The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения"  +/
Сообщение от opennews (ok), 29-Апр-22, 14:10 
В репозитории пакетов NPM выявлена проблема с безопасностью, позволяющая владельцу пакета добавить в число сопровождающих любого пользователя, без получения от этого пользователя согласия и без информирования о совершённом действии. Проблема усугубляется тем, что после добавления стороннего пользователя в число сопровождающих, изначальный автор пакета мог удалить себя из списка сопровождающих и сторонний пользователь оставался единственным лицом, отвечающим за пакет...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57108

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +15 +/
Сообщение от Аноним (2), 29-Апр-22, 14:24 
Нет, это уязвимость в уязвимости. Иными словами, NPM - это уязвимость в чистом виде.
Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +3 +/
Сообщение от Аноним (6), 29-Апр-22, 15:03 
раз сумели выделить в чистом виде, значит пора опасность CVE выражать в mili/micro/nanoNPM
Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от achtosluchilos (ok), 29-Апр-22, 15:46 
JavaScript и все что с ним связано - большая уязвимость современного мира.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

40. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (-), 30-Апр-22, 01:27 
Обезьяна с гранатой остается обезьяной с гранатой, а конкретная модель гранаты вовсе не означает что надо стоять рядом. JS виноват только тем что порог вхождения низкий, обезьян с гранатами простота бабаха привлекает.
Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +3 +/
Сообщение от Аноним (4), 29-Апр-22, 14:37 
Вот вам смешно, а нам приходится с этим работать.
Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от другое Имя (?), 29-Апр-22, 14:46 
А вы лучше сделайте.
Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +8 +/
Сообщение от Z (??), 29-Апр-22, 15:39 
Зачем ты работаешь с тем, что не приносит удовольствия? Ради денег? – Глупо.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

11. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –3 +/
Сообщение от Аноним (4), 29-Апр-22, 15:49 
Какие альтернативы?
Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (17), 29-Апр-22, 17:54 
Gemini, gopher.
Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +3 +/
Сообщение от Ilya Indigo (ok), 29-Апр-22, 22:46 
Если Вы изначально работаете с проектом, которое на это дерьмо завязан, ангуляр, реакт и прочее говноподелия, то Вам остаётся только жёстко анально страдать!
А так не использовать это дерьмо и его производные говноподелия, использовать чистый JS и только там где он нужен а не для построения всего интерфейса!
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

38. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +3 +/
Сообщение от Z (??), 29-Апр-22, 23:31 
> чистый  JS и только там где он нужен

Сейчас очень мало таких вэбсайтов. Опенннет один из немногих где JS используется по делу, без сторонних библиотек, включая в код всего один небольшой файлик. Смузихлёбы заполонили интернет, они стягивают библиотеки, которые весят десятки мегабайт ради простых вещей, реализуемых десятком строчек кода на ванильном JS. Зато модно-молодёжно.

Ответить | Правка | Наверх | Cообщить модератору

39. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +3 +/
Сообщение от Ilya Indigo (ok), 29-Апр-22, 23:43 
Это я знаю. из-за таких смузихлёбов и адептов гугл метериал-дизайна мне всё труднее и труднее находить работу в вебе, потомучто я принципиально не хочу работать с этим дерьмом и продолжаю делать вэб интерфейс по сторинке как на опеннете или вот https://dns.he.net отличном бесплатном DNS-севисе, и постепенно ухожу с вэба пробуя что-то другое.
Ответить | Правка | Наверх | Cообщить модератору

43. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –1 +/
Сообщение от Аноним (43), 30-Апр-22, 01:36 
Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к годам десяти даже самые тупые мальчики догоняю ют, что ссать против ветра — тупая затея. Но нет, не перевелись ещё богатыри на руси…
Ответить | Правка | Наверх | Cообщить модератору

49. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +3 +/
Сообщение от tty0 (?), 30-Апр-22, 08:45 
Раз вы подрались в анальное рабство и получаете удовольствие -это не значит, что другим в кайф
Ответить | Правка | Наверх | Cообщить модератору

50. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от пох. (?), 30-Апр-22, 09:30 
Ты можешь просто имитировать стоны и ахи.
Но подмахивать-то не забывай!

Кайф на самом деле должен получать-то - рабовладелец.
Он его и получит. Причем независимо от твоего желания. Некоторые, впрочем, привыкают и даже удовольствие тоже получают.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –1 +/
Сообщение от Аноним (43), 30-Апр-22, 23:54 
Всё, что не нравится очередному шизу с опеннета — не нужно и рабство, обязательно анальное почему-то. Выйди ты уже из шкафа, легче жить будет.
Ответить | Правка | К родителю #49 | Наверх | Cообщить модератору

55. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Ilya Indigo (ok), 30-Апр-22, 12:54 
> Ну и сиди без работы, раз ты такой принципиальный. Казалось бы, к
> годам десяти даже самые тупые мальчики догоняю ют, что ссать против
> ветра — тупая затея. Но нет, не перевелись ещё богатыри на
> руси…

Труднее найти != Не могу найти.
Мир IT далеко не из одного вэба состоит.
И если Вам понравилось анальное рабство и Вы даже получать от него удовольствие стали - то я поздравляю Вас - наслаждайтесь!
Но это не делает Вас умным и не означает что все должны выбирать Ваш путь!

Ответить | Правка | К родителю #43 | Наверх | Cообщить модератору

58. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –1 +/
Сообщение от Аноним (43), 30-Апр-22, 23:50 
> Мир IT далеко не из одного вэба состоит

Да, это так. Но ты упорно продолжаешь искать работу там, гже ангуляры с js. Поди пойми тебя, зачем ты в помойке копаешься в поисках пропитания. Мог бы, например, клауд настраивать калифорнийским стартапам. Никакого js, ангуляров и прочей ссанины. Для стартапа 200-300USD в час платить вообще не проблема, всё одно деньги не их, а инвесторов. Дольше 2-3 месяцев там делать нечего, настроил, научил и всё работает. Сама работа тоже не пыльная, большая часть кода написана, осталось только сложить из этого лего решение под их задачи. Получил бабки, попрощался, следующий окучил. После 3-4 таких стартапов у тебя кода будет на все случаи их примитивной жизни, сиди и копипасти одно и то же. Хочешь архитектурные паттерны обкатать — пожалуйста. Хочешь экспериментировать на чужом коде за чужие деньги — пожалуйста. Хочешь работать 2 часа в день и биллить за 8? На здоровье, никто проверить сколько ты реально работаешь не сможет, да и не будет. Пока ты на-гора выдаёшь хоть какой-то результат, за тобой будут бегать и уговаривать поработать. Но нет, тебе принципы и гугл чинят препоны в поисках работы.

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +6 +/
Сообщение от Аноним из консоли (?), 29-Апр-22, 19:18 
Подкатили богатые "могу работать для удовольствия, а не денег".
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

35. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (35), 29-Апр-22, 22:27 
А обязательно, чтобы было противопоставление?
Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (43), 30-Апр-22, 01:37 
Никогда не работал ради только денег. ЧЯДНТ?
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

51. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от пох. (?), 30-Апр-22, 09:30 
да все так, красиво врешь.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (43), 30-Апр-22, 23:56 
А ты, полагаю, со свечкой стоял? ;)
Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (43), 01-Май-22, 03:24 
Это ложная дихотомия. Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время? И сделать это проще простого. Для этого достаточно не работать за зарплату. Никогда не думал, почему контракторы и консультанты получают в разы — а порой и на порядки — больше зарплатного быдла? Быдлу рассказывают, что им — консультантам — приходится самостоятельно платить свои налоги, оплачивать медстраховку и отпуск. И скромно умалчивают, сколько реально это всё стоит. Но я тебе расскажу по секрету. Налогов надо платить столько же, сколько и любому работнику, тут с этим строго. Разница лишь в том, что у зарплатного быдла их вычитает сразу из зарплаты добрый бухгалтер (тоже на зарплате), а я для этого нанимаю за стольник злого бухгалтера-контрактора, которого хлебом не корми, только дай налогооблагаемую базу урезать. Медстраховку мне, как и любому гражданину, предоставляет провинция. Тут, конечно, сразу видны минусы — в неё не входят одна пара бесплатных очков, пять массажей и пять часов консультаций психолога (в год, разумеется). За всё это я плачу из своего кармана. Ну и отпуск, конечно, тоже только за свой счёт. Правда, отпуск у меня не три недели в год (и не больше двух недель подряд, так уж заведено в этой стране), а три месяца летом и по две недели после каждого контракта — отдохнуть, подвести итоги, порефлексировать, подумать, провести время с семьёй. Так что если Джон Сэлэри получает полтину в час и через силу кодит какую-то хрень, то я вынужден просто брать три сотни, заменять Джона скриптом на баше и потом ещё слушать эти «вы бы не хотели у нас поработать на постоянной основе? У нас бенефиты!» на дебрифинге. Одна радость от всего этого — можно не работать с тем, что не нравится и говорить «я не буду этого делать» без каких-либо негативных последствий.
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

64. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (64), 05-Май-22, 20:52 
> Работа должна приносить удовольствие и хорошо оплачиваться, иначе зачем тратить своё время?

Снова подъехали пони, пукающие бабочками.
Ок, допустим, все стали работать в удовольствие.

Есть ли люди, которым в удовольствие вывозить твой мусор и чистить говнопроводы?
А ведь без этого малоприятного труда "работающие в удовольствие" захлебнутся в собственных отходах.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (26), 29-Апр-22, 19:46 
И в чем проблема?
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

27. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –1 +/
Сообщение от Аноним (4), 29-Апр-22, 20:48 
> И в чем проблема?

Проблема в проблемах. Если бы не проблемы, то и проблема была бы не проблема. А так из-за проблем проблема.

Ответить | Правка | Наверх | Cообщить модератору

41. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (-), 30-Апр-22, 01:29 
> Вот вам смешно, а нам приходится с этим работать.

Тебя фожысты к батарее наручниками приковали, запретив смену места под угрозой расстрела?

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

52. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от пох. (?), 30-Апр-22, 09:33 
Почему запретив? В юрьев-то день- можно. И наручники отстегнут. Ключ - новому хозяину передадут.

Проблема что по ту сторону бетонной стены - точно такая же по сути камера. Даже окошко точно так же на север, а не на восток, к примеру.

А так сменил место, да.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Корец (?), 30-Апр-22, 23:39 
Сочувствую.
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +2 +/
Сообщение от Константавр (ok), 29-Апр-22, 15:19 
Погодите-погодите, у меня дежавю, или такое уже делали когда-то (несколько лет назад)?
Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (-), 29-Апр-22, 15:52 
Когда такое было?
Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +2 +/
Сообщение от Аноним (24), 29-Апр-22, 19:21 
> Когда такое было?

Вот именно, никогда такого не было... и вот опять!

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +4 +/
Сообщение от Z (??), 29-Апр-22, 15:39 
Чем больше людей использует инструмент, тем попсовее он. Npm как и гитхаб давно превратились в помойки.
Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –2 +/
Сообщение от a_kusb (ok), 29-Апр-22, 16:15 
Но в Гитхабе по моему меньше уязвимостей.
Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (34), 29-Апр-22, 22:02 
Они там есть, просто мы о них не знаем... Они лучше спрятаны...
Ответить | Правка | Наверх | Cообщить модератору

42. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (-), 30-Апр-22, 01:30 
Ага, только недавно опять эпичный cve был :)
Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

14. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (14), 29-Апр-22, 16:33 
Кажется, количество проблем в мире npm и js превзошло даже непревзойдённый php. Ну что ж, снимаю шляпу
Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (26), 29-Апр-22, 19:46 
Чет логики там немного, а уязвимостей пруд пруди.
Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (31), 29-Апр-22, 21:39 
А мне понравилось! Прикольно же!
Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (34), 29-Апр-22, 22:01 
Думаете уязвимость? Или кто надо для себя лазеечку оставил, в простонародье бэкдор...
Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  –2 +/
Сообщение от Аноним (45), 30-Апр-22, 02:00 
npm куплен гитхабом, гитхаб куплен майкрософтом. А почему-то всё купленное или сотрудничающее с майкрософтом превращается в тыкву. Пакетные менеджеры уже себя полностью дискредетировали, ставить регулярные обновления (они же убирают RCE в блокноте, это же очень надо!) стало опасно. Надеюсь сообщество всё ближе и ближе подходит к пониманию необходимости сначала читать код библиотеки, а потом её пинить или встраивать в свой проект (если она на MIT - копипастить авторов, если она на GPL - кланяться и раскрывать свой код и вместо нормальной организации своего проекта хитрить как Qt или intellij idea, где вы им обязаны контрибьютить, если трогаете GPL, а они вашу работу продают аля вариант дуальной лицензии, если это zlib - переименовывать папку на *-modified, чтобы указать версию со своими изменениями, если же это CC0\Public Domain - просто радоваться жизни).
Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (47), 30-Апр-22, 05:03 
[колхозный фронтенд.ogg], извините.
Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +1 +/
Сообщение от Аноним (48), 30-Апр-22, 07:32 
Идея не нова. Помнится, когда компьютеры были большими, ходила байка, что недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".
Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от Аноним (53), 30-Апр-22, 10:12 
> недовольные студенты подписали нелюбимого преподавателя на журнал "Свиноводство".

Ну они и свиньи :)

Ответить | Правка | Наверх | Cообщить модератору

54. "Уязвимость в репозитории NPM, позволяющая добавить сопровожд..."  +/
Сообщение от InuYasha (??), 30-Апр-22, 11:58 
Теперь можно подписать на рассылку GNOME )
Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру