1.1, Жироватт (ok), 10:22, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
Никогда такого не было - и вот опять.
А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?
| |
|
2.3, Криптокибер (?), 10:36, 04/12/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
Только как получить эту вашу Солану. Как ввести, как вывести? С виндовза можно? Там будут трояны?
| |
|
3.6, Аноним (6), 10:41, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Какая винда? Кастомный дистриб собирай на базе LFS, спокойней будешь. Миллионы первому встречному доверять - глупо.
| |
|
4.9, 1 (??), 10:48, 04/12/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Главное - не забывать обновляться ...
Сколько там уязвимость действовала ? Как раз чтоб ключики утекли ?
| |
4.23, Аноним (23), 11:25, 04/12/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ты забываешь что помимо тысячи глаз в опенсорсе есть тысячи рук, которые так и норовят вставить свой троян или вульн в каждую либу. А тот же lfs не даёт гарантии безопасТности.
| |
|
5.34, Аноним (34), 12:09, 04/12/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ты забываешь, что абслолютную гарантию не даёт никакое творение рук человеческих. Если и даёт гарантию, то с какой-то вероятностью <100%. Так что и без третьих рук.
| |
|
|
7.53, 1 (??), 14:17, 04/12/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
Зато правый Петя навтыкает туда троянов, по самое нихачу.
| |
|
8.57, Аноним (23), 14:51, 04/12/2024 [^] [^^] [^^^] [ответить] | +1 +/– | Петя действовал по команде и внедрил туда правильный согласованный троян А Вася... текст свёрнут, показать | |
8.61, Аноним (-), 15:00, 04/12/2024 [^] [^^] [^^^] [ответить] | +/– | Для этого ему придется войти в сговор с командой, тк это не попенсорс где васян ... текст свёрнут, показать | |
|
|
|
|
|
3.138, ИмяХ (ok), 08:31, 05/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
>>Как ввести, как вывести
Никак. Это не настоящие деньги, а всего лишь циферки на компьютере. Единственный способ - найти такого же лоха, который купит у тебя эти циферки за настоящие деньги.
| |
|
4.143, Зануда (?), 23:00, 08/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Но ведь "настоящие деньги" это тоже либо бумажки и кусочки металла, не имеющие ценности сами по себе, либо циферки на компьютере банка.
| |
|
|
2.7, Аноним (7), 10:42, 04/12/2024 [^] [^^] [^^^] [ответить]
| +8 +/– |
Ты не понял, "качай мне все зависимости" это современно плюс js безопасно работает с памятью!
| |
2.17, Ананимус (?), 11:19, 04/12/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
Причем здесь зависимости зависимостей? Это официальный клиент. Примерно как если бы дыра появились в libpq.
| |
|
3.25, Аноним (23), 11:27, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Официальный клиент может быть и зависимостью и зависимостью зависимости.
| |
|
4.65, Ананимус (?), 15:29, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Официальный клиент может быть и зависимостью и зависимостью зависимости.
Автор вспомнил про leftpad, который буквально был модулем на одну функцию, что сломало куче людей пакеты. Здесь же речь идет не о supply chain attack на какой-то мелкий модуль в цепочке зависимостей, а про компроментацию окружения разработчика проекта и вставку бекдора. Что может случиться буквально с кем угодно, как показала история с xz. Поэтому все и рофлят с пердежа про leftpad, потому что в данном случае он ваще не в тему.
А то что клиент криптобиржи может быть чейто зависимостью это очень странный заход. Предлагается в каждом проекте писать весь API заново? Это шиза.
| |
|
5.69, Аноним (23), 16:50, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.
| |
|
6.96, Ананимус (?), 18:48, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Да в критических задачах и в критических инфраструктурах все пишется заново. Представь
> себе.
Начинается... В Сбербанке (достаточно критичная финансовая организация?) никто не пишет свой libpq чтобы к постгресу подключиться. Все просто берут libpq из репозиториев. Потому что наркоманов, пишущих все самостоятельно, можно встретить только на опеннете, потому что они делают это в своих влажных фаннтазиях. Все остальные используют какую-нибудь монгу из репов Убунты и просят ещё.
| |
|
7.125, Аноним (125), 21:48, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
В Сбербанке ты не можешь просто так использовать зависимость. Только если её уже одобрили и добавили в внутренний репозиторий.
| |
|
6.117, Аноним (-), 20:16, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Да в критических задачах и в критических инфраструктурах все пишется заново. Представь себе.
И какие гарантии что сотрудники там - все белые и пушистые, никогда не лажаются, и вообще? А, никаких?! И чем тогда это лучше предыдущей схемы?...
| |
|
|
|
|
2.43, Аноним (-), 13:27, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
И люди проглядевшие бекдор в ХЗ либе или Bvp47 запрещают жабаскриптерам ковыряться в носу?
Чем этот лефтпад отличается от 100500 библиотек и зависимостей, которые обновляются в любом дистрибутиве?
Воистину "в чужом глазу песчинку разглядывают, когда в своем уже ЖинТяны с бревнами"
| |
2.55, Аноним (55), 14:39, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
>А ТЫ уже обновил все свои лефтпады из нпм на свежую протрояненную версию с отравленными зависимостями зависимостей зависимостей?
А ты до сих пор сидиш на зависимостях, к которым уже эксплоиты успеил написать?
| |
|
|
2.20, Аноним (20), 11:22, 04/12/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
за определенную сумму (например $10 000) я тоже могу сказать что мою учетку скомпроментировали....
| |
|
3.122, Ivan_83 (ok), 20:55, 04/12/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
Фу позорник за такой мизер так рисковать репутацией и может даже свободой.
| |
|
2.45, Аноним (45), 13:38, 04/12/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?
| |
|
3.47, Аноним (-), 13:42, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Когда XZ скомпрометировали, тоже JavaScript был виноват? Или это другое, понимать надо?
Конечно другое!
Как можно сравнивать дырень которую внедрили почти во все дистрибутивы с какой-то крипрой.
Крипта это опаснее и важнее!
Зато качали на с какого-то NPM, а тарболчики с самого репизитория!
Надежнее же не бывает!
| |
|
|
1.4, Аноним (4), 10:39, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я конечно не эксперт с необходимой экспертизой, но ...
почему (сторонний) клиент напрямую работает с приватными (секретными) ключами?
| |
|
|
|
4.38, Аноним (23), 12:21, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это ещё на каждого бота свой промежуточный сервер? Это сложно и противоречит принципу децентрализованности.
| |
|
5.42, Аноним (34), 13:08, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Локальное разделение, на компе у пользователя кошелька или чего там ещё. Код на JS говорит другому процессу, вот это подпиши, а не сам берёт ключ и подписывает.43
| |
|
|
7.62, Анониссимус (?), 15:05, 04/12/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ещё и бесполезно. От этой уязвимости может и спасёт, но монетки всё равно не будут в безопасности.
| |
|
8.135, нах. (?), 02:14, 05/12/2024 [^] [^^] [^^^] [ответить] | +1 +/– | ну просто автору троянца придется через нескучный api вот это подписать вот ... текст свёрнут, показать | |
|
|
6.60, Аноним (60), 14:59, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты сейчас описал концепцию холодных ключей, который есть рекомендованный способ для хранения значимых сумм в крипте.
| |
|
|
|
3.106, Аноним (106), 19:40, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Обычно это осуществляется через провайдера безопасности. В виде запроса - клиент ввел пару логин-пароль - это верно? Здесь - зашифруй данные ключом клиента. Секрет хранится инфраструктурой безопасности и только она имеет прямой доступ к секрету.
| |
|
2.56, Аноним (55), 14:46, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если вам действительно нужен ключ, то вам нужен и публичный и приватный. Вы же не только шифровать, но и расшифровывать собираетесь?
| |
|
3.74, Аноним (4), 17:26, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Нужен транзакционный (сессонный) ключ - приватный и публичный. Запросили транзакционный приватный ключ, сгенерировали публичный. Подписали транзакцию, уничтожили приватный ключ. Если и украли приватный ключ транзакции, потеряли только транзакцию.
| |
3.121, Аноним (106), 20:50, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Чтобы расшифровать сообщение от другого нужен Его публичный ключ, который выдается визави.
| |
|
|
1.11, Аноним (7), 10:56, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Если вы загружаеты свой приватный ключ на вебприложуху, то тут проблема не в жабаскрипте.
| |
|
2.14, Аноним (4), 11:13, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Так как бежать больше некуда, бегут в крипту. Обвал крипты означает пи...дец деньгизму.
| |
2.68, nume (ok), 16:34, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну-ну, сколько уже говорят что биткоин всё? А он всё растёт и растёт (и не только он).
| |
|
3.72, Аноним (72), 17:04, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
С битком главное дождаться, когда он "ну вот теперь он точно фсе, ха ха, а мы предупреждали", и в этот момент покупать.
| |
|
|
1.21, Аноним (-), 11:24, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Дурики какие-то... зачем им какая-то крипта?
Вот лучше бы сломали kernel.org и сопутствующую инфру как раньше.
> распространялись через NPM во вторник 3 декабря c 18:20 по 23:25
Всего-то? Жалкие 11 часов?
| |
|
2.30, Аноним (30), 11:40, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Зачем мучиться с kernel.org, когда написал простенький скрипт для перечисления на свой кошелёк и в продакшон.
| |
2.52, Аноним (52), 14:10, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
> c 18:20 по 23:25
> 11 часов
Раз десять перепроверил, пытаясь понять где я мог ошибиться в вычитании.
| |
|
3.54, Аноним (33), 14:32, 04/12/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
Четверичная система вычислений - это круто!
Спалился рептилоид!
| |
3.73, Ты не понял (?), 17:15, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Это время засекалось во время полета вокруг Земли. Такое время может иметь любые значения, но результат один - 11 часов и точка!
| |
|
|
|
2.48, Аноним (45), 13:43, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Так проверял тот же, кто и релизил. Предлагаешь ему свой же бекдор отрежектить?
| |
|
1.66, Аноним (66), 15:43, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
А что за ключи отправляют? Я думал берут ~/.ssh/*, а по скриншотам там как будто... ключи от самой соланы берут? С кошельков чтоб воровать?
| |
1.76, Хрю (?), 17:34, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А будет ещё хуже. С нуля писать это не вариант, в большинстве случаев заказчик просто пошлет нафиг, а аудит 100500 зависимостей, которые являются чьими то зависимостями тоже задача невыполнимая.
| |
1.79, Аноним (79), 18:00, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
1. Создаю шорт на солану.
2. Добавляю в репизиторий соланы хорошо заметную уязвимость. Заметность нужна, чтобы быстро обнаружили и не пришлось платит проценты за перенос шорта на следующие дни.
3. Жду когда находят уязвимость. Либо "нахожу" её сам и быстрее бегу писать новость на опеннете.
4. С распространением новости, котировка соланы стремительно падает вниз.
5. Закрываю шорт.
6. Еду в Вегас транжирить полученный куш.
7. Нажираюсь в хлам.
8. Женюсь на какой-то блондинке.
9. Просыпаюсь утром с больной головой.
10. Обнаруживаю блондинку, пишущую заявление о разводе.
11. Хорошо, что весь куш я уже промотал!
| |
|
2.84, Аноним (4), 18:23, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
> Создаю шорт на солану.
Зашел на первый попавшийся сайт с курсом соланы. 1 декабря упала с ~235 до ~225 и вернулась обратно 3 декабря, когда официально обнаружили. Как-то в другую сторону всё работает.
| |
2.89, Аноним (89), 18:26, 04/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вообще незначительно упала,в пределах волатильности
Это не та новость которая вызывает массовый сброс монет
Это новость для гиков с оупеннет и прочих похорониксов
| |
2.142, Аноним (142), 16:56, 05/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Вот если бы ты смог широко распространить по миру "новость из достоверных источников!", что Кучерявый Сэм смог из тюрьмы дотянуться до своего "тайного грандиозного кошелька" с "мильярдами соляны" и сейчас вот-вот всё где-то (интересно, где?) распродаст... И если бы это еще совпало с мощной коррекцией битка (падения этак до 80к) - то да, может и прокатило бы. Если бы ты еще и плечо не меньше 25-го выставил. Но сейчас, или, только из-за этого из новости...
| |
|
1.86, Аноним (-), 18:25, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> JavaScript SDK для работы с криптовалютой Solana из приложений,
> запускаемых в браузере или использующих такие платформы, как Node.js и React Native.
Казалось бы, что в этой схеме с такими программистами может пойти не так, если там еще и бабки крутиться будут...
| |
1.100, Аноним (100), 19:04, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля. Начиная от выпечки чипов. И литографического оборудования. И вообще с собственных вооружённых сил для защиты от тех, кто считает, что бекдоры должны быть во всём, а к тем, кто не согласен, отправляет убедительных людей с металлическим убеждателем. Да, это дорого. Безопасность в принципе не может быть дешёвой: обезапашивают то, что стоит дорого, и если преодоление безопасности хоть вполовину будет дешевле стоимости защищаемого по невозвратным издержкам, то это уже 100% рентабельность на языке экономики. Ежели же все издержки возвратные, то стоимость того, что берут бесплатно, вообще роли не играет, выгодно преодолевать безопасность при любом раскладе.
| |
|
2.103, Ананимус (?), 19:10, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Это цена отсутствия чучхе. Кто не хочет компрометации - тот пишет всю экосистему сам, с нуля.
Правда никто этого никогда не делает, потому что деньги считать умеют. Но когда это останавливало влажных опеннетчиков?
| |
|
3.104, Аноним (89), 19:27, 04/12/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Правда никто этого никогда не делает
Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук, ВК, Яндекс, Амазон... тысячи их!
| |
|
4.107, Аноним (94), 19:40, 04/12/2024 [^] [^^] [^^^] [ответить]
| –4 +/– |
Посмешил. Все перечислинные начинали что-то делать с нуля только уже став монополистами и лопаясь от капитализации. И то, только потому, что когда в компании тьма продакт менеджеров, им полюбому нужно что-то придумать, чтобы показать руководству. А то их уволят.
| |
4.111, Ананимус (?), 20:00, 04/12/2024 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ага, ваще все. Ни одного стороннего компонента не осталось, даже линукс свой написали, черти. Ох лол.
| |
|
5.132, Аноним (132), 23:20, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Линукс у них свой, если все ключевые сотрудники под козырёк берут, когда надо. Что не своё - то можно с потрохами и обслуживающим персоналом купить, и станет своим.
| |
|
4.112, Аноним (-), 20:04, 04/12/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Вы заблуждаетесь. Крупные проекты (не стартапы) пишут всё с нуля. Фейсбук,
> ВК, Яндекс, Амазон... тысячи их!
И кто из них написал с ноля ну хотя-бы операционку для своих серверов?
| |
|
|
2.120, anonymous (??), 20:50, 04/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев - там в основе идея что качественным может быть только то что сам полностью контролируешь. Ну и еще что нельзя врать самому себе, разбираться в чём недостаток и его устранять. А у нас под одобрямсы все шильдикостроение и "ахаха из стиралок выковыриваем ахахах да да из стиралок ой ржака" и в итоге 0 промышленности газ в обмен на бусы и все довольны.
| |
|
3.131, нах. (?), 23:12, 04/12/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> дело пишешь, у японцев своё чучхе было даже еще раньше северокорейцев -
В смысле, оно там кончилось раньше чем началась северная корея.
> сам полностью контролируешь. Ну и еще что нельзя врать самому себе,
> разбираться в чём недостаток и его устранять. А у нас под
тоетин датчик заслонки гнусно хихикает над культурными легендами.
> из стиралок ой ржака" и в итоге 0 промышленности газ в
> обмен на бусы и все довольны.
Если бы газ и дальше был в обмен на бусы, а не вяличие - я бы тоже был совершенно доволен. А без знания что такое "кароси" я и дальше бы обошелся.
| |
|
|
1.108, RANDOMIZE USR 15616 (?), 19:42, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вот так мифы о "независимости" и "неподконтрольности" криптовалют разбиваются о вопрос: "А кто, собственно, правит их исходники?"
| |
1.118, Аноним (-), 20:39, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Solana занимает пятое место по размеру капитализации
> которые распространялись через NPM во вторник 3 декабря c 18:20 по 23:25
> версий web3.js 1.95.6 и 1.95.7
Меня одного это смущает что-ли? 5ая по размеру _виртуальная экономика_ за 5 часов пару раз апнулась..
| |
1.126, Аноним (126), 22:08, 04/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
>> Также рекомендуется ... изучить содержимое каталога node_modules
Повеселило) Это веселит даже если видел лишь node_modules от TODO app например на ангуляре.
| |
|