Внимание: совершено вторжение на сервера сайта freebsd.org

«А как можно защититься от кражи пароля?»
«Также как и от кражи ключей от квартиры - не дать их украсть»

И ОС тут не причем :-)

Камрад, а у меня установщик Gentoo отказывается монтировать sda1 и sda2 — засим останавливается. Железо 1,5-годичной давности, нетбук на атоме. ЧЯДНТ?

вообще то гента почти натуральный продукт: без гмо, консервантов, искусственных ароматизаторов, глутамата))

Насколько мне известно, установщик давно не поддерживается и вообще рекомендуется генту ставить ручками без всяких установщиков. Вопрос в общем такой - лучше обратиться к первоисточникам по ирке, или на форум производителя. Тот livecd сильно устарел - самое Ъ minimal-cd. Попробуй загрузится с минимал-cd и подмонтируй эти диски, собрав диагностику.

Есть два мануала по установке: handbook, quckinstall - по ним родимым и оригинале.

Балбес, учись читать. Никакой уязвимости нет.

Благодарю за попечительство. Вам самому не мешало бы подучиться вдумчивому чтению сударь небалбес.

злоумышленникам удалось заполучить SSH-ключ одного из разработчиков дистрибутива.

многие неактуальные сервисы будут признаны устаревшими и нерекомендованными к применению

Как будто ssh-ключ у дева-вендузятника стащить сложнее, если этот ключ предназначен для неустаревшего и рекомендованного к применению сервиса.

Благодарю за попечительство. Вам самому не мешало бы подучиться вдумчивому чтению сударь небалбес.

Аргументируй или с глаз долой.

На самом деле, это ещё ни о чём не говорит. FreeBSD была, есть и остаётся одной из самых безопасных операционных систем. Своровать SSH-ключ можно ведь не только удалённым способом. Простой пример: взять какую-нибудь супернавороченную автосигнализацию, о взломе которой никто взломщиков даже близкого представления иметь не будут...если хозяин случайно/специально забудет ключи в машине, то машина будет легко угнана, НО это не говорит о том, что сигнализация уязвима! Человеческий фактор никто не отменял. Система, со своей стороны, работает на все 100%, а человек может её подвести, со своей стороны...очень много зависит от прокладки между рулём и водительским сидением. Так что, господа холиварщики и вендопетушня, успокойтесь, FreeBSD останется FreeBSD.

Не думай больше, пожалуйста. И постарайся больше сюда не писать, пока не научишься отличать взлом от вторжения.

Не боись, тебя никто не тронет. Привык указывать думать или не думать? Вторжение или взлом это уже постфактум-классификация. С такими подходами писать/не писать думать/не думать ты правильной дорогой идешь по безопасности. Лучший способ защиты (когда не хватает кое чего) - затыкать рты и уши и заметать свои следы. Успехов.

Чё? Ты хоть сам-то понял что написал?

вторжении на два узла кластера

FreeBSD Double Penetration

http://www.opennet.ru/opennews/art.shtml?num=28850 Память короткая, да

Спасибо за ссылку. За всем не уследишь. Могу ошибаться в деталях, но у меня есть собственная точка зрения. Она может быть ошибочна - но это мои убеждения. Кто не разделяет их - это лично дело каждого.

Там знаменитый CVS - это и не удивительно. Наказание за использование первобытных технологий и нездоровый пофигизм. В краю гну и линукса тоже не все так бело и пушисто - это бесспорно. Просто это лишний раз говорит, что социальная инженерия и атаки раздолбай-based рулят. Кому надо, то проникнет в любую дырку. Полагаться абсолютно на защиту ОС или ее инфраструктуру - это вторично.

Да всё ломается, что к сетям подключено.

Почитал твои сообщения в этом топике. Такого детского бреда и идиотизма давно не читал. Посмеялся.

Спасибо - за рефлексию, но только смотри как бы не пришлось рыдать...

На сайте используется гиф - потенциальная дыра

Поведай миру страшную тайну, как через GIF будешь сервер ломать? Потенциальная дыра не сам GIF, а библиотека, его обрабатывающая (на стороне клиента). В худшем случае специально сформированным файлом можно устроить бяку пользователю, но не серверу.

...и закрытый формат.

С чего бы? Если ты про патенты, то последний истёк более шести лет назад.

Поведай миру страшную тайну, как через GIF будешь сервер ломать? Потенциальная дыра не сам GIF, а библиотека, его обрабатывающая (на стороне клиента). В худшем случае специально сформированным файлом можно устроить бяку пользователю, но не серверу.

При стечении определенных обстоятельств... Ты прав, серверу то пофиг, но наличие гифов на серваке позволяет заочно исследовать систему. Как уже говорилось - составить подробный профиль, что немаловажно при атаках. В данном случае важна любая мелочь - паранойя здесь оправдана. Но в том конкретно случае про openbsd - про гиф излишне было сказано. Снимается, но все равно гиф придает неприятный осадок. Почему не пнг? Вопросы остаются.

С чего бы? Если ты про патенты, то последний истёк более шести лет назад.

Это было ошибочное предположение - говорили уже про это. Но после патентного троллинга как-то не хочется связываться с этим форматом.

Кстати где-то была информация про гиф - когда открыт браузер и там анимированный сабж - mem leaks обеспечен.

Да правильно он всё тебе сказал, ты же несешь всякую ахинею в треде и раздражаешь тупизной своих рассуждений про заголовки HTML и проблемы с безопасностью в GIF. Иди лучше уроки к понедельнику готовить...

Аргументируй или с глаз долой.

кратко

Это надо проявить какое лошарство, чтобы увели ключи...

небезызвестный человеческий фактор

Сверх-защищенная ос. Сначала ломанули апстор теперь тут.

Иронизирую насчет сверх-. Надо отписать было так: «Сверх-защищенная ос» Насчет аппстора мое личное подозрение.

По моему уровень дистра или ос нужно оценивать в первую очередь по внутренней инфраструктуре, бакендам, сервисам, сайтам. Вплоть до верстки и версиям js, html.

Это поговорка про пчел и дядьку пчеловода... Что тут непонятного? Разве это не так? Это насколько надо быть упертыми, чтобы продолжать юзать злополучный CVS, несмотря на кучу проблем. Принцип: «работает и ладно» тут не сработал. Элементарное раздолбайство - люди в проекте фри на износе походу дела. Завтра докувать не получается уже у них. С другой стороны, если не возможно было слезть с CVS (к сожалению многие проекты страдают этим) то надо было проналазировать ситуацию и принять организационные решения, охватывающее вопросы безопасности. Там что некому думать? Сомневаюсь - команда неплохая. Работает правило «Всем пофигу»

Сейчас, проекты, использующие cvs, svn должны настораживать и вызывать ряд неутешительных выводов. Линус, в отличие от команды фри - постарался решить эту проблему. И довольно успешно. То что ломанули кернел - это фактически было предсказанным опасением. Оно случилось, но гораздо в мягкой форме - проблему относительно быстро решили.

Вот случай, когда оголтелый консерватизм и пофигизм до добра не доводит. Фряшники известные консерваторы. Это уже из серии анти-паттернов «монолитные системы» - в системе настолько все закомплексовано, что модификации стоят огромных усилий.

Надо отдать должное, что когда фря начинала, они первыми научили мир использовать активно CVS. Все воодушевленно подсели - но те кто привык размышлять трезво и постоянно анализировать эффективность и прочее быстро слезли с этой иглы. CVS это легко и здорово - но есть круче и безопаснее, хотя ключи так-же не защищены и в DCVS. Проблемы остаются - кроме ssh, к сожалению особо ничего нет более защищенного. Человеческий фактор и ключи - основная проблема.

Да правильно он всё тебе сказал, ты же несешь всякую ахинею в треде и раздражаешь тупизной своих рассуждений про заголовки HTML и проблемы с безопасностью в GIF. Иди лучше уроки к понедельнику готовить...

Когда не понимаешь о чем речь, да, это сильно досаждает и раздражает. Рефлексируешь сударь. Самому не мешало бы подучиться.

Вплоть до верстки и версиям js, html.

И какая, говоришь, версия html была во фряхе?

На сайте используется гиф

Гиф! Ужас! Мы все умрем!

Да, DOCTYPE html явно показывает - арч отличный дистрибутив, дырок нет. Только пакеты для поддержки русского языка ставить нельзя - XHTML же, сразу понятно, русскоязычное сообщество за качеством своей работы не следит.

И какая, говоришь, версия html была во фряхе?

Срез с их индекса:

<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

Надо полагать xhtml 1.0 - адрес схемы dtd медленно отдается. Если посмотреть в лисе по CTRL+U, то заголовок выделяется красным, что свидетельствует о некорректности оформлении. Такие заголовки обычно нужны для рендер-движков, но такая технология явна уже устаревает. Увидеть там заголовок html5 - тоже как-то несоизмеримо. Они не созрели до этого - нужен более качественный виток развития.

Наличие некорректного заголовка само по себе ничего не говорит, но дает некоторое представление об инфраструктуре. Если хорошенько поискать - думаю все это открыто и сайт фри можно найти в репах.

Гиф! Ужас! Мы все умрем!

К чему такая паника? Просто гиф это дурной тон на сей день.

Имелось в виду конечно лицензионная закрытость

Слышал звон, да не знаешь, где он? Тобой имелся ввиду патент на LZW, используемый в gif. Кстати, он истёк в 2003-м. Неожиданно, правда?

этот формат, если погуглить имеет регулярные проблемы с безопасностью

Формат имеет дыры? Прямо именно формат, принципиально описан неверно, соответственно их и закрыть нельзя в собственном коде (формату не будет соответствовать)? Или ты, блин, имел ввиду, что обработку гиф-файлов в винде сделали с дырами? А что мешает сделать обработку png-файлов с дырами?

взлом фри как-то косвенно связан с влиянием на них со стороны apple...

Куклу вуду в офисе эпла завели и проклинают фряху :)

Это тем более показывает, какая устаревшая технология FreeBSD!!!11 Патент-то истек в 2003-м году...

Самое смешное, что они обновления (!) для своего дистрибутива поставляют при помощи IP-пакетов, в то время как протокол был разработан 70-e/80-e годы, вот же ретограды. Немудрено, что у какого-то левого разработчика сперли SSH ключ и использовали для залогиневания в хосты с портами.

Слышал звон, да не знаешь, где он? Тобой имелся ввиду патент на LZW, используемый в gif. Кстати, он истёк в 2003-м. Неожиданно, правда?

гиф «подвернулся под раздачу» - там читай ниже про неожиданность. Гиф отменяется. Просто это индикатор древности.

Прямо именно формат, принципиально описан неверно, соответственно их и закрыть нельзя в собственном коде (формату не будет соответствовать)? Или ты, блин, имел ввиду, что обработку гиф-файлов в винде сделали с дырами? А что мешает сделать обработку png-файлов с дырами?

Не придирайся. Речь идет конечно не о дырах в формате, а о реализациях. Но это еще большой вопрос, насколько там все хорошо.

Куклу вуду в офисе эпла завели и проклинают фряху :)

)))

и не говори!

в то время как протокол был разработан 70-e/80-e годы, вот же ретограды

об чем и речь

у меня есть собственная точка зрения. Она может быть ошибочна - но это мои убеждения

А зачем тебе ошибочная точка зрения? Пусть говно, зато моё? Свои убеждения нужны, пока ты уверен, что они верные. А ошибочные - нафиг не нужны. Если увидел в них серьёзный косяк - их нужно исправлять, а не рассказывать, мол, это мои убеждения, кто не хочет, может не разделять.

Ты высказываешь свои предположения, как будто это общеизвестные банальности. Отсюда и такая реакция в треде. В данном случае - опять, гиф дурной тон. С чего ты это взял? Тебе так показалось? Окей, возражений нет, мало ли что кому показалось. Но фразу ты построил так, мол, это всем понятно, что гиф - дурной тон. Однако это не так. Пиксель 1x1 пока что обычно гиф, напимер ).

А зачем тебе ошибочная точка зрения? Пусть говно, зато моё? Свои убеждения нужны, пока ты уверен, что они верные. А ошибочные - нафиг не нужны. Если увидел в них серьёзный косяк - их нужно исправлять, а не рассказывать, мол, это мои убеждения, кто не хочет, может не разделять.

Свои убеждения нужны в любом случае уверен или не верен (в данном случае более чем уверен - уперт)- чужого не надо. Если косяк - исправлю не беспокойся за меня и не стану рассказывать как ты полагаешь (оно конечно спасибо, но долго разъяснять почему именно так) Сколько не говори - всегда найдутся согласные и не согласные.

А зачем тебе ошибочная точка зрения?

Если ошибочна (в чем сильно сомневаюсь) - то это только твое успокоение. Пожуешь - увидишь.

Не придирайся. Речь идет конечно не о дырах в формате, а о реализациях.

Так что мешает сделать обработку png с дырами? Ты не ответил. И не опасно ли использовать png на сайте, раз там могут быть дыры?

Ещё раз.

Ты не сказал, что твоё убеждение верное, ты сказал - что оно твоё, даже если ошибочное. Зачем нужно верное убеждение - понятно. А зачем нужно ошибочное?

чужого не надо

Земля вертится? Если да - то ты взял чужое убеждение. А только что говорил, что чужих убеждений тебе не надо.

гиф - потенциальная дыра

ЩИТО?

закрытый формат.

ЩИТО?

Ты высказываешь свои предположения, как будто это общеизвестные банальности. Отсюда и такая реакция в треде

Для меня - это банальности. Реакция в треде - не ставилась такая цель, хотя масштабы рефлексии впечатляют. Видимо консерватизм фри глубоко воздействует на умы и подсознание... ))

опять, гиф дурной тон. С чего ты это взял? Тебе так показалось?

Это мое личное убеждение. Что в том неправильного, что кто-то считает гиф дурным тоном, а ты нет? Извини, если задел за живое. Но не надо комплексовать по этому поводу. Если ты применял гиф всю сознательную деятельность, то не надо боятся того, что на лоре кто-то высказал фи, по поводу гифа. Тебя никто не обвинит в «профессионализме» - если ты не сомневаешься в правильности своих действий и знаешь как правильно поступить в спорных ситуациях, выставив правильные ориентиры. Лично сам долгое время использовал гиф без сомнений, пока не начался лицензионный срач и сообщения о уязвимостях. Да и вообще, люди, считающие себя сторонниками никсов, должны избегать использования не совсем открытых решений и толерантно относиться к мнениям других. Для меня гиф - это «эхо минувшей войны» - уж лучше пнг. Лично у меня до сих пор паранойя вызывает опасения относительно гиф - ни чему удивляться не приходится, что завтра опять скажут про патенты на гиф. Иди делай все в гифах - тебя с радостью примут разработчики и дизайнеры... Готовься отвечать на вопросы почему люблю гиф...

Но фразу ты построил так, мол, это всем понятно, что гиф - дурной тон

За ассоциативное восприятие сложно вести управляемость. Тут как говориться кому как позволяет фантазия. На концерте играют джаз - один рыдает, другой смеётся... третий сидит и не понимает от чего все так тащатся ))

Отсюда и такая реакция в треде.

Это не реакция, а истерика некоторых, привыкших к уютненькому )) Будьте благодарны взлому фри - ненужное самоликвидируется, заставит задуматься на смыслом бытия происходящего... Так что не надо отвечать за других - тред адекватный.

ЩИТО?

Правильно - от слова известного. Не ругайся - понятно что шит))

Вы всё ещё используете IE6(а зачем ещё нужен пиксель 1х1)? Оно вам надо? Забудьте вы про этот браузер. Даже сайты Microsoft не поддерживают корректную работу в этом браузере... А Gif нужен только для отображения графики вместо PNG там, где не работает PNG с альфа-каналом. Это устаревший IE6. Ну или для анимированных баннеров(если не желательно использовать Flash(актуально для девайсов на iOS). Использование анимированных gif-ов весьма актуально. Чего не скажешь о простых картинках для осла...

Внимание: совершено вторжение на сервера сайта freebsd.org

Команда обеспечения безопасности внутренней инфраструктуры сайта http://www.freebsd.org/ сообщает о состоявшемся вторжении на два узла кластера, обеспечивающего работу CVS-репозиториев сторонних пакетов. На данный момент довольно большое количество машин отключены от сети и проходят внутреннее инспектирование и анализ.

Не, это малоинформативно - где графическая информация с места событий? Например такая: гигантские человекоподобные роботы проламывают стену и вторгаются в сеть, но их встречают храбрые бээсдешники, которые отстреливаясь из лучевых винтовок и переносных ракетных установок героически отступили с захваченного сервера в последний момент захлопнув тройные бронированные ворота перед самым носом противника.

Зачем нужно верное убеждение - понятно.

Тебе понятно? Вопрос не должен возникать такой вообще. Убеждение не может быть - оно по определение субъектвно, объективные убеждения это оголтелый деспотизм. Есть здоровая упертость, даже если не прав - она оправдана почти всегда. Любой вспомнит: блин, а вот ведь говорил-же им - не послушали меня... Сколько раз было у каждого: блин а ведь почему не настоял тогда?

А зачем нужно ошибочное?

Ты наверное вылез из криокамеры или имеешт проблемы большие с внешним миров. Ошибочное мнение нужно, чтобы понять в чем ошибка, получив подтверждение в реальности - что это ошибка. Только к сожалению ошибки без проверки практикой очень сложно предотвратить и осознать.

Земля вертится? Если да - то ты взял чужое убеждение. А только что говорил, что чужих убеждений тебе не надо.

Плохо прочитал или не дочитал книжку «словесности» - лучшеб не читал, а думал собственным мозгом.

Про землю это факт, а не убеждение. Когда спишь помни на утро, что окажешься в совсем другой точке пространства.

Так что мешает сделать обработку png с дырами? Ты не ответил. И не опасно ли использовать png на сайте, раз там могут быть дыры?

пнг тоже зло, но меньшее и jpeg туда же. Опасно все ))

героически отступили с захваченного сервера в последний момент захлопнув тройные бронированные ворота перед самым носом противника

+1

Чувак, ты мадрицы пересмотрел?

Я вот не знаю — какие-то собрались злые карлики, которые желают смерти всему, что не похоже на них — злых карликов. Им только дай повод позлорадствовать и порадоваться неудаче товарища. Я уверен, что среди тех, кто трудится над Линукс, нет ни одного того, кого новость о компрометации серверов ФРИ порадовала. Человек знает цену своему труду, а потому он не радуется, когда поломан чей-то труд. Только ограниченные умом и убогие интеллектом хотят, чтобы всюду был только Линукс. Для фанатиков объясняю — только в результате разнобразия ОС и конкуренции между ними индустрия будет продвигаться дальше. Все хорошие идеи рождаются потому, что есть разнообразие и конкуренция. Всё живое на Земле есть только потому, что есть разнообразие и конкуренция. Если оставить что-то только одно — оно неизбежно умрёт. Если убрать все ОС и оставить только Линукс — в результате умрёт и Линукс. Так что не надо никому желать зла и радоваться чьим-то неудачам. Нужно работать, а из неудач просто делать выводы.

Там страничка на xhtml 1.0 с вполне корректным DTD. Причем тут некие «рендер-движки» и подсветка в просмотре кода ФФ? Что *некорректного* в заголовке?

Чувак, ты мадрицы пересмотрел?

Ты кроме шматриц других фильмов на айтишную тематику не смотрел? Просвещайся - BALDR FORCE EXE Resolution. Вот так защищают сервер героические ипонские админы.

dtd валидный в общем-то, даже более чем. Кстати в html5 валидация dtd отсутсвует.

Причем тут некие «рендер-движки» и подсветка в просмотре кода ФФ? Что *некорректного* в заголовке?

Это не приговор - только предположения, что там что-то не так. Дальше требуется более глубокое погружение.

Только почему-то одни делают строго валидные странички, другие на это плюют. Непорядок-с.

Что *некорректного* в заголовке?

Все корректно. Просто небрежно оформлен.

Надо например так:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">

или так:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN"
   "http://www.w3.org/TR/html4/strict.dtd">

Подсветка просто указывает на некорректность оформления. Думаю, если через валидатор прокачать страничку индекса, то можно еще больше ляпов найти.

Насчет движков: там скорее всего используется связка xml+xslt. В целом это неплохая технология, но сильно подотстала и не очень развивается сейчас со всеми последствиями. Как говорилось мною выше, требуется дальнейшее погружение в эту инфраструктуру. Мне сейчас лень - потом может быть посмотрю. Рендер контента таким способом используется во многих системах, включая генту. Исходники должны быть доступны. Не мешает еще раз критически пересмотреть этот подход. Но это не прямое указание проблем (еще раз повторюсь) - это свидетельство о возможных проблемах во внутренней инфраструктуре. Был бы html5 - можно было сказать - проект живет и развивается. Самое просто в плане опасности в страницах, это когда со стороны браузера на странице можно разместить исполняемый js.

Какие знатные пациенты собрались в треде...глаза разбегаются!

Вы, г-н эсвэвэвэфэктори, утверждали, мол DTD там не корректный, диалетантский. Теперь он-де корретен, но небрежно оформлен(!). И приводите свои варианты, которые на самом деле должны использоваться для других версий и их вариантов HTML. Вы, г-н эсвэвэвэфэктори, сам диалетант (сравните свои высказывание в треде, например, с http://dic.academic.ru/dic.nsf/kuznetsov/18054/дилетант).

Слушай, а по фотографии уязвимости не находишь?

Только если фотография в формате GIF!