The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Отчёт о компрометации git-репозитория и базы пользователей проекта PHP

07.04.2021 09:46

Опубликованы первые результаты разбора инцидента, связанного с выявлением в Git-репозитории проекта PHP двух вредоносных коммитов с бэкдором, активируемым при передаче запроса со специально оформленным заголовком User Agent. В ходе изучения следов деятельности атакующих был сделан вывод, что непосредственно сервер git.php.net, на котором был размещён git-репозиторий не был взломан, но была скомпрометирована база данных с учётными записями разработчиков проекта.

Не исключается, что злоумышленники смогли загрузить базу пользователей, хранившуюся в СУБД на сервере master.php.net. Содержимое master.php.net уже перенесено на новый сервер main.php.net, установленный с нуля. Все пароли разработчиков, использовавшиеся для доступа к инфраструктуре php.net, были сброшены и инициирован процесс их смены через специальную форму восстановления пароля. Репозитории git.php.net и svn.php.net остаются доступны в режиме только для чтения (разработка перенесена на GitHub).

После обнаружения первого вредоносного коммита, совершённого через учётную запись Расмуса Лердорфа, основателя PHP, было сделано предположение, что взломан аккаунт Расмуса, и Никита Попов, один из ключевых разработчиков PHP, откатил изменения и блокировал права коммита для проблемной учётной записи. Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

Следом атакующие отправили вредоносный коммит от имени самого Никиты. Через анализ логов сервиса gitolite, применяемого для организации доступа к репозиториям, была предпринята попытка определения участника, который действительно внёс изменения. Несмотря на включённый учёт всех коммитов, для двух вредоносных изменений в логе не оказалось записей. Стало ясно, что имеет место компрометация инфраструктуры, так как коммиты добавлены напрямую, в обход подключения через gitolite.

Оперативно был отключён сервер git.php.net, а первичный репозиторий переведён на GitHub. Впопыхах было упущено из виду то, что для доступа к репозиторию кроме SSH с использованием gitolite имелся ещё один вход, позволяющий отправлять коммиты через HTTPS. В данном случае для взаимодействия с Git использовался бэкенд git-http-backend, а аутентификация выполнялась при помощи HTTP-сервера Apache2, который проверял полномочия через обращение к базе данных, размещённой в СУБД на сервере master.php.net. Допускался вход не только по ключам, но и по обычному паролю. Разбор логов http-сервера, подтвердил, что вредоносные изменения были добавлены через HTTPS.

При изучении логов было выявлено, что атакующие подключились не с первого раза, а вначале пытались подобрать имя учётной записи, но после определения вошли с первой попытки, т.е. они заранее знали пароли Расмуса и Никиты, но не знали их логины. Если атакующие смогли получить доступ к СУБД, то непонятно, почему они сразу не использовали указанный там корректный логин. Данная несостыковка пока не получила достоверного объяснения. Взлом master.php.net рассматривается как наиболее вероятный сценарий, так как на данном сервере был использован очень старый код и устаревшая ОС, которые давно не обновлялись и имели неисправленные уязвимости.

Из предпринятых действий отмечается переустановка окружения сервера master.php.net и перевод скриптов на новую версию PHP 8. Код для работы с СУБД переделан для использования параметризованных запросов, усложняющих подстановку SQL-кода. Для хранения хэшей паролей в БД задействован алгоритм bcrypt (ранее пароли хранились с использованием ненадёжного хэша MD5). Существующие пароли сброшены и предложено установить новый пароль через форму восстановления пароля. Так как доступ к репозиториям git.php.net и svn.php.net по HTTPS был привязан к хэшам MD5, решено оставить git.php.net и svn.php.net в режиме только для чтения, а также перенести все остающиеся на них репозитории расширений PECL на GitHub, по аналогии с основным репозиторием PHP.

  1. Главная ссылка к новости (https://externals.io/message/1...)
  2. OpenNews: В Git-репозитории проекта PHP выявлены вредоносные изменения
  3. OpenNews: Релиз языка программирования PHP 8.0
  4. OpenNews: Уязвимость, позволяющая удалённо выполнить код на сервере PHP-репозитория Packagist
  5. OpenNews: Подтверждён факт взлома инфраструктуры проекта PHP
  6. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/54920-php
Ключевые слова: php, hack, malware
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (88) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, имя_ (?), 10:36, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    >master.php.net

    ого, как нетолерантно в сегодняшние времена!
    >main.php.net

    а нет, все в порядке

    лол

     
     
  • 2.33, Аноним (33), 13:01, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +13 +/
    А что если не было никакого взлома, а всё было затеяно для переезда на Гитхаб и смены имени сервера?..
     
  • 2.53, Аноним (53), 14:45, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А не столман ли это? Надо было закрывать вопрос раз и навсегда.
     
     
  • 3.57, Аноним (-), 15:17, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Свободное Сообщество само за Столлмана закроет вопрос.
     
     
  • 4.100, Аноним (100), 16:28, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    За ричарда стреляю в упор
     

  • 1.2, имя_ (?), 10:42, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >После обнаружения первого вредоносного коммита, совершённого через учётную запись Расмуса Лердорфа, основателя PHP, было сделано предположение, что взломан его аккаунт и Никита Попов, один из ключевых разработчиков PHP, откатил изменения и блокировал права коммита для проблемной учётной записи.
    >Следом атакующие отправили вредоносный коммит от имени самого Никиты.

    Похоже, что взломщики следили за всеми действиями в прямом эфире. Представляю каково это было увидеть левый коммит от самого себя.

     
  • 1.3, тоже аноним (?), 10:43, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    > было сделано предположение, что взломан его аккаунт и Никита Попов

    Никиту спасти удалось? Я переживаю.

     
     
  • 2.6, Леголас (ok), 11:14, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    если уж гнуть вашу линию, то это всего навсего предположение, и безопасность господина Попова, вполне возможно, вообще не была под вопросом
     
     
  • 3.10, Аноним (10), 11:36, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тоже аноним имеет в виду, что перед "и Никита Попов" по правилам русской грамматики должна стоять запятая.
     
     
  • 4.11, Леголас (ok), 11:47, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    она может там стоять, но необязательно — всё банально зависит от смысла
     
     
  • 5.83, Аноним (83), 06:51, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    смысл - это не банально
     
  • 2.28, Клавиатур (?), 12:29, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Никита в полной безопасности.
    Его тоже перепрошили.
     
     
  • 3.29, Аноним (29), 12:36, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Чипировали
     
     
  • 4.74, username (??), 02:04, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вайфаем
     
  • 3.82, Аноним (83), 06:51, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Еще пока он был в РФ :D
     

  • 1.4, Аноним (4), 11:01, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Пруфа нет, но примерно с месяц назад попадалась новость, что бекдор встроен в пхпшторм и шлет пароли кудато налево.
    Возможно, та же ситуация и в данном случае (уверен, что и Расмус Лердорф и Никита Попов используют шторм)
     
     
  • 2.39, Аноним (39), 13:41, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если пруфа нет, это называется клевета.
     
     
  • 3.45, Аноним (45), 14:06, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    IntelliJ IDEA держит открытым порт на 127.0.0.1и через запущенный браузер можно выполнить код на локально запущенной IDEA. Там баг в сериализации, могу продать payload
     

  • 1.8, Онаним (?), 11:29, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Вот видите.
    А озаботились бы раньше BLM и прочим SJW - глядишь и master.php.net бы не взломали.
    Такие дела.
     
     
  • 2.81, Аноним (83), 06:50, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кто о чем, а барнаулец о наболевшем.
     

  • 1.9, Cradle (?), 11:33, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    вот это особенно понравилось "Код для работы с СУБД переделан для использования параметризованных запросов, усложняющих подстановку SQL-кода"

    выходит, все предыдущие 25 лет они там не параметризованные были?

     
     
  • 2.15, Аноним (15), 12:00, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    именно! а еще древная не обновляемая ОС, а еще MD5 в качестве хеша пароля (не удивлюсь если они даже без соли хранились).

    похапешники - одним словом)))

     
     
  • 3.16, Gemorroj (ok), 12:04, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    давай посмотрим на твой код 25 летней давности?
     
     
  • 4.19, istepan (ok), 12:21, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Речь наминуточку, об инфраструктре от которой зависит большая часть интернета.
    Это просто какое-то позорище.
     
     
  • 5.35, fske (?), 13:19, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Речь наминуточку, об инфраструктре от которой зависит большая часть интернета

    большая часть....ты не стендапер часом? шутка хорошая.

     
     
  • 6.75, funny.falcon (?), 04:50, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если ударение поставить на а, то всё нормально.
     
  • 4.88, FSA (??), 10:01, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Лет 15 назад я тоже в md5 хранил. Но потом открыл для себя password_hash. Просто так взять и разослать по пользователями сообщение о смене пароля не мог. Просто прикрутил костыль. Добавил дополнительное поле для хранения пароля в новом виде. Всем, кто успешно логинился в систему автоматически заполнял это поле и удалял старый хеш. У кого старого хеша не было, проверял пароль через password_verify. Ну, и, если что, сайт в локалке крутился. От прошлых утечек уже не защита, а от новых вполне себе.
     
  • 3.31, InuYasha (??), 12:48, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • –9 +/
    > похапешники - одним словом)))

    пхп не просто допускает, позволяет, разрешает такие техники программирования, но, имхо, одобряет, способствует, подталкивает, учит говнокодингу.
    Я, как сиплюплюшник, всегда был в шоке от того как пишется код всяких веб-поделок. От того как хреново (т.е. почти никак) поток инструкций изолируется от потока данных. В общем, макаки сами себя полностью закопали, отклонив инициативу P++. В php hell им дорога.
    И дотнетчикам с ГОпниками туда же.

     
     
  • 4.36, имя_ (?), 13:19, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    с++ един и страуструп пророк его!
     
  • 4.40, Аноним (39), 13:44, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Как будто на С++ плохого кода нет.

    А так-то само собой разумеется, что чем проще язык, тем больше на нем будет непрофессионального кода.

     
  • 4.54, Аноним (54), 15:00, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Здесь постоянно новости проходят о дырках в твоей плюшечке
     
  • 4.61, Lex (??), 16:40, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > пхп не просто допускает, позволяет, разрешает такие техники программирования

    Какие «техники» ?
    -Не трогать то, что и так успешно работает ? Ведь именно это явилось следствием упомянутых проблем.

    А то можно подумать, что сишники свой код еженедельно переписывают.. и пакеты новейшие устанавливают.. и ось переустанавливают

     
  • 4.80, Аноним (83), 06:49, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > поток инструкций изолируется от потока данных

    Это что еще такое?!

    Поток инструкций... изолируется. Это про сегменты? Виртуалки? OpenCL? Что_ты_черт_возьми_такое_несешь.jpg

     
     
  • 5.89, InuYasha (??), 10:24, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе, наверное, фамилия Фон Нойман вообще ни о чём не говорит. Жуй дальше веб-бананы.
     
  • 4.101, Аноним (100), 16:30, 10/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > дотнетчикам с ГОпниками туда же.

    Зря ты так, зря, зря.... ой зря...

     

  • 1.12, Аноним (12), 11:49, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Взлом master.php.net рассматривается как наиболее вероятный сценарий, так как для данного сервера было использовано неполиткорректное имя, возбуждающее криминальные элементы в среде SJW. В связи с этим решено сменить имя на main.
     
     
  • 2.22, Ordu (ok), 12:23, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Если уж пошла такая пьянка, то надо было не менять: бесплатный пентест.
     
     
  • 3.91, Аноним (91), 10:52, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот тебе бабушка и столман день.
     

  • 1.14, Аноним (12), 11:51, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    >Для хранения хэшей паролей в БД задействован алгоритм bcrypt (ранее пароли хранились с использованием ненадёжного хэша MD5).

    Выпилить вообще парольную аутентификацию и вместо этого ввести аутентификацию по публичным ключам.

     
     
  • 2.17, бублички (?), 12:12, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    как это поможет при краже приватного ключа с твоего компьютера, где ты в любимой десяточке откроешь какой-то веб-сайтик в устаревшем Chrome/Firefox? как это поможет когда баклан вроде тебя прощёлкает где-то ноутбук-планшет-мобильник где был приватный ключ в незащищщённом виде (C:\Users\Vasjan\Desktop\private.key)?
     
     
  • 3.18, Аноним (29), 12:20, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При входе с новых мест включать 2FA с подтверждением Trust computer
     
     
  • 4.26, InuYasha (??), 12:26, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    http://www.notcpa.org/
     
  • 3.20, Аноним (29), 12:22, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://smallstep.com/sso-ssh/

    https://smallstep.com/docs/platform

     
     
  • 4.44, бублички (?), 14:04, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    даже ужасаюсь представить это на практике, но с позиций маркетинга очень красиво: Pro версия, интеграция с AWS и Azure. от этих слов (ещё забыли Kubernets) у любого эффективного менеджера (или руководителя проекта без всякого опыта в ИТ) гарантирован экстаз. представляю презентации типа "мы сделали даже лучше чем хотели, ведь мы лучшие и всё самое лучшее делаем лишь для вас. только купите - мы с вас не слезем"
     
  • 3.21, istepan (ok), 12:22, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Приватные ключи защищаются парольной фразой.
     
     
  • 4.23, Аноним (29), 12:23, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ssh-agent будет держать в кеше без парольной фразы.
     
     
  • 5.94, Аноним (94), 15:45, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И?
     
  • 4.25, Аноним (29), 12:25, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ssh-agent is a key manager for SSH. It holds your keys and certificates in memory, unencrypted, and ready for use by ssh. It saves you from typing a passphrase every time you connect to a server. It runs in the background on your system, separately from ssh, and it usually starts up the first time you run ssh after a reboot.

    https://smallstep.com/blog/ssh-agent-explained/

     
  • 4.27, бублички (?), 12:29, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    зашифрованной сверхнадёжными DES-MD5 при пароле типа vasja123?
     
  • 2.79, Аноним (83), 06:47, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    по глазу
     

  • 1.24, InuYasha (??), 12:24, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Надо было ставить антивирус однофамильца - и никакие взломы были бы не страшны.
     
     
  • 2.43, Аноним (43), 14:01, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда уж и сервер крутить на ПопенОС или как она там с нескучными
     
     
  • 3.73, Аноним (73), 23:31, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Болген, же.
     

  • 1.30, user90 (?), 12:45, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    > проекта PHP двух вредоносных коммитов

    "вредоносного проЭкта PHP", fixed!

     
  • 1.32, Аноним (32), 12:59, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Дырявый язык с дырявым репозиторием. Разаботчики хоть не дырявые?
     
     
  • 2.38, fske (?), 13:21, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    а как ты считаешь, если они переехали с master на main?
     
  • 2.55, Аноним (54), 15:07, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Школьник-пубертат везде дырки ищет
     
     
  • 3.66, имя_ (?), 17:47, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    не просто ищет, а еще и носом крутит - не нравятся ему некоторые!
     
     
  • 4.95, Аноним (95), 18:20, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну это всяко лучше типичного пэхапешника, который везде дырки находит, а потом страдает от болячек. Запомните нужно правильно выбирать партнера
     

  • 1.34, Аноним (34), 13:08, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот бы им мигрировать на Codeberg или Notabug в конце концов
     
     
  • 2.65, Аноним (43), 17:39, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А чем хорош Codeberg?
     

  • 1.37, YetAnotherOnanym (ok), 13:20, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > аутентификация выполнялась при помощи HTTP-сервера Apache2

    Эээ... имеется в виду аутентификация средствами HTTP?

     
  • 1.41, DEF (?), 13:46, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему bcrypt, а не argon2? Чем они думают воообще там?
     
  • 1.42, erthink (ok), 13:56, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

    Откровенно говоря, страшно подумать, что можно ожидать при таком уровне в собственном коде разработчиков, без ревью и аудита.

    Ляпы у всех бывают, но тут как-то перебор.

     
     
  • 2.49, Аноним (49), 14:26, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Ляпы у всех бывают, но тут как-то перебор.

    Проблема в отсутствии ответственных за инфраструктуру людей.

     
     
  • 3.56, бублички (?), 15:13, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ты правда хотел бы нести ответственность за подобных горе-разработчиков? или же ты надеешься их переубедить? за спиной будешь стоять и бить по рукам что тянутся сотворить очередную глупость? брось, это они переубедят тебя, ещё вдобавок задавят опытом а потом выпрут за проф-непригодность (и отсутствие толерантности к геям-неграм). ну обновили они сервер (PHP 8 вместо 5), но мышление то у них не обновилось. ждём продолжения
     
  • 2.78, Аноним (83), 06:44, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    на моем веку в мастер загружали после ревю чудовищную бредятину, только потому что ревб - это не про разум, а про то кто больше орет, отказывается дискутировать, занимая принципиально бескомпромиссную позицию, и у кого выше позиция. Короче ни ревью, ни аудит, ни Open Source - сегодня ничего не гарантируют.
     

  • 1.58, Аноним (58), 16:02, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > т.е. они заранее знали пароли Расмуса и Никиты, но не знали их логины. Если атакующие смогли получить доступ к СУБД, то непонятно, почему они сразу не использовали указанный там корректный логин.

    Видать они:
    * использовали один пароль на несколько сервисов.
    * подхватили кейлогер на своих рабочих компах.

    Если дело в кейлогерах, то помогут ключи с аппаратной защитой секретного ключа.

     
     
  • 2.70, Anona (?), 22:54, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Не вполне: на зараженной машине можно перехватить пин токена, дождаться его подключения и подписать необходимое.
     

  • 1.59, Аноним (59), 16:02, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    MD5 - "я и балл"!
     
  • 1.60, Аноним (60), 16:40, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    после взлома надо было удалить весь пхп
     
  • 1.62, Аноним (62), 16:47, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    ВпоПЫХах.
     
     
  • 2.76, Аноним (76), 05:26, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    вПОПЫах
     
     
  • 3.96, Аноним (95), 18:21, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Шалун
     

  • 1.63, Аноним (63), 17:08, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    >> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

    Всё что нужно знать об отличиях git от svn

     
     
  • 2.68, пох. (?), 20:00, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    костылинг и подпоркинг вместо аутентификации добавьте в списочек.

    Потомушта для "парежьте памельче, в экран нивлазиет, и пришлите в рассылку" все это, конечно, излишне.

     
     
  • 3.71, Anona (?), 22:58, 07/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще, для крупных изменений в ядре предусмотрено [GIT PULL].
     

  • 1.69, Ilya Indigo (ok), 20:41, 07/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > на данном сервере был использован очень старый код и устаревшая ОС, которые давно не обновлялись и имели неисправленные уязвимости.

    Работает - не трожь! Говорили они.

    > master --> main

    А не ради этого ли всё затевалось?

     
     
  • 2.92, Аноним (92), 12:34, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Последние обновления спасают от подбора паролей?
     
     
  • 3.93, Ilya Indigo (ok), 12:37, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Последние обновления спасают от подбора паролей?

    Вы новость читали?
    Пароль НЕ подбирали его уже знали.

     

  • 1.77, Аноним (83), 06:41, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять Никита Попов...

    Надо бы PHP-никам проверить его на связь с Лубяночкой кек

     
     
  • 2.85, еманйам (?), 08:19, 08/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    паяльник уже подключен к розетке - 100% сознается
     

  • 1.84, еманйам (?), 08:18, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    master переделали в main

    опять "хакеры во всём виноваты" - при чём, желательно русские.

     
     
  • 2.97, Аноним (83), 09:17, 09/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Во-первых, нежелательно, но все же все время русские, китайские или северо-корейские. Что логично, конечно.
    Во-вторых, "причём" - слитно.
     

  • 1.87, Аноним (91), 08:52, 08/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кстати, Столлман не имеет ничего против разработки customized software — специально заточенного софта для разных конторских нужд, и получения за сиё колдунство грязных денег.
     
  • 1.99, Аноним (99), 11:02, 09/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что будет с php, если представить, чисто гипотетически, что Лердорф и Попов перестанут им заниматься? Насколько большая команда вообще занимается развитием php?
     
     
  • 2.102, Аноним (102), 14:08, 15/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Небольшая, насколько понимаю, человек 30-40, из которых реально активных может быть 10
     
  • 2.103, Gemorroj (ok), 19:00, 07/05/2021 [^] [^^] [^^^] [ответить]  
  • +/
    лердорф давно не занимается php. занимаются активно только попов и стогов.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру