Насколько я понимаю коммит был сделат от имени Расмуса Лердорфа, но не из под его учетной записи. Посколько команда РНР не работает полностью в ГитХабе, а, я так понимаю, зеркалирует на гитхаб из своего репозитория, то на гитхабе мы видим его аккаунт как контрибьютора, но это скорее всего глюк синхронизации с основным репозиторием.
Комит является атакой, поскольку он уже «прошел» и «замержился» и уже потом всплыл на ГитХабе, где его и «поймал» чешский программист.
Если в период с момента появления комита, кто-то загрузил себе исходники и скомпилил их, то он возможно получил бэкдор в свой PHP. Просто в мире не так много разработчиков, которые компилируют рнр из исходников. Часто они берут уже готовые бинарники, а бинарники в свою очередь поставщики компилят тоже не каждый день, а только по-праздникам при выходе новых релизов и/или важных патчей. Поэтому да, ущерб был нанесен минимальный, но если бы уязвимость вовремя не обнаружили, последствия могли быть весьма плачевными.
Данную атаку нужно также рассматривать как атаку на цепочку поставок. И своевременное обнаружение в данном случае показало прореху в безопасности используемого ПО репозитория, на что и обращает внимание Никита, говоря о том что команда перейдет на использование более безопасного GitHub.
Я не уверен что это вина языка. Сегодня выбор языка обусловлен не только самим языком но и его «обвеской»: фрэймворки, библиотеки для доступа к другим системам, драйвера, IDE, средства статического анализа и прочая и прочая. Думаю с самим языком ничего такого страшного не случилось. Просто не успел в свое время набрать достаточной массы чтобы коммьюнити и монстры вложились в его разработку.
Это все зависит от точки зрения.
Почему кто-то в своем уме предпочитает рассчитываться в USD стоимость которого падает по отношению к BTC со скоростью ракеты? ;-)
в отличии например от автоматического деплоя который может совершенно внезапно решить обновить контейнера в кубернетесе именно в момент пиковой нагрузки
У нас с Вами разные представления об автоматическом деплое. У меня в голове автоматический деплой настроен правильно и обкатан и потому не может выполнять никаких «внезапных» действий.
Вопрос только в том, как ручной деплой раз в месяц повышает надежность и снижает риски относительно нормально настроенного автодеплоя (в пайплайн которого хорошо бы включать и интеграционные и регрешн и енд-то-енд и нагрузочные тесты)?
По мне ответ: никак. Просто собирается вся команда в день Х и, судорожно сглатывая, нажимает на кнопку. А результат одинаковый: либо упадет, либо нет.
По прежнему не понимаю, почему исследователи уязвимостей — это какая-то особенная каста людей, которых нельзя заставлять подписывать NDA.
Кто и где написал и сказал что есть какая-то каста и что какая-то категория людей (исследователи) требуют к себе особого отношения после подписания NDA?
Это ваша личная интерпретация. Поэтому вы и не можете понять суть «претензий».
А суть из сводится к тому что NDA вообще не нужен и вреден для отрасли и для общества. А соглашение о неразглашении на срок решает реальную проблему что дыру надо сначала залатать, и его наличие было легко объяснимо когда начинались все эти баунти программы.
И не понимаю, чем конкретно такой NDA вреден обществу. По такой логике любой NDA вреден обществу.
Вам кажется что это риторический вопрос. А вот моя позиция и позиция многих сторонников свободного ПО и многих ученых из других областей — да NDA вреден обществу вообще. Для развития науки и техники человечество должно абсолютно свободно обмениваться информацией об исследованиях, достижениях и разработках.
Давайте великодушно поделимся с парнями с востока чертежами ядерных боеголовок.
Вы снова исходите что это риторический вопрос. А как вы отреагируете если я отвечу — давайте? Я не верю что на планете есть страны или нации более достойные обладать какими-то технологиями. То что страны находят предлоги чтобы не делиться ими — не делает им на самом деле чести. Многие страны в мире хотели бы использовать атомную энергию в мирных целях, но им показывают кукиш, прикрываясь заботой о безопасности. А реальные террористы — им не нужна особо технология, они покупают сразу готовое «изделие» или партию и им этого достаточно чтобы посеять панику и навести ужас и страх. И это мы говорим только об атомной энергии. А вы считаете правильным что какие-то алгоритмы шифрования запрещены к раскрытию правительством Штатов? И еще тысячи и тысячи технологий просто заживо погребены под печатью секретности во всех странах мира в институтах и на предприятиях «закрытого типа»?
Разглашение неисправленной уязвимости с инструкцией к ее эксплуатации (как это обычно бывает) — значит причинение вреда компании и ее пользователям.
Что вы называете вредом?
Давайте представим гипотетическую ситуацию. Есть компания Груша. Она производит некое устройство для связи и рекламирует его как самое надежное и безопасное в мире. Люди и в том числе госоорганы разных стран покупают это средство связи. Компания говорит что их безопасность растет из года в год, потому что они проводят постоянный аудит третьими компаниями и независимыми экспертами и улучшают безопасность.
И тут какой-то исследователь обнаруживает, что на самом деле много уязвимостей обнаруженных в прошлом не устранены, что компания «симулирует» безопасность но их продукт имеет много дыр и они вяло реагируют на новую серьезную брешь которую он обнаружил.
Вы всерьез считаете что опубликовав это, он принесет вред пользователям компании? Или все же удар будет по репутации и финансам самой компании? А конечные пользователи все же скажут спасибо и будут сами решать стоит ли продолжать пользоваться этими средствами коммуникации или будут искать альтернативы?
Мое мнение — заплатив исследователю, компании вправе решать, хотят ли они оглашать информацию, касающуюся их продуктов.
Ваше мнение — ваше право. Юридически она вправе даже НЕ ЗАПЛАТИВ. Вы постоянно упускаете что NDA подписываетеся еще до того как что-то найдено, и именно против этого направлена данная статья. Что если я оцениваю уязвимость как критическую и стоящую 1 000 000 баксов, а мне пришел ответ: «спасибо мальчик, это не баг, а фича» или «вот тебе 5 баксов, заткнись и иди отсюда»?
NDA подписывается в момент когда вы начинаете работать по проекту, а не в момент нахождения уязвимости. Нашли вы что-то или нет, не важно. Вас изначально обязывают молчать.
С точки зрения обывателя — обывателю пофиг будет оно опубликовано или нет.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет.
С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно. А если он хочет на этом примере студентов обучать? На конференциях как пример приводить? Книгу выпустить? Опять же опубликовав что-то интересное авторитет такого исследователя возрастает в сообществе. Это выгодно и ему самому и его потенциальным заказчикам, которые знают к кому стоит или не стоит обращаться с заказами. Это такое «портфолио» спеца. И ждать 3 года пока рак на горе свистнет ему не очень интересно.
С точки зрения инвесторов которые вложились в контору, они заинтересованы в реальном и качественном управлении, а не в симуляции такового. Краткосрочно акции может и просядут, но долгосрочно если контора правильно встроит систему реагирования на угрозы в свои процессы и обеспечит прозрачность, то останутся довольны и акционеры и конечные пользователи.
Так что в итоге дело не в 90 днях или 3х годах. Дело в отношении компании к безопасности и прозрачности как таковой.
Потому что деньги платят не за молчание, а за проведенное исследование и сообщение об уязвимости. Изначально подразумевалось, что компания получит такой сигнал. заплатит исследователю, залатает дыру, сообщит в релиз ноутс, что такая-то уязвимость была закрыта. А после этого исследователь волен рассказывать о своем исследовании где угодно: в институтах, книгах, блогах, конференциях, на ТВ. Потому что это уже не опасно, но очень познавательно и полезно для сообщества.
А тут получается что многие компании просто платят за молчание. Ничего не исправляют. А если исправляют, то втихую или не вовремя. А рассказывать запрещают, даже когда все исправлено и мхом поросло. А это плохо для всех.
Вы не учитываете во-первых менталитет. На западе менталитет и культура с обеих сторон другая чем на просторах СНГ.
Если рассуждать как вы то вообще DNA не имеет смысла, потому что всегда можно придумать способ и рассказать. Но реальность такова что обычно, если на западе человек что-то говорит, а тем более подписывает, он не считает себя в праве нарушать слово. Он ЗАКОНОПОСЛУШНЫЙ гражданин. И если кто-то с чем-то не согласен он не ищет способ нарушить DNA или любой другой подписанный документ. А ищет способ изменить систему, изменить законы или не подписывать неудобные для него и ограничивающие его свободу бумажки.
В этом вся суть разделения белых и черных шляп. Белые — они законопослушные, но все же честолюбивые, и часто в свободное время все же черные :-) ну или серые.
У многих аспирантов там еще долги за обучение могут висеть полмиллиона-миллион. Так что пока приличную работу не найдут — они далеко не миллионеры.
Я вообще тоже пока в Канаду не перебрался — думал это все «антураж» в фильмах и сериалах. А потом до меня дошло — они довольно точно отражают реальность и соответствуют действительности. И это жесть.
Я нигде не соглашался с тем что полиция в большом городе автоматически становится преступной. Я всего лишь выразил свое несогласие с тем что полиция при любых обстоятельствах должна становиться беспринципной и уж тем более преступной. На мой взгляд полиция при всегда должна следовать букве и духу закона.
Все ваши допущения и ваш взгляд на реальность остаются вашими и просьба меня к ним не пристегивать. Я не согласен, что коррумпированность полиции автоматически вытекает из размеров агломерации. Коррумпированность полиции как и любых других органов власти проистекает из морали общества и стандартов справедливости принятых этим обществом.
Например рассказывают что в Токио вы можете оставить сумку на тротуаре без присмотра на несколько часов — затем вернуться и найти ее на том же месте. А Токио таки довольно большой город. И я уверен что в большинстве маленьких городов СНГ такое невозможно (обязательно кто-то возьмет и как минимум украдет деньги, а может и все остальное). И это не связано ни с законами, ни с коррумпированностью полиции. Это связано с менталитетом общества здесь и сейчас. Это считается просто нормальным.
Нет, не понимаю. Если полиция становится беспринципной, то она перестает быть полицией и становится организованной преступной группировкой. А вот с тем что в поселке, особенно изолированном от остального мира, полиция возможно и не нужна совсем, я мог бы и согласиться.
Странно, что Сноуден не намекнул на искусственное происхождение коронавируса.
Мне кажется такие люди как Сноуден не любят выдвигать гипотезы и огульно обвинять непонятно кого. У него видимо нет никаких причин (документов, информации) о том что вирус создан искусственно и выпущен умышлено. Я бы в этом смысле я бы ждал новостей от Джулиана Ассанжа. Но похоже ему тоже крепко досталось и он не в той форме чтобы нам что-то рассказать. Ждем следующего героя с яйцами.
Кстати да, почти 20 лет. Хорошая пауза чтобы народ привыкал постепенно т не сильно возмущался. Хотя я думаю могли бы и почаще, народ уже все «схавает». Не вижу причин церемониться. Скоро свобода останется только в книжках.
Сколько весит бинарник? Ведь один из аргументов такого рода текстового движка — что не нужно хранить графические элементы, а хранится только пару байт текста на каждый игровой объект. Разве нет?
Там и перспективы выше, и условия лучше, и задачи интереснее.
Не согласен только с последним. Задачи в гуглоандексах могут оказаться вполне тривиальными, ну или рутинными. Интересные задачи не появляются в каких-то особенных компаниях, интересные задачи — они повсюду. Реверс-инжинирить 1С вполне себе интересная задача, даже если за нее не дадут повышение и не повысят зарплату. Это просто интересная задача.
Комит является атакой, поскольку он уже «прошел» и «замержился» и уже потом всплыл на ГитХабе, где его и «поймал» чешский программист.
Если в период с момента появления комита, кто-то загрузил себе исходники и скомпилил их, то он возможно получил бэкдор в свой PHP. Просто в мире не так много разработчиков, которые компилируют рнр из исходников. Часто они берут уже готовые бинарники, а бинарники в свою очередь поставщики компилят тоже не каждый день, а только
по-праздникампри выходе новых релизов и/или важных патчей. Поэтому да, ущерб был нанесен минимальный, но если бы уязвимость вовремя не обнаружили, последствия могли быть весьма плачевными.Данную атаку нужно также рассматривать как атаку на цепочку поставок. И своевременное обнаружение в данном случае показало прореху в безопасности используемого ПО репозитория, на что и обращает внимание Никита, говоря о том что команда перейдет на использование более безопасного GitHub.
Почему кто-то в своем уме предпочитает рассчитываться в USD стоимость которого падает по отношению к BTC со скоростью ракеты? ;-)
У нас с Вами разные представления об автоматическом деплое. У меня в голове автоматический деплой настроен правильно и обкатан и потому не может выполнять никаких «внезапных» действий.
По мне ответ: никак. Просто собирается вся команда в день Х и, судорожно сглатывая, нажимает на кнопку. А результат одинаковый: либо упадет, либо нет.
Кто и где написал и сказал что есть какая-то каста и что какая-то категория людей (исследователи) требуют к себе особого отношения после подписания NDA?
Это ваша личная интерпретация. Поэтому вы и не можете понять суть «претензий».
А суть из сводится к тому что NDA вообще не нужен и вреден для отрасли и для общества. А соглашение о неразглашении на срок решает реальную проблему что дыру надо сначала залатать, и его наличие было легко объяснимо когда начинались все эти баунти программы.
Вам кажется что это риторический вопрос. А вот моя позиция и позиция многих сторонников свободного ПО и многих ученых из других областей — да NDA вреден обществу вообще. Для развития науки и техники человечество должно абсолютно свободно обмениваться информацией об исследованиях, достижениях и разработках.
Вы снова исходите что это риторический вопрос. А как вы отреагируете если я отвечу — давайте? Я не верю что на планете есть страны или нации более достойные обладать какими-то технологиями. То что страны находят предлоги чтобы не делиться ими — не делает им на самом деле чести. Многие страны в мире хотели бы использовать атомную энергию в мирных целях, но им показывают кукиш, прикрываясь заботой о безопасности. А реальные террористы — им не нужна особо технология, они покупают сразу готовое «изделие» или партию и им этого достаточно чтобы посеять панику и навести ужас и страх. И это мы говорим только об атомной энергии. А вы считаете правильным что какие-то алгоритмы шифрования запрещены к раскрытию правительством Штатов? И еще тысячи и тысячи технологий просто заживо погребены под печатью секретности во всех странах мира в институтах и на предприятиях «закрытого типа»?
Что вы называете вредом?
Давайте представим гипотетическую ситуацию. Есть компания Груша. Она производит некое устройство для связи и рекламирует его как самое надежное и безопасное в мире. Люди и в том числе госоорганы разных стран покупают это средство связи. Компания говорит что их безопасность растет из года в год, потому что они проводят постоянный аудит третьими компаниями и независимыми экспертами и улучшают безопасность.
И тут какой-то исследователь обнаруживает, что на самом деле много уязвимостей обнаруженных в прошлом не устранены, что компания «симулирует» безопасность но их продукт имеет много дыр и они вяло реагируют на новую серьезную брешь которую он обнаружил.
Вы всерьез считаете что опубликовав это, он принесет вред пользователям компании? Или все же удар будет по репутации и финансам самой компании? А конечные пользователи все же скажут спасибо и будут сами решать стоит ли продолжать пользоваться этими средствами коммуникации или будут искать альтернативы?
Ваше мнение — ваше право. Юридически она вправе даже НЕ ЗАПЛАТИВ. Вы постоянно упускаете что NDA подписываетеся еще до того как что-то найдено, и именно против этого направлена данная статья. Что если я оцениваю уязвимость как критическую и стоящую 1 000 000 баксов, а мне пришел ответ: «спасибо мальчик, это не баг, а фича» или «вот тебе 5 баксов, заткнись и иди отсюда»?
С точки зрения обывателя — обывателю пофиг будет оно опубликовано или нет.
С точки зрения конторы владельца бизнеса — они не хотят мочить свою репутацию и после 3х лет.
С точки зрения исследователя — это как научное открытие — через 3 года оно уже никому не интересно и уже всем известно. А если он хочет на этом примере студентов обучать? На конференциях как пример приводить? Книгу выпустить? Опять же опубликовав что-то интересное авторитет такого исследователя возрастает в сообществе. Это выгодно и ему самому и его потенциальным заказчикам, которые знают к кому стоит или не стоит обращаться с заказами. Это такое «портфолио» спеца. И ждать 3 года пока рак на горе свистнет ему не очень интересно.
С точки зрения инвесторов которые вложились в контору, они заинтересованы в реальном и качественном управлении, а не в симуляции такового. Краткосрочно акции может и просядут, но долгосрочно если контора правильно встроит систему реагирования на угрозы в свои процессы и обеспечит прозрачность, то останутся довольны и акционеры и конечные пользователи.
Так что в итоге дело не в 90 днях или 3х годах. Дело в отношении компании к безопасности и прозрачности как таковой.
А тут получается что многие компании просто платят за молчание. Ничего не исправляют. А если исправляют, то втихую или не вовремя. А рассказывать запрещают, даже когда все исправлено и мхом поросло. А это плохо для всех.
Если рассуждать как вы то вообще DNA не имеет смысла, потому что всегда можно придумать способ и рассказать. Но реальность такова что обычно, если на западе человек что-то говорит, а тем более подписывает, он не считает себя в праве нарушать слово. Он ЗАКОНОПОСЛУШНЫЙ гражданин. И если кто-то с чем-то не согласен он не ищет способ нарушить DNA или любой другой подписанный документ. А ищет способ изменить систему, изменить законы или не подписывать неудобные для него и ограничивающие его свободу бумажки.
В этом вся суть разделения белых и черных шляп. Белые — они законопослушные, но все же честолюбивые, и часто в свободное время все же черные :-) ну или серые.
Я вообще тоже пока в Канаду не перебрался — думал это все «антураж» в фильмах и сериалах. А потом до меня дошло — они довольно точно отражают реальность и соответствуют действительности. И это жесть.
Все ваши допущения и ваш взгляд на реальность остаются вашими и просьба меня к ним не пристегивать. Я не согласен, что коррумпированность полиции автоматически вытекает из размеров агломерации. Коррумпированность полиции как и любых других органов власти проистекает из морали общества и стандартов справедливости принятых этим обществом.
Например рассказывают что в Токио вы можете оставить сумку на тротуаре без присмотра на несколько часов — затем вернуться и найти ее на том же месте. А Токио таки довольно большой город. И я уверен что в большинстве маленьких городов СНГ такое невозможно (обязательно кто-то возьмет и как минимум украдет деньги, а может и все остальное). И это не связано ни с законами, ни с коррумпированностью полиции. Это связано с менталитетом общества здесь и сейчас. Это считается просто нормальным.
Мне кажется такие люди как Сноуден не любят выдвигать гипотезы и огульно обвинять непонятно кого. У него видимо нет никаких причин (документов, информации) о том что вирус создан искусственно и выпущен умышлено. Я бы в этом смысле я бы ждал новостей от Джулиана Ассанжа. Но похоже ему тоже крепко досталось и он не в той форме чтобы нам что-то рассказать. Ждем следующего героя с яйцами.
Есть ссылка на гитхаб?
Сколько весит бинарник? Ведь один из аргументов такого рода текстового движка — что не нужно хранить графические элементы, а хранится только пару байт текста на каждый игровой объект. Разве нет?
Не согласен только с последним. Задачи в гуглоандексах могут оказаться вполне тривиальными, ну или рутинными. Интересные задачи не появляются в каких-то особенных компаниях, интересные задачи — они повсюду. Реверс-инжинирить 1С вполне себе интересная задача, даже если за нее не дадут повышение и не повысят зарплату. Это просто интересная задача.