LINUX.ORG.RU
ФорумTalks

SourceForge отжал Nmap. Кто следующий?

 ,


0

0

Вчера тревогу поднял Гордон Лион (Gordon Lyon), известный в интернете под ником Fyodor, автор популярной утилиты для сканирования и аудита безопасности сайтов Nmap. Как выражается автор, SourceForge похитила его аккаунт с open source программой Nmap. Об этом он написал в списке рассылки Seclists.org.

«Всем привет! Вы должно быть уже слышали последние новости о том, что Sourceforge.net похитил аккаунт проекта GIMP для распространения adware/malware. Ранее GIMP использовал этот аккаунт Sourceforge для распространения своего инсталлятора Windows, но они ушли после того, как Sourceforge начал обманывать пользователей с фальшивыми кнопками скачивания, которые вели к вредоносным программам, а не GIMP. Тогда Sourceforge завладел аккаунтом GIMP и начал распространять троянский инсталлятор, который пытался с помощью уловок установить различные malware и adware до начала реальной установки GIMP. Конечно, это прямо противоречит обещанию, сделанному Sourceforge менее двух лет назад: «Мы вас уверяем, что НИКОГДА не сделаем бандл ни с каким проектом без согласия разработчиков».

Такое сильное обещание! В любом случае, плохие новости в том, что Sourceforge также угнал у меня аккаунт Nmap. Старая страница проекта Nmap сейчас чиста:

http://sourceforge.net/projects/nmap

В то же время, они перевели весь контент Nmap на свою новую страницу под своим контролем:

http://sourceforge.net/projects/nmap.mirror

Вы видите наверху, что владельцы страницы Nmap теперь 'sf-editor1' и 'sf-editor3'. Можно нажать и посмотреть, какие ещё страницы они похитили.

Пока что они распространяют только официальные файлы Nmap (если не нажимать на фальшивые кнопки скачивания) и мы не словили их на троянизации Nmap таким способом, как они сделали с GIMP. Но мы естественно не доверяем им ни на йоту! Sourceforge разворачивает такую же схему, какую пробовал CNet Download.com, когда у них начались финансовые проблемы:

http://insecure.org/news/download-com-fiasco.html

Мы попросим Sourceforge убрать похищенную страницу Nmap, но ещё важнее, что мы просим вас скачивать Nmap только с нашего официального сайта SSL Nmap:

https://nmap.org/download.html

Если вы не доверяете SSL самому по себе (и мы не можем вас винить за это), вы также можете проверить подписи GPG: http://nmap.org/book/install.html#inst-integrity

С уважением, Fyodor»

Для !Ъ

Ну вот, а вы сомневались что на свободных программах можно делать бизнес:)

Napilnik ★★★★★ ()

Вчера

Вчера? Точно? Мне кажется письмо в рассылке чуть-ли не в понедельник было.

Stil ★★★★★ ()

SSL доверять и не стоит. Только TLS v1.2

cvs-255 ★★★★★ ()
Последнее исправление: cvs-255 (всего исправлений: 1)

ХХХ отжат SourceForge (-20 if anyone gives a fuck)

С уважением, Fyodor

Такие дела.

Странные люди, Лени хотят киллера, а как дяденек потроллить в ответ - так никого нет. Даже сайт пока не поломали, мельчают фанатики, но я не теряю надежды.

FedyaPryanichkov ★★ ()

Всегда хожу на страницы загрузок с официальных сайтов, кроме того, на nmap.org есть няшные скриншоты с каким-то проном для гиков. Брат жив.

h578b1bde ★☆ ()
Ответ на: комментарий от cvs-255

Это просто называют всё по привычке SSL вместо TLS. Вроде «SSL-сертификаты», вместо «TLS сертификаты», и так далее

Harald ★★★★★ ()

Мда... И где хостится нынче (акромя локалхоста/vps)?

Тот же github палевен тем, что совладельцами является майкрософт. Я как бы не против них, но они могут творить все что угодно, когда угодно, ради чего угодно. Т.е. гарантий от github нуль.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от gh0stwizard

палевен тем, что совладельцами является майкрософт

Боишься что майки будут пихать адварь и малварь в инсталляторы для Windows?

h578b1bde ★☆ ()

553 Downloads (This Week)

А пипл хавает.

Deleted ()
Ответ на: комментарий от h578b1bde

Боюсь, что в один момент все накроется медным тазом.

gh0stwizard ★★★★★ ()
Ответ на: комментарий от gh0stwizard

Боюсь, что в один момент все накроется медным тазом.

У других сервисов больше гарантий? См. ОП.

h578b1bde ★☆ ()
Ответ на: комментарий от h578b1bde

После заморозки freshmeat.net веры уже в никого не осталось. Berlios накрылся из-за хацкеров, SF саморазрушается, github куплен MS со всеми вытекающими, остается bitbucket, которым владеет Atlassian, а они почти такие же как и мелкомягкие. Поясню про капиталистов: если проект не окупается, если кризис, если комдира вышвырнут на улицу — проект закроют и плевать, что это нужно обществу/сообществу.

ИМХО, нынешняя ситуация — возврат в начала нулевых, когда вроде что-то и есть, но на деле ничего стоящего. Придется оставаться на своих хостингах.

gh0stwizard ★★★★★ ()
Последнее исправление: gh0stwizard (всего исправлений: 1)
Ответ на: комментарий от gh0stwizard

Поясню про капиталистов: если проект не окупается, если кризис, если комдира вышвырнут на улицу — проект закроют и плевать, что это нужно обществу/сообществу.

Весь цивилизованный мир живёт по правилах капитализма. Таковы законы рынка — либо ты платишь за использование чужой инфраструктуры, либо строишь свою, либо ешь бесплатный сыр из мышеловки и надеешься на светлое будущее. Проблемы же общества халявщиков никого не заботят, равно как и проблемы сервисов, предоставляющих услуги, не заботят это общество. Ну а 100% гарантии при любом варианте тебе может дать только ЛММ.

h578b1bde ★☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.