Внимание: совершено вторжение на сервера сайта freebsd.org

Как хорошо что ты написал это обобщённо, а то я уж подумал что сообщение мне адресовано. Только вот не вкурил чего реплай на моё сообщение отправлено. Ну да не страшно :)

Сурово. Одна только установка - +20 к красноглазию. Буду подходить постепенно, начну со сборки ванильных ядрышек для своего Debian.

вы не поняли или не прочитали внимательно господин аэнонимоуз )) хватит прятаться (или бояться, чего?), залогиньтесь. Страхи ни к чему хорошенькому не приведут - понизить порог неизвестности - будет проще))

Речь шла не о некорректности dtd (он всегда правильный - с какого перепугу на него наезжать) - утверждалось, что его использование на дилетантском уровне. Кому надо - то понял это сразу. Это обычная практика делать глупости с правильными вещами - надо знать как и зачем применять или разобраться с этим, а не проявлять невежество.

Лично не против использования каких угодно форматов - но делать это надо правильно. Если это делается невежественно - то возникают естественные вопросы. Известный прием, хорошо себя зарекомендовавший на практике. Если это сделано правильно но старо как мир - то надо помнить, что ты посещаешь музей. Отсюда вывод: в музее - экспонаты не трогать, ходить в тапочках, не фотографировать))

Вы, г-н эсвэвэвэфэктори, сам диалетант

Вы, видимо по роду занятий не связаны сильно с вебом и не доверяете ему. Не надо стесняться - «давайте свет» Развейте сомнения фактами и разумными погружениями. Больше общайтесь со спецами и экспертами в этих областях и в целом изучайте мнения других. Никто Вас не обвинит в некомпетентности - правильно заданный вопрос снимает более 50% неопределенности и часто содержит ответ. Другой вопрос, что не везет с собеседниками, возможно это одна из причин нахождения вас тут. Все мы идиоты в какой-то степени. Но этот идиотизм и упертость позволяет делать более правильные вещи чем сверхгениальность и мягкотелость. К сожалению на это уходит много времени.

Надо так: говори чувак. Ок. А что ты думаешь по этому поводу. Ок. Ты фигню сказал. Почему? Вот это не стыкуется. Ок. Фиксэд. Ок. Профит. Всем спасибо. Истино где то рядом. Но не так: Да ты идиот, да ты сам. До свидания. Сам дурак.

А теперь вопрос: что система сделает с двумя дерущимися клетками? Правильно она попытается сначала помочь и если бесполезно, даст возможность сожрать друг друга и потом уничтожит их или даст распасться, если система сама не разрушится.

на самом деле должны использоваться для других версий и их вариантов HTML.

Что тут непонятного? Разные варианты приведены. Речь не про конкретный формат, а про валидное оформление кода, чтобы валидатор не ругался. Не можешь валидно оформить код - задействуй htmltidy в конце концов или онлайн валидатор. Делегируй это, шарящему. Небрежность в том, что урл должен начинаться с новой строки. Это мелочь, но говорит о многом.

xhtml попортил много нервов людям

Насчет дилетанта - не возражаю. Всякий раз, когда встречаюсь с неизвестным - считаю себя дилетантом. Ссылку пока не читал.

могу и по фото, если найду за что зацепиться или если не зацеплюсь, то скажу, что это подозрительно))

Нет установщиков там - хочешь конфетку, потрудись, повысишь скилы

но наличие гифов на серваке позволяет заочно исследовать систему

Каким макаром? GIF не интерпретируется web-сервером, запустить его не удастся (при условии вменяемой конфигурации сервера). Посмотреть на заголовки ответа с целью fingerprinting'а? Тогда подойдёт любой статический файл.

Почему не пнг?

Возможно потому, что во времена вёрстки сайта GIF поддерживался браузерами лучше, чем PNG. А еще есть поговорка: si fractum non sit, noli id reficere

Только почему-то одни делают строго валидные странички, другие на это плюют. Непорядок-с.

Можно всю страницу завернуть в <![CDATA[ ... ]]>. Вадидатор скажет, что формально всё ОК, но на практике говнокод останется говнокодом, пусть и валидным.

Был бы html5 - можно было сказать - проект живет и развивается

Работает — не трожь, а то сломаешь. HTML5 пока еще находится в стадии разработки.

Самое просто в плане опасности в страницах, это когда со стороны браузера на странице можно разместить исполняемый js.

Отключай JavaScript :-)

Паленый мед.

Звук модема, подключающегося на 9600 бод, впился в ухо ВП, проник в его мозг и заставил открыть глаза. «Что-то случилось» — пронеслось в мозгу ВП, зрение постепенно возвращалось к нему. Кое-как поднявшись на 4-ре лапы и проклиная Дарвина, ВП пополз к столу, но по дороге вляпался во что-то липкое и вонючее. Надо завязывать жить на первом этаже подумал ВП, глядя как дождь месит говно по ту сторону окна. Говна изрядно прибыло: того и гляди дойдет до форточки и прорвется внутрь. В последную осушительную канаву ВП только вчера закопал новую линию оптоволокна. После чего всю каналу закатал в асфальт, чтобы кабель не сперли пчелы, что было весьма вероятно, т.к. этот кабель он сам срезал у пчелиного провайдера «пчел-нет» два дня назад. Оттерев лапу о корпус компа, который кролик принес ему неделю назад на ремонт, ВП продолжил путь к столу. Мозг его лихорадочно работал. Дело в том, что звук модема он не слышал уже десять лет, с тех пор, как через лес был проложен магистральный кабель федерального значения, к которому он и подключился через местный филиал пчел-нета. Но модем орал, и это значит, что был задействован резервный канал связи. Значит был взлом, его голландский сервер взломали, хотя защита последней надежды сработала, и все что было в базах сейчас шифруется с новыми кодами, а через модем сливаются эти новые коды и логи. Но кто, как, и главное, что они успели там увидеть? Официально на сервере крутился сайт с форумом, но это было прикрытие. ВП ухватился за край стула попытался подняться, но стул перевернулся, задев горшок с окурками, который и упал на голову ВП, отправив его в короткий нокаут.

...

Каким макаром?

Включаешь паранойю на максимальный уровень и собираешь все «фонящие» факты т.е. вызывающие вопросы. Если все хорошо - «шум» убирается.

Посмотреть на заголовки ответа с целью fingerprinting'а? Тогда подойдёт любой статический файл.

Можно посмотреть exif, meta заголовки файлов, там иногда встречается полезная информация. Если нужно, то придется исследовать каждый подозрительный статический файл (в том числе и что отвечает сервер на данный файл). Статика тоже вызывает ряд вопросов: как она там оказалась и почему? ФТП, внутренняя сеть, фрихостинг, samba, микрософт? Еще, возможные слабые звенья... и т.д.

si fractum non sit, noli id reficere

Ты про ту хреновину, что пущай работает? Как говорят: Sic et Non... Уже приводил свои суждения выше: в кратце твой фрактум довел до того что не трогали cvs, пока его не раздолбали. Так-что пора пересмотреть правильность этого принципа или его дополнить.

Где то была в текстовых файлах книжка из эхи давно не могу сейчас вспомнить - продвинутая книга про хакинг. Там про исследования системы даются хорошие рекомендации. Этим должен владеть хоть как-то любой, кто любит никсы, разработку и админство. Вражьи повадки нужно знать в лицо и присекать их на уровне архитектуры. Правильно говорилось в мане 7 про уровни защиты, только почему-то они сами неудосужились. Оно и понятно - человек слаб.

Речь шла не о некорректности dtd (он всегда правильный - с какого перепугу на него наезжать) - утверждалось, что его использование на дилетантском уровне. Кому надо - то понял это сразу. Это обычная практика делать глупости с правильными вещами - надо знать как и зачем применять или разобраться с этим, а не проявлять невежество.

Из какого астрала ты это придумал, Кашпирович? Тот DTD валиден, чё тебе ещё надо?

Отключай JavaScript :-)

Если бсдшники имели факты принимать лсд, то им плевать на джавускрипт )) У меня noscript всегда на незнакомых сайтах.

HTML5 пока еще находится в стадии разработки.

Революция началась, после того как все забили на ие, а микрософт пофиксил даже свои баги. Но всем было не до микрософта - все играли в «добрых птичек» давно )) Осознав это, сейчас все забили уже на стадию разработки и активно используют html5, везде где это возможно.

Ты сам в астрале - проникнись идеей: где ты видишь мои утверждения, что DTD не валиден??? Он всегда валиден по определению, даже если он не валиден ))

У меня возникли сомнения, что ты читал то что цитируешь. Может поспешил?

Паленый мед.

Зачетно!

Судя по твоим текстам, ты сам горазд принимать LSD, а то и чего потяжелее...

нашел к чему придраться? Проще писать не могу - извиняй (кому надо тот легко понимает о чем речь - тебе просто это не надо), веществ к твоему сожалению (надеюсь нет) не принимаю.

Включаешь паранойю на максимальный уровень и собираешь все «фонящие» факты т.е. вызывающие вопросы. Если все хорошо - «шум» убирается.

Ну хорошо, загружу я себе на червер GIF-файл. Что это даст атакующему?

Можно посмотреть exif, meta заголовки файлов,

У GIF нет ни EXIF, ни похожих метаданных.

Статика тоже вызывает ряд вопросов: как она там оказалась и почему?

OMG

Уже приводил свои суждения выше: в кратце твой фрактум довел до того что не трогали cvs, пока его не раздолбали.

В отличие от сервиса, смотрящего наружу, статика типа картинок и неисполняемых/неинтерпретируемых файлов угрозу для системы не несёт. Переделывать всё по-новому из-за новой ревизии черновика стандарта или из-за появления альтернативной технологии неразумно.

в кратце твой фрактум довел до того что не трогали cvs, пока его не раздолбали

Утащили SSH-ключ, а не взломали CVS, что большая разница.

Революция началась, после того как все забили на ие, а микрософт пофиксил даже свои баги. Но всем было не до микрософта - все играли в «добрых птичек» давно )) Осознав это, сейчас все забили уже на стадию разработки и активно используют html5, везде где это возможно.

Отучаемся говорить за весь Интернет.

Переделывать абсолютно всё под черновик стандарта нецелесообразно хотя бы с экономической точки зрения.

Ну хорошо, загружу я себе на червер GIF-файл. Что это даст атакующему?

Про гиф уже достаточно высказались - дело не в нем, а в «музее» Но если постараться, то можно сформировать атаку и по гифу - было б желание. Зачем вообще связываться с проблемными форматами? К чему плодить лишние сущности? Если все используют пнг, то логично заменить гиф на пнг.

OMG

А как ты думал? внезапность она там,где ее не ждешь. Ты походу не прочитал или проигнорировал там мои предположения про статику.

угрозу для системы не несёт.

Да, не несет. Но то как она туда попадает - является занятным вопросом. Это стандартный вопрос, при исследовании любых открытых систем. Не помешает лишний раз проверить какие порты открыты для обновления статики.

Переделывать всё по-новому из-за новой ревизии черновика стандарта или из-за появления альтернативной технологии неразумно.

Согласен, но сидеть в пещере тоже не камильфо, тем паче когда другие в полный рост юзают новое.

У GIF нет ни EXIF, ни похожих метаданных.

Могу ошибаться конечно, но поля какие-то там для метаданных вроде были.

Утащили SSH-ключ, а не взломали CVS, что большая разница.

Ключ дает контроль ко всему. Наверняка, там за что-то зацепились.

Вообще, эта информация вызывает дополнительные вопросы, так что-же там все-таки было?

Подчеркивается, что взлом не был результатом эксплоита или системной уязвимости. Попытки взлома зафиксированы на двух головных узлах кластера сервиса сборки сторонних пакетов, использующего признанную устаревшей систему контроля версий CVS.

Если не ssh OK Если старый CVS то что конкретно? Непонятно. Предположительно так: либо воспользовались старой дыркой или все-таки ssh старый.

...утверждалось, что его использование на дилетантском уровне

Нельзя ли конкретнее?

Речь не про конкретный формат, а про валидное оформление кода, чтобы валидатор не ругался.

Где оно там не валидное?

Отучаемся говорить за весь Интернет.

Переделывать абсолютно всё под черновик стандарта нецелесообразно хотя бы с экономической точки зрения

Спроси любого разработчика веб - используют они html5 или забили. Если ответят, что забили, то проверь их не в криокамере ли они? Или врут или не совсем в теме или ты не тех спросил)) Любой адекватный разработчик сейчас в полный рост использует html5 - ие прилично попортил сеть. Но тем не менее спасибо ие: на то и щука в пруду чтобы не дремали.

Переделывать или нет это вопрос риска и вопрос не ко мне: но, можно в конце концов оставить как есть, приняв необходимые меры безопасности, пообщаться со знающими спецами. Составить список вопросов на которые должен быть вразумительный ответ. Перечитать ман 7. Музеи всегда будут легкой наживой. Это еще не первая новость. Печально то, что кроме ssh ничего альтернативного нет.

Если не ssh OK Если старый CVS то что конкретно? Непонятно. Предположительно так: либо воспользовались старой дыркой или все-таки ssh старый.

Непонятно.

6-я страница треда. Безопастности бедной фряхи уже поставлен и уточнен диагноз по DOCTYPE дом. страницы сайта.

И тут высняется, что вы так и не поняли, что произошло

Но если постараться, то можно сформировать атаку и по гифу - было б желание.

Вот я и спрашиваю: каким раком? GIF'ом можно устроить атаку на пользователя, но это другая история.

Не помешает лишний раз проверить какие порты открыты для обновления статики.

При исследовании системы не помешает узнать, какие порты вообще открыты; обновление статики здесь вообще постольку-поскольку. Скрипты тоже были на сайт как-то залиты, разве нет?

Зачем вообще связываться с проблемными форматами?

А с чего GIF стал проблемным? К слову, в libpng была далеко не одна уязвимость.

К чему плодить лишние сущности?

Здесь это не тот слуяай, но изображения GIF по размеру могут быть меньше соответствующих PNG. Например, тот же прозрачный однопиксельный GIF.

Если все используют пнг, то логично заменить гиф на пнг.

Все не используют PNG.

Ключ дает контроль ко всему. Наверняка, там за что-то зацепились.

Троян на девелоперской машине :-)

признанную устаревшей систему контроля версий CVS.

Она с 2008 года не развивается.

Если ответят, что забили, то проверь их не в криокамере ли они?

Есть какой-нибудь сложный портал (да хоть на WordPress), использющий тему на HTML 4.01 Transitional и поддерживающий браузеры, ну например, с IE 5.5 и выше.

Внимание, вопрос: зачем разработчикам переделывать всё на HTML5, если работает и на HTML4, и каши не просит? Разработчики работают не бесплатно (а хорошие разработчики — тем более); как обосновать владельцу портала необходимость потратить энную сумму денег на перевод всего портала на HTML5? В чём конкретно выгода от жтого действия владельцу?

адекватный разработчик сейчас в полный рост использует html5

Адекватный разработчик использует то, что есть, вместо того, чтобы всё переписывать с нуля.

Переделывать или нет это вопрос риска и вопрос не ко мне

Какой риск для сервера несёт версия HTML?

Нельзя ли конкретнее?

Надо писать не так:

<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

а так

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

Насчет строчки

<?xml version="1.0" encoding="iso-8859-1"?>

Где оно там не валидное?

Все валидно.

Танкистам: Заголовок не является источником безопасности, но его корректное применение характеризует уровень культуры и кругозор разработчиков.

Надо писать не так, а так

Да кто тебе сказал это, болезный?!

Безопастности бедной фряхи уже поставлен и уточнен диагноз по DOCTYPE

Это ты сделал такой вывод. Сколько раз повторялось, что DOCTYPE индикатор развития в системе - не более этого.

И тут высняется, что вы так и не поняли, что произошло

Я этого не скрываю - мне не понятно что произошло. Надо разобраться. Вам все понятно? Супер. Мне вот нифига не понятно.

Надо писать не так:

Г-н эсвэвэвэ искренне полагает необходимым наличие там перевода строки? Возможно и 4-ёх пробелов перед системным идентификатором? А их отстутствие, следовательно, дилетантством?

Ответье, сэр, подпишите *свой* диагноз

Вот скажи мне, если у меня на сервере все html-шаблоны сделаны образцовым образом, везде отступы как надо, комментарии, всё иерархически разделено, но при этом фреймворк не генерирует выходящий html так, чтобы в браузере вложенные шаблоны имели свой отступ, чтобы html готовый был тоже со всеми отступами (напомню, у нас иерархия, так что вложенные шаблоны по факту имеют уровень вложенности меньше, чем он должен быть в получившемся файле). А в особо хитрых случаях фреймворк вообще может выпилить все незначащие пробелы и переносы строк. И вот ты видишь в своём браузере кашу из тегов и контента. Это меня тоже характеризует, как безалаберного, по-твоему?

Да, просим! (уже который раз)

Я этого не скрываю - мне не понятно что произошло.

Прочитайте новость, там все есть.

отклоняемся от темы. В другой тред надо.

Обосновать? очень просто: нынче html5 модно как минимум, максимум облегчает жизнь всем. Поддержка старья дорогое удовольствие. Для тех кто криокамере - страница для пауков и без интерактива, минимум функций.

Вордпресс - лучше выкинуть эту поделку - одна сплошная дырища. Еще этого не хватало.

Какой риск для сервера несёт версия HTML?

Не переводи стрелку: речь идет про риск переделки.

Ребята, конечно можно продолжать сколько угодно - но давайте в тему и не отклоняться от сабжа. Если интересна дискуссия по поводу связи инфраструктуры и сайта системы - в другой тред. Корректность применения устаревших технологий тоже в другой тред.

Про html4 - никаких возражений. Но это сейчас старелою Вот и все. Кто продолжает использовать - это не преступление.

Но если постараться, то можно сформировать атаку и по гифу

ты из тех кулхацкеров, что ломают 127.0.0.1?

Зачем вообще связываться с проблемными форматами?

в чем эти проблемы заключаются?

Ключ дает контроль ко всему

зависит от админов

Все может быть в «каше», кроме заголовка - хотя, тут не совсем уверен.

Реально умный вопрос - зачетно.

да, это дилетантство

Чувак, пока дилетант тут ты, да не просто дилетант, а прямо таки ламо.

Обосновать? очень просто: нынче html5 модно как минимум

«модно» это аргумент подростков

максимум облегчает жизнь всем

чем? разбродом и шатанием в стандарте? отсутствием браузеров, которые полностью всё держат?

Вордпресс - лучше выкинуть эту поделку - одна сплошная дырища.

пруф? или это как про gif — слышал звон, да не знаю где он?

P.S. ничего личного :)

кроме заголовка

Ещё раз прошу телефон дилера^W^W источник сего фейла.

если там все есть, то чего мы тут обсуждаем? Доктайпы и гифы? Это просто предположения и непонятная ангажированная рефлексия.

то чего мы тут обсуждаем? Доктайпы и гифы?

Именно! Понимаешь, да, какой абсурд ты сотворил? :)

Чувак, если ты тролль, спасибо, реально ржу как конь.

очень просто: нынче html5 модно как минимум

Мода — это еще не повод, чтобы бежать и всё переделывать.

Поддержка старья дорогое удовольствие.

А переделывать с поддержкой обратной совместимости еще дороже.

Для тех кто криокамере - страница для пауков и без интерактива, минимум функций.

Ы? Пауки ходят по всему, что похоже на HTML (и не только). Интерактив возможен и без помощи HTML5. Красиво сверстать можно и с использованием CSS 2 (смотри CSS Zen Garden).

речь идет про риск переделки.

Воот. Переделка несёт в себе риск. Что, собственно, и требовалось доказать.

Про html4 - никаких возражений. Но это сейчас старело

HTML 4.01 сейчас текущий стандарт. Где что устарело?

Сколько раз повторялось, что DOCTYPE индикатор развития в системе - не более этого.

Да бред же! Поддерживают инфраструктуру и занимаются вёрсткой обычно разные люди. Цель верстальщика — сверстать так, чтобы правильно отображалось во всех требуемых браузерах. Ублажение валидатора не есть первоочередная задача.

Если вёрсткой и программированием занимаются разные люди, то качество вёрстки не есть показатель качества кода, и наоборот.

У опытного админа дырка в сайте затронет лишь этот сайт. С другой стороны, как бы правильно ни был сделан сайт, если админ криворук, то можно получить доступ к сайту из другого аккаунта (Hostgator, чтобы далек за примерами не ходить).

Мораль: без телепатических способностей гадать об инфраструктуре и защищенности по статическим файлам и доктайпам в quitkmode — занятие неблагодарное и безблагодатное.

Ублажение валидатора не есть первоочередная задача

Зачем ты споришь с его фантазиями, если он уже четвёртый раз не может ответить, с чего он взял, что доктайп надо писать именно так, а не иначе?

Чувак, пока дилетант тут ты, да не просто дилетант, а прямо таки ламо.

За умный вопрос - личный респект, но насчет этой заявы ты меня удивляешь тем что расписываешься в своем явно дилетантстве.

не ставилась такая цель

Разработчики и администраторы проекта FreeBSD вынесли для себя выводы из
сложившейся ситуации

Все бы так.

Оох, очень надеюсь, что ты таки тролль.

Окей, жгём дальше: расширю предыдущий вопрос, имеем резалку пробелов и переносов строк. Как мне, с твоей точки зрения не быть дилетантом, ведь на доктайп резалка тоже распространяется: мне нужно специально отключить резалку ровно на доктайп или меня уже не спасти и от твоего клейма дилетанта мне уже не отделаться?

Было высказано только некоторое суждение, не претендующее на последнюю инстанцию. Если кто-то так считает, значит есть на то основания. Не моя вина, что некоторые перевозбудились от моих высказываний. Спокойнее надо реагировать.

Предлагаю поостыть и сосредоточиться на теме треда. Все остаются при своих мнениях - никто не на кого не наезжает. До личностей не опускаемся. Если хочется поспорить - то в отдельный тред. Не против.

Да я готов всё прекратить здесь и сейчас просто в обмен на источник, где ты узнал, что dtd надо писать так, а не иначе, а все остальные дилетанты. Идёт?

btw, если где-то показалось, что я скатился на личности, могу принести извинения, это не скатывание, это буря эмоций, что мне на сон грядущий тут вы предоставили :)))