forum.opennet.ru

"Пять уязвимостей в Git, среди которых одна критическая и две опасные"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для слежения за появлением новых сообщений в нити, нажмите "Проследить за развитием треда".

. "Пять уязвимостей в Git, среди которых одна критическая и две..."	+7 +/–
Сообщение от Аноним (3), 16-Май-24, 00:26
> приведёт к выполнению этих hook-ов Хуки -- мерзотнейшая штука. Сразу вырубаю эту херню к чертям собачьим. К примеру, в веб-проектах хуки устанавливаются таким куском фекалий, как npm-пакет husky. Прикиньте, делаю гит коммит, не имея nodejs в $PATH, и тут вдруг гит ругается, что хук ругается, что nodejs не найден. Я на такое как бы не подписывался, какого ху_ гит запускает какой-то васянский код при гит-коммите? Ах да, postinstall-скрипты тоже надо вырубать нахрен через .npmrc. Если вы этого не сделали, любой васян из интернета сможет запускать код под вашими правами и воровать ваш ~/.config/chromium. Посчитать, скольки васянам вы даете полные права на вашу систему: find node_modules -name package.json \| wc -l
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Пять уязвимостей в Git, среди которых одна критическая и две опасные, opennews, 16-Май-24, 00:25 [смотреть все]

Для симлинков в винде нужны права администратора , Аноним, 16-Май-24, 00:25 (1) //
- Вернее не права администратора, а SeCreateSymbolicLinkPrivilege которая обычно , Аноним, 16-Май-24, 00:32 (5)
- найди мне модного современного разработчика-под-линукс не выклянчившего вымутивш, нах., 16-Май-24, 00:39 (6) //
  - Ну я, чо дальше , pavlinux, 16-Май-24, 00:50 (11) //
    - Непонятно, зачем нужен эксплойт, если можно сказать ему запустить curl https , Аноним, 16-Май-24, 01:07 (16)
      - Между git и curl 124 bash большая разница Человек, запускающий curl 124 b, Аноним, 16-Май-24, 06:21 (32)
        
        но если скрипт больше 5 строчек, то проверять всё равно лень, кент кента, 16-Май-24, 11:47 (53)
        
        Две большие разницы - заинтересовать запуском скрипта и заинтересовать просмот, Аноним, 18-Май-24, 12:16 (84)
    - Этож как накосячить-то надо было, чтоб совсем-совсем не выдали, а Порнобаннеров, User, 16-Май-24, 07:30 (35)
      - варианта с отсутствием венды не рассматривали совсем по какой причине , Аноним, 16-Май-24, 09:49 (40)
        
        Ну, иногда ж работать приходится, а не только конфиг vim а вылизывать - и если э, User, 16-Май-24, 11:29 (51)
        
        Ну не знаю Винды не видел уже года с 2009-го, в последнее время вообще ни с чем, Аноним, 16-Май-24, 16:27 (61)
        
        gt оверквотинг удален Ну в общем хотелось бы как-то так - но по роду деятельно, User, 16-Май-24, 18:12 (64)
        
        А, ну да, с такими тяжело Сочувствую Я предпочитаю работать с малым-средним ча, Аноним, 16-Май-24, 19:20 (69)
        
        Вот, еще 1 анон понимает прелести подобных направлений А ты дорогой user наслаж, Аноним, 17-Май-24, 04:42 (74)
        
        Ну в общем не буду спорить - все так и есть У каждого выбора свои плюсы и свои , User, 20-Май-24, 12:14 (87)
        
        Опция жить как рабу - мне чем-то не нравится Я понял что возможность пойти попла, Аноним, 20-Май-24, 16:55 (88)
        Я кажись понял, в чем тут у нас расхожденья Пред-по-ла-гаю, что если карьеру на, User, 20-Май-24, 20:37 (91)
        p s и да, ты не можешь себе даже близко представить как я ненавижу все эти тво, Аноним, 20-Май-24, 16:57 (89)
        Ну, не всем же в ларьке по продаже кока-колы, работать, да Кому-то вот приходит, User, 20-Май-24, 20:40 (92)
        
        Есть ведь и фронтендеры на удалёнке Переговорки не актуальны, с заказчиками общ, Рмшъ, 20-Май-24, 11:03 (85)
        
        если эта работа не сводится к программировай-администрировай И то - с нюанса, User, 20-Май-24, 11:14 (86)
      - небось как тот инженер у нас - а я уже диск отформатировал, дайте установочный,, нах., 16-Май-24, 09:52 (42)
- Никого не волнует что там в винде происходит, Аноним, 16-Май-24, 06:36 (33) //
  - То ли дело 2 , ага , Аноним, 16-Май-24, 07:08 (34) //
    - 4 8 без учёта ChromeOS, Аноним, 16-Май-24, 08:26 (36)
      - https radar yandex ru desktop утверждает иное 2 77 всего недесктопного кроме, Аноним, 16-Май-24, 08:34 (38)
        
        Ага, и все в этой статистике - разработчики, использующие git - Даже на Винде, , Аноним, 16-Май-24, 16:40 (63)
        
        На кой Конкретно у меня под виндой гит нативный стоит, а не в виртуалке с ненуж, Аноним, 16-Май-24, 18:19 (65)
        на винде гит встроен в visual studio не шва6одкину подделку а настоящую Прям пр, нах., 17-Май-24, 12:42 (78)
        
        Ко встроенным эта уязвимость не относится же Или там не что-то вроде libgit2, а, Аноним, 17-Май-24, 13:57 (79)
        
        да скорее всего именно консольный, вдруг тебе понадобится что-то нестандартное с, нах., 17-Май-24, 19:32 (83)
        
        это какой-то позор Такая огромная компания с миллиардными доходами и полной мон, Аноним, 17-Май-24, 14:23 (81)
        
        ну да, ну да, одного Пара сотен разработчиков кажется, кто-то работал на MS н, нах., 17-Май-24, 19:30 (82)
- Можно в режим разработчика перевести, тогда не нужны Правда нужны права на сам , Да ну нахер, 16-Май-24, 10:09 (46)
Хуки -- мерзотнейшая штука Сразу вырубаю эту херню к чертям собачьим К примеру , Аноним, 16-Май-24, 00:26 (3) //
- Так и запишем вредоносное ПО , Аноним, 16-Май-24, 00:29 (4) //
  - NPM состоит из него чуть менее чем полностью И репа и сама эта штука , Аноним, 16-Май-24, 10:35 (48)
- Так тут не git, а npm пачкает все фекалиями, Васян, 16-Май-24, 00:47 (8) //
  - пачкают, зачастую, cильно умные проггеры-олимпиадникиМол, а давайте, чтобы был н, Бывалый Смузихлёб, 16-Май-24, 15:22 (60)
- Так это касается любых языков программирования и систем сборки и репозиториев и , Витюшка, 16-Май-24, 00:57 (14) //
  - это касается не только Linux, penetrator, 16-Май-24, 03:14 (29)
  - Ага, только если вовремя заметил догадался, что это срочно необходимо сделать , Аноним, 16-Май-24, 08:30 (37)
  - Стандартные пакеты ревьювят, а хлам от JS мaкaк - нет, Аноним, 16-Май-24, 14:35 (56)
- NPM по хорошему в докер убирать надо , Аноним, 16-Май-24, 01:43 (17) //
  - Попрошу ещё поглубже, пожалуйста, Аноним, 16-Май-24, 02:08 (20)
  - Докер стоит денег И в целом от этой проблемы вас не спасёт , Аноним, 16-Май-24, 02:35 (25)
  - А там бэкдор типа нещитово , Аноним, 16-Май-24, 10:36 (49)
- Абсолютно солидарен ЛЮБОЙ формат, позволяющий немножко скриптогадить , фтопку , Аноним, 16-Май-24, 18:41 (68) //
  - Это всё привет от технологий начала 80-х, когда засунуть везде свой Тьюринг-полн, Аноним, 17-Май-24, 14:02 (80)
позволяет добиться выполнения кода при выполнении кода fixed выполнению кода , pavlinux, 16-Май-24, 00:51 (12) //
- Выполняется не код, а команда С нежелательными побочными эффектами - после ожид, Аноним, 16-Май-24, 06:03 (31) //
  - не, ну вот сносить-то зачем Чо вы как эти вот самые Не сносить а добавить Стр, нах., 16-Май-24, 09:53 (43) //
    - Да нафиг, каждому горе майнтайнеру - по мaйнeру А такие как ты даже и доброволь, Аноним, 17-Май-24, 04:47 (76)
      - у тебя бабла не хватит покрыть все риски и косвенные ущербы А я умею считать гл, нах., 17-Май-24, 12:38 (77)
        
        Да вот хрен там Если бы ты реально умел считать, сделал бы это все в 2009, а се, Аноним, 20-Май-24, 17:05 (90)
Я помню в одной конторе настроили хуки так что оно писало об изменениях в програ, Аноним, 16-Май-24, 00:55 (13) //
- Так это обычно в отдельный канал в Слаке делают Я это сразу в mute отправляю, н, Аноним, 16-Май-24, 16:38 (62)
Тот кто писал, явно не работал с macOS, Аноним, 16-Май-24, 02:00 (19) //
- Ну вообще-то apfs которая используется на системном диске как раз case insensiti, Аноним, 16-Май-24, 02:19 (23) //
  - А я-то думал, откуда это лишение фич прогрессом обзывают А оно вон как, the usu, Аноним, 16-Май-24, 03:11 (28) //
    - И опять ты пaльцeм в гyзнo попал 128518 Но даже не буду oбъяcнять почему, уж , Аноним, 16-Май-24, 03:38 (30)
    - это добавление Наконец-то системе объяснили что никому на самом деле не нужны F, нах., 16-Май-24, 09:55 (44)
      - Всегда делаю в шелле для обхода окружений алиасы функции вида CP, INSTALL, SH С, Аноним, 16-Май-24, 13:18 (54)
      - Да, есть нюанс теперь своим нюансом собираете кучу багов в разном софте Выбор , Аноним, 16-Май-24, 14:39 (58)
        
        профпригодный подвальный пришел порассуждать о выборах разработчиков Тебя от кан, нах., 16-Май-24, 14:46 (59)
        Настоящий труЪ погромистЪ должОн сидеть на коредуба с и дебьяне с крысой Ннада , Аноним, 16-Май-24, 20:44 (70)
        
        Вставлю своё примечание в ваш разговор в ответ именно на это сообщение - на gent, Аноним, 17-Май-24, 00:49 (71)
        
        О, а что вы скажете о пользователях айфона и маках Полагаю именно это клиенты э, Аноним, 17-Май-24, 00:53 (72)
И две смешные, Изя, 16-Май-24, 02:31 (24)
А вот у меня вопрос - откуда столько версий git Аж 7 в этой новости насчитал , 1, 16-Май-24, 09:25 (39) //
- для некоторых можно и не жадничать, и использовать два - например для самого пит, нах., 16-Май-24, 09:56 (45)
А можно это объявить фичой и не чинить Прикольно же когда всяких маздайищков мо, Аноним, 16-Май-24, 10:33 (47) //
- Сюрприз чувствительность к регистру в NTFS можно включить если делать нечего А, Аноним, 16-Май-24, 18:21 (66) //
  - Ну и какой юзеров это делает Вот и ответ на вопрос сработает ли эксплойт , Аноним, 17-Май-24, 04:35 (73) //
    - Начиная с Windows 10 сборки 17107 чувствительность к регистру можно включить даж, Аноним, 21-Май-24, 18:04 (93)
Это же фича, а не баг, Аноним, 16-Май-24, 14:29 (55)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру