LINUX.ORG.RU

Ресурс Ubuntu Forums возобновил работу

 ,


0

1

Взломанный ранее ubuntuforums.org возобновил свою работу.

Теперь авторизоваться на форуме можно только используя учетную запись Ubuntu SSO (Ubuntu One single sign). При совпадении адресов электронной почты старой регистрации форума и Ubuntu SSO совмещение двух аккаунтов произойдет автоматически.

В данный момент на ubuntuforums.org около 25 тысяч пользователей онлайн.

>>> Подробности

★★★★★

Проверено: Pinkbyte ()

То есть используя логин от Ланчпада (там у них и OpenID, и OAuth)?

Firestarter

anonymous ()

Чувак в таакой шляпе, да новости об убунте, бррр

gray ★★★★★ ()

Теперь авторизоваться на форуме можно только используя учетную запись Ubuntu SSO (Ubuntu One single sign)

А я всё думал, чего они там так долго возятся.
Но вообще в правилах хорошего тона в таких случаях выкатывать форум в ридонли, а не зажопливать весь целиком. Хоть бы кэш выкатили.
Гуглекэш – не годится. И ходить по куче ссылок внутри форума гуглекэшем неудобно.

Goury ★★★★★ ()

Гоподь перестал гневаться на бубунту.

chromium ()
Ответ на: комментарий от gray

В силу высокого юзабилити и обилия заточенного софта, даже апологеты редхата вынуждены признать лидерство Ubuntu. Как-то так это можно объяснить :)

I-Love-Microsoft ★★★★★ ()

Если мне не изменяет память, уже несколько дней работает.

Bagrov ★★★★★ ()
Ответ на: комментарий от MrClon

Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватное сообщение администраторам с уведомлением об ошибке в форуме, злоумышленники поймали на крючок одного из администраторов. Перехватив параметры доступа администратора форума (cookies с идентификатором сессии), атакующие получили полный доступ к окружению vBulletin.

facepalm.jpg

Доступ в админку крупного форума даже к SSL-сертификатам не привязали, весело.

winddos ★★★ ()
Ответ на: комментарий от winddos

большинство линуксоидов же уверены в своей безопасности.
вот яркий пример

xtraeft ★★☆☆ ()

A что, я считаю реальньное достижение. Я серьезно, это почти подвиг для перекрашивателей обоев рабочего стола. Примерно как «90 летний американец совершил полет на дельтаплане»

anonymous ()
Ответ на: комментарий от winddos

Гораздо веселее что сесионные куки не http-only. Авторизация по клиентским сертификатам это допустим более или менее экзотика, а вот про http-only чуть-ли не на каждой стене написано.
В прочем это скорее разработчикам форумного движка высказывать нужно.

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

и после этого кто-то говорит, что под линукс не нужен касперыч

Reset ★★★★★ ()
Ответ на: комментарий от Reset

Где-же тут вредоносность? Ну прочёл куку, кука не http-only так-что имеет право, ну отправил какие-то данные куда-то (небось не напрямую, а например вставив в документ картинку с интересным урлом). Какой тут криминал?

MrClon ★★★★★ ()
Ответ на: комментарий от MrClon

Авторизация по клиентским сертификатам это допустим более или менее экзотика, а вот про http-only чуть-ли не на каждой стене написано.

Ну фиг его знает, на всех сколько либо крупных форумах что я знаю админка всегда отделена от форума как нибудь.

В прочем это скорее разработчикам форумного движка высказывать нужно.

Разработчики движка и так свою работу сделали на редкость хорошо, в vBulletin очень мало дырок и сейчас же они вообще пилят XenForo на Zend Framework.

winddos ★★★ ()
Ответ на: комментарий от gray

Чувак в таакой шляпе, да новости об убунте, бррр

Тыщу раз говорил уже, не я это.

Igron ★★★★★ ()
Ответ на: комментарий от Igron

Тебе говорят о мерзости личности и содержания новости, но не о идентичности личности на фото с тобой, затылок.

anonymous ()

Теперь авторизоваться на форуме можно только используя учетную запись Ubuntu SSO (Ubuntu One single sign).

Можно подумать, это их спасёт от sql-инъекций.

fenris ★★★★★ ()

Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

То есть кто-то вылил всю базу целиком, и никто ничего за 6 дней не заметил? Лол.

fenris ★★★★★ ()
Ответ на: комментарий от fenris

Можно подумать, это их спасёт от sql-инъекций.

В vBulletin крайне мало дырок и тем более SQL инъекций.

winddos ★★★ ()
Ответ на: комментарий от fenris

То есть кто-то вылил всю базу целиком, и никто ничего за 6 дней не заметил? Лол.

Типа в любом другом месте бы кто то заметил, некоторые проекты годами сливают и ничего.

winddos ★★★ ()
Ответ на: комментарий от winddos

В булке только в морде дырок нет, модерка и админка у неё как решето

Goury ★★★★★ ()
Ответ на: комментарий от Goury

В булке только в морде дырок нет, модерка и админка у неё как решето

Не помню про дырки в модерке (если самому не дать модерам права на html объявы), но админка это админка, через неё базу сливать можно.

winddos ★★★ ()
Ответ на: комментарий от winddos

только к релизу четверки емнип Кир с командой уже свалили из Jelsoft

wxw ★★★★★ ()
Ответ на: комментарий от winddos

Я давно уже не пользовал, но помню и через модерку базу сливали нормально. Не хуже, чем через админку, разве что не так наглядно. И пхп скрипты заливали нормально через неё.

Было это во времена 3.5-3.8, к последнему виденному мной 3.8 вроде пофиксили все дыры.

Goury ★★★★★ ()
Ответ на: комментарий от wxw

только к релизу четверки емнип Кир с командой уже свалили из Jelsoft

Я знаю, но принципиально в коде четверки мало что поменялось, сложно все же из довольно надежного кода внезапно сделать решето.

Убунтоиды кстати так ничему и не научились:
https://ubuntuforums.org/admincp/

winddos ★★★ ()
Ответ на: комментарий от Igron

Чувак в таакой шляпе, да новости об убунте, бррр

Тыщу раз говорил уже, не я это

Не ты новость запостил?

UNiTE ★★★★★ ()

Возобновлен сбор добровольных сдачь паролей

anonymous ()

По сути - XSS.
Глупо так сайты админить.
Им должно быть очень стыдно.

Gonzo ★★★★★ ()

Разумный подход. Главное теперь, чтобы эту базу не кракнули :-).

Infra_HDC ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.