Email or username:

Password:

Forgot your password?
Lex's posts Post Back to profile
Top-level
Lex Publica
@shuro @yesfreenet знаете, что меня напрягает в этой истории? Что такая фишка нужна в принципе. Это означает, что тезис "бизапасный линупс" - если и работал когда-то, то не очень.
11 Dec 2022 at 15:54 | Open on fabler.su
2 comments
Шуро
@yesfreenet @ludivokrug Я думаю, это никогда нормально не работало, просто громких историй не было. А так захват всяких node.js пакетов с подменой кода - дело привычное.

Как недавно тут проскочила история про китаянку, что настрочила в свой сегмент Википедии две сотни вымышленных статей об истории России. Тоже ведь опенсорс, общественная модерация, пятое-десятое. Так вот заметили через десять лет.

Нет никакой магии в опенсорсе. Открытость лучше, нежели закрытость, но сама по себе она не гарантирует безопасности.
@yesfreenet @ludivokrug Я думаю, это никогда нормально не работало, просто громких историй не было. А так захват всяких node.js пакетов с подменой кода - дело привычное.

Как недавно тут проскочила история про китаянку, что настрочила в свой сегмент Википедии две сотни вымышленных статей об истории России. Тоже ведь опенсорс, общественная модерация, пятое-десятое. Так вот заметили через десять лет.
11 Dec 2022 at 16:11 | Open on friends.deko.cloud
Шуро
@yesfreenet @ludivokrug А, кстати, вот история из жизни. У меня на работе лет этак 15(!) лет назад разработчики ухитрились использовать такой зловредный пакет в очередной версии внутреннего ПО. Самая мякотка была в том, что боевая нагрузка там срабатывала не сразу и только при исполнении на клиенте. На тестах ничего не заметили.

Потом обновление разошлось по сети на клиенты, а поскольку зловред был известен, то уже там антивирус при его проявлении вражий код вынес, заодно парализовав работу системы.

Все очень порадовались, так как сеть у нас была распределённая территориально, местами на очень плохих каналах и, если маленькие обновления туда пролезали, то взять и перенакатить удалённо всю торговую систему было уже нереально кое-где. Инженеры взяли в зубы флешки и поехали по остановившимся магазинам.
@yesfreenet @ludivokrug А, кстати, вот история из жизни. У меня на работе лет этак 15(!) лет назад разработчики ухитрились использовать такой зловредный пакет в очередной версии внутреннего ПО. Самая мякотка была в том, что боевая нагрузка там срабатывала не сразу и только при исполнении на клиенте. На тестах ничего не заметили.
11 Dec 2022 at 16:16 | Open on friends.deko.cloud
Go Up