по мере необходимости черрипикать изменения из оригинального репозитория?
Как по мне, так всё зависит от глубины этой вязанки сосисек, которую уже успел проглотить. Если первая всего лишь только в желудке, то можно и вытащить аккуратно. И попробовать найти другие сосиски. Ну, если они вообще есть.
А вот если первая уже недалеко от выхода, то сами понимаете...
Можно присоединиться к веселью и делать свои коммиты, исправляя страны с РФ и Белоруссии на США с Украиной.
Но вообще это дурость, как раз в опенсорсе такое палится мгновенно.
А вот в проприетарный софт можно с легкостью запихать много всякого.
По УК РФ, если не ошибаюсь, это попадает под статью о написании вредоносного кода и, возможно, под терроризм.
Можно закатывать международные скандалы и требовать выдачу в РФ компьютерных преступников для суда над ними.
Обвинять при отказе власти США и ЕС в пособничестве преступности и т.д.
Как запру я тебя за железный замок, за дубовую дверь окованную,
Чтоб свету божьего ты не видела, мое имя честное не порочила…
М. Лермонтов. Песня про царя Ивана Васильевича, молодого опричника и удалого купца Калашникова
Здравствуйте, serj.e, Вы писали:
SE>Тю, проснулись, едрёнть. Китай с 2004-го года начал прорабатывать эти вопросы. И Harmony на замену трансгендерному ведру не просто так делают, а с полным пониманием целей и задач.
У нас тоже разрабатывается "Аврора" (купленная у Nokia), но пока как-то вяло. И зачем было Яндекс.Стор закрывать? Хотели сэкономить, так лучше бы тогда мразотный сервис TheQuestion раздавили (зачем этот гадюшник нужен кому-то кроме кучки русофобов, непонятно; никакой прибыли не приносит, в отличие от Дзена).
Как запру я тебя за железный замок, за дубовую дверь окованную,
Чтоб свету божьего ты не видела, мое имя честное не порочила…
М. Лермонтов. Песня про царя Ивана Васильевича, молодого опричника и удалого купца Калашникова
Здравствуйте, wraithik, Вы писали:
W>Теперь чужой код минное поле. W>Фишка опен-сосрса померла.
Он всегда таким был, как и хакеры желающие распространять свои трояны, не зависимо от идеологий и локаций.
А фишка оупенсорса в том, что множество людей проверяют код на закладки, и чем код популярнее, тем больше людей его проверили.
И если закладка рано или поздно всплывает, как в обсуждаемом случае, это создает проблемы ее автору.
Соответственно, если где и есть закладки под видом багов, о них всем подряд не рассказывают, и можно сказать, цена их использования весьма высока.
