Перейти к содержимому


Курилка

Автор Гость_Tyr_* , 10 Feb 2005 11:55

  • Авторизуйтесь для ответа в теме
Сообщений в теме: 35808

#31101 OFFLINE   aller

aller

    канонирушка

  • ARSSC
  • PipPipPipPipPip
  • 2054 сообщений
  • Откуда:Минск

Отправлено 22 December 2020 - 21:42

да куча вариантов может быть, ну и понятное дело что тупо из-за идиотизма девелоперов.

Я сам девелопер. Пароль от базы может быть только на бэке. Как бэк может быть ы открытом доступе? Разве что на гитхабе... Вот я и интересуюсь где. Мне надо вопросы для собеседок )))
  • 0
Я еду на гульню
На жоўтым масквiчы.
Страляю калдыроў.
Са мной мае сябры.
Вось так, вось так, вось так!!! Вось так, вось так, вось так!!! Вось так, вось так, вось так!!!

#31102 OFFLINE   FerreS

FerreS

    aka Katori aka Prince XIII

  • продвинутый пользователь
  • PipPipPipPipPip
  • 3514 сообщений
  • Откуда:Москва

Отправлено 22 December 2020 - 21:53

Я сам девелопер. Пароль от базы может быть только на бэке. Как бэк может быть ы открытом доступе? Разве что на гитхабе... Вот я и интересуюсь где. Мне надо вопросы для собеседок )))

Я в кибер безопасности, и ты не поверишь сколько забавных "девелоперов" есть в мире (особенно забавны ребята из всяких Индий и Ю.Америки) 

Там тупо пароли могут быть закоменчены в странице на фронте. 

Ну и классика конечно когда какой-нибудь идиот создает бэкап файл прямо в той же папке добавив что-нибудь вроде .bak  :bigyell: При кривых конфигурациях, конечно же эти файлы можно вполне считать "в открытом доступе" 


  • 0

#31103 OFFLINE   aller

aller

    канонирушка

  • ARSSC
  • PipPipPipPipPip
  • 2054 сообщений
  • Откуда:Минск

Отправлено 23 December 2020 - 05:46

Я в кибер безопасности, и ты не поверишь сколько забавных "девелоперов" есть в мире (особенно забавны ребята из всяких Индий и Ю.Америки) 
Там тупо пароли могут быть закоменчены в странице на фронте. 
Ну и классика конечно когда какой-нибудь идиот создает бэкап файл прямо в той же папке добавив что-нибудь вроде .bak  :bigyell: При кривых конфигурациях, конечно же эти файлы можно вполне считать "в открытом доступе"

Тогда нам обязательно нужно узнать про этот случай подробнее - я хотел бы посмотреть на фронт с паролями к БД)))
  • 0
Я еду на гульню
На жоўтым масквiчы.
Страляю калдыроў.
Са мной мае сябры.
Вось так, вось так, вось так!!! Вось так, вось так, вось так!!! Вось так, вось так, вось так!!!

#31104 OFFLINE   SVD

SVD

    ТРУЪ

  • ARSSC
  • PipPipPipPipPip
  • 3976 сообщений
  • Откуда:Новосибирск

Отправлено 23 December 2020 - 08:32

Не стоит недооценивать предсказуемость тупости (Ц)


  • 1
Я стал истинным поклонником «Арсенала» – часто бывал мрачным, замкнутым, подавленным.

#31105 OFFLINE   FerreS

FerreS

    aka Katori aka Prince XIII

  • продвинутый пользователь
  • PipPipPipPipPip
  • 3514 сообщений
  • Откуда:Москва

Отправлено 23 December 2020 - 10:38

Тогда нам обязательно нужно узнать про этот случай подробнее - я хотел бы посмотреть на фронт с паролями к БД)))

Я кстати хотел найти эту новость, чтобы может найти кое-какие детали. Не нашел xD
  • 1

#31106 Гость_Tyr_*

Гость_Tyr_*
  • Гость

Отправлено 23 December 2020 - 10:44

Держите источник )
https://www.zdnet.co...te-source-code/


  • 1

#31107 Гость_Tyr_*

Гость_Tyr_*
  • Гость

Отправлено 23 December 2020 - 10:44

Не стоит недооценивать предсказуемость тупости (Ц)

в той же статье ещё крутое ))

 

 

 

after an employee uploaded a spreadsheet with usernames, passwords, and access keys to sensitive government systems on GitHub

:bigyell:


  • 1

#31108 OFFLINE   aller

aller

    канонирушка

  • ARSSC
  • PipPipPipPipPip
  • 2054 сообщений
  • Откуда:Минск

Отправлено 23 December 2020 - 11:02

after an employee uploaded a spreadsheet with usernames, passwords, and access keys to sensitive government systems on GitHub

ну так это известный косяк ))) тогда ничего нового
а жаль.
  • 1
Я еду на гульню
На жоўтым масквiчы.
Страляю калдыроў.
Са мной мае сябры.
Вось так, вось так, вось так!!! Вось так, вось так, вось так!!! Вось так, вось так, вось так!!!

#31109 Гость_Tyr_*

Гость_Tyr_*
  • Гость

Отправлено 23 December 2020 - 16:53

@aller не посмотрел ссылку )


  • 0

#31110 OFFLINE   aller

aller

    канонирушка

  • ARSSC
  • PipPipPipPipPip
  • 2054 сообщений
  • Откуда:Минск

Отправлено 23 December 2020 - 18:17

@aller не посмотрел ссылку )


Смотрел. Там перекрестные ссылки друг на друга, а ссылки на гит я не нашел. Самое интересное в приведенной цитате.
  • 0
Я еду на гульню
На жоўтым масквiчы.
Страляю калдыроў.
Са мной мае сябры.
Вось так, вось так, вось так!!! Вось так, вось так, вось так!!! Вось так, вось так, вось так!!!

#31111 Гость_Tyr_*

Гость_Tyr_*
  • Гость

Отправлено 23 December 2020 - 19:01

про гит ваще другой чувак отличился )

а про тот кейс, что вчера писал там вот

 

Estadao reporters searched for similar issues in other government sites.

 
They found a similar leak in the source code of e-SUS-Notifica, a web portal where Brazilian citizens can sign up and receive official government notifications about the COVID-19 pandemic.
 
Reporters said the site's source code contained a username and password stored in Base64, an encoding format that can be easily decoded to obtain the initial username and password, with little to no effort.
 
The login information allowed access to SUS (Sistema Único de Saúde), the official database of the Brazilian Ministry of Health, which stored information on all Brazilians who signed up for the country's public-funded health care system, established in 1989.

*режим_зануды_off*  :old:


  • 0

#31112 OFFLINE   aller

aller

    канонирушка

  • ARSSC
  • PipPipPipPipPip
  • 2054 сообщений
  • Откуда:Минск

Отправлено 24 December 2020 - 10:58

Reporters said the site's source code contained a username and password stored in Base64, an encoding format that can be easily decoded to obtain the initial username and password, with little to no effort.

Ну вот я так плонял, что "source code" это репа на гите, а "username and password stored in Base64" это было в CSV файле, залитом на гитхаб.
  • 0
Я еду на гульню
На жоўтым масквiчы.
Страляю калдыроў.
Са мной мае сябры.
Вось так, вось так, вось так!!! Вось так, вось так, вось так!!! Вось так, вось так, вось так!!!

#31113 Гость_Tyr_*

Гость_Tyr_*
  • Гость

Отправлено 24 December 2020 - 12:15

дык чорным по английскому жешь
"e-SUS-Notifica, a web portal"


  • 0

#31114 OFFLINE   ilyaMS

ilyaMS

    GUNNER

  • продвинутый пользователь
  • PipPipPipPipPip
  • 9415 сообщений
  • Откуда:Минск

Отправлено 24 December 2020 - 12:17

Саша манагер. Вадим, не сношай ему голову деталями  :bigyell:


  • 0

#31115 OFFLINE   SVD

SVD

    ТРУЪ

  • ARSSC
  • PipPipPipPipPip
  • 3976 сообщений
  • Откуда:Новосибирск

Отправлено 24 December 2020 - 14:17

Эффективный, надеюсь


  • 0
Я стал истинным поклонником «Арсенала» – часто бывал мрачным, замкнутым, подавленным.

#31116 OFFLINE   aller

aller

    канонирушка

  • ARSSC
  • PipPipPipPipPip
  • 2054 сообщений
  • Откуда:Минск

Отправлено 24 December 2020 - 14:28

дык чорным по английскому жешь
"e-SUS-Notifica, a web portal"

Вадим, а ты смотрел тот код? )))

 

Во-первых, в коде этого уже точно не будет.

Второе, я до сих пор не пойму, зачем в JS держать пароли. Накуя?

Третье, в тоей это фразе прямо написано что "after an employee uploaded a spreadsheet with usernames, passwords, and access keys to sensitive government systems on GitHub"

Ну и последнее, я прям вангую, что для репортера source code это именно код на гит-хаб.

 

Поэтому, я и не лазал по нутрям сайта (еще раз, уверен там если и было что то уже нифига нет. зачем время тратить), а пытался просто найти ссылку на гитхаб. Не нашел и забил. Опять же, потому что "uploaded" что-то секюрное на гитхаб это дело не редкое.

 

Саша манагер. Вадим, не сношай ему голову деталями  :bigyell:

я попрошу ))) завидовать не надо, гребец!
 


  • 0
Я еду на гульню
На жоўтым масквiчы.
Страляю калдыроў.
Са мной мае сябры.
Вось так, вось так, вось так!!! Вось так, вось так, вось так!!! Вось так, вось так, вось так!!!

#31117 OFFLINE   Tanzwut

Tanzwut

    GUNNER

  • ARSSC
  • PipPipPipPipPip
  • 9987 сообщений
  • Откуда:Ростов

Отправлено 26 December 2020 - 18:42


Северная Корея на минималках.
  • 3
Если ты (простите, Вы) Интеллигент, то быдло — любой собеседник, посмевший не согласиться с Вашей ценной точкой зрения по вопросу любой важности. Например, по вопросу определения понятия быдла.

#31118 OFFLINE   combodjik

combodjik

    GUNNER

  • продвинутый пользователь
  • PipPipPipPipPip
  • 5147 сообщений
  • Откуда:Kazakhstan, Astana

Отправлено 26 December 2020 - 20:10

Северная Корея на минималках.

)))))))))))) он че историю им рассказал? спросил, что было дальшЕ? затем они все в блокнотах начали писать варианты ответа конца истории. тот кто ближе был к правде, того и  наградили)))))))))))))


  • 0

#31119 OFFLINE   SVD

SVD

    ТРУЪ

  • ARSSC
  • PipPipPipPipPip
  • 3976 сообщений
  • Откуда:Новосибирск

Отправлено 28 December 2020 - 10:39


Северная Корея на минималках.

Москва-2042


  • 0
Я стал истинным поклонником «Арсенала» – часто бывал мрачным, замкнутым, подавленным.

#31120 OFFLINE   Dim Scoffer

Dim Scoffer

    Mostly Harmless

  • Модератор
  • PipPipPipPipPip
  • 2949 сообщений
  • Откуда:Антитентура, Млечный Путь, Земля

Отправлено 28 December 2020 - 15:04

Москва-2042

Не, не похоже. СевКорея да.

Сахарньій Кремль.

 

Супруга новьій мемчик подогнала:

 

 - У нас уже появились заказчики, которьіх я узнаю только по глазам


Сообщение отредактировал Dim Scoffer: 28 December 2020 - 15:28

  • 0
Mostly Harmless
Обратно в Полный офф-топ


Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 скрытых пользователей

  1. Arsenal Russian Speaking Supporters Club
  2. OFF-TOP
  3. Полный офф-топ
  4. Политика Конфиденциальности
  5. Правила форума ·