Ресурс Ubuntu Forums возобновил работу

0

1

Взломанный ранее ubuntuforums.org возобновил свою работу.

Теперь авторизоваться на форуме можно только используя учетную запись Ubuntu SSO (Ubuntu One single sign). При совпадении адресов электронной почты старой регистрации форума и Ubuntu SSO совмещение двух аккаунтов произойдет автоматически.

В данный момент на ubuntuforums.org около 25 тысяч пользователей онлайн.

>>> Подробности

Ссылка

←	Релиз OpenMW 0.25.0

Cтали доступны ежедневные сборки KDE Frameworks 5

→

мини-новость*

Igron ★★★★★
(31.07.13 12:29:44 MSK) автор топика

Ответ на: комментарий от Igron 31.07.13 12:29:44 MSK

*не нужна

actionless ★★★★★
(31.07.13 12:37:49 MSK)

Ссылка

То есть используя логин от Ланчпада (там у них и OpenID, и OAuth)?

Firestarter

anonymous
(31.07.13 13:11:45 MSK)

Ссылка

Такие новости нам не нужны!
А ZenitharChampion предупреждал!

~~yaspol~~ ☆
(31.07.13 14:19:07 MSK)

Чувак в таакой шляпе, да новости об убунте, бррр

gray ★★★★★
(31.07.13 14:20:42 MSK)

Теперь авторизоваться на форуме можно только используя учетную запись Ubuntu SSO (Ubuntu One single sign)

А я всё думал, чего они там так долго возятся.
Но вообще в правилах хорошего тона в таких случаях выкатывать форум в ридонли, а не зажопливать весь целиком. Хоть бы кэш выкатили.
Гуглекэш – не годится. И ходить по куче ссылок внутри форума гуглекэшем неудобно.

Goury ★★★★★
(31.07.13 14:40:10 MSK)

Ссылка

Гоподь перестал гневаться на бубунту.

~~chromium~~
(31.07.13 15:12:12 MSK)

Ссылка

Ответ на: комментарий от gray 31.07.13 14:20:42 MSK

В силу высокого юзабилити и обилия заточенного софта, даже апологеты редхата вынуждены признать лидерство Ubuntu. Как-то так это можно объяснить :)

I-Love-Microsoft ★★★★★
(31.07.13 15:24:00 MSK)

Если мне не изменяет память, уже несколько дней работает.

~~Bagrov~~ ★★★★★
(31.07.13 16:08:40 MSK)

Ссылка

На опеннете есть подробности про взлом если-чё
http://www.opennet.ru/opennews/art.shtml?num=37553

MrClon ★★★★★
(31.07.13 17:08:15 MSK)

Ответ на: комментарий от MrClon 31.07.13 17:08:15 MSK

Опубликовав анонс с вредоносной JavaScript-вставкой и отправив приватное сообщение администраторам с уведомлением об ошибке в форуме, злоумышленники поймали на крючок одного из администраторов. Перехватив параметры доступа администратора форума (cookies с идентификатором сессии), атакующие получили полный доступ к окружению vBulletin.

facepalm.jpg

Доступ в админку крупного форума даже к SSL-сертификатам не привязали, весело.

winddos ★★★
(31.07.13 17:53:34 MSK)

Ответ на: комментарий от winddos 31.07.13 17:53:34 MSK

большинство линуксоидов же уверены в своей безопасности.
вот яркий пример

~~xtraeft~~ ★★☆☆
(31.07.13 18:22:25 MSK)

Ссылка

Это тянет на новость?

kerneliq ★★★★★
(31.07.13 18:29:42 MSK)

Ссылка

A что, я считаю реальньное достижение. Я серьезно, это почти подвиг для перекрашивателей обоев рабочего стола. Примерно как «90 летний американец совершил полет на дельтаплане»

anonymous
(31.07.13 19:23:51 MSK)

Ссылка

Ответ на: комментарий от winddos 31.07.13 17:53:34 MSK

Гораздо веселее что сесионные куки не http-only. Авторизация по клиентским сертификатам это допустим более или менее экзотика, а вот про http-only чуть-ли не на каждой стене написано.
В прочем это скорее разработчикам форумного движка высказывать нужно.

MrClon ★★★★★
(31.07.13 22:44:56 MSK)

Ответ на: комментарий от MrClon 31.07.13 17:08:15 MSK

и после этого кто-то говорит, что под линукс не нужен касперыч

Reset ★★★★★
(31.07.13 23:17:37 MSK)

Ответ на: комментарий от Reset 31.07.13 23:17:37 MSK

Чем тут помог-бы касперыч?

MrClon ★★★★★
(31.07.13 23:29:33 MSK)

Ответ на: комментарий от MrClon 31.07.13 23:29:33 MSK

ну он вредоносный js тоже ловит

Reset ★★★★★
(31.07.13 23:32:53 MSK)

Ответ на: комментарий от Reset 31.07.13 23:32:53 MSK

Где-же тут вредоносность? Ну прочёл куку, кука не http-only так-что имеет право, ну отправил какие-то данные куда-то (небось не напрямую, а например вставив в документ картинку с интересным урлом). Какой тут криминал?

MrClon ★★★★★
(31.07.13 23:43:45 MSK)

Ссылка

Ответ на: комментарий от yaspol 31.07.13 14:19:07 MSK

предупреждал

Да ну? Даже день и час?

UNiTE ★★★★★
(01.08.13 02:44:27 MSK)

Ссылка

Ответ на: комментарий от MrClon 31.07.13 22:44:56 MSK

Авторизация по клиентским сертификатам это допустим более или менее экзотика, а вот про http-only чуть-ли не на каждой стене написано.

Ну фиг его знает, на всех сколько либо крупных форумах что я знаю админка всегда отделена от форума как нибудь.

В прочем это скорее разработчикам форумного движка высказывать нужно.

Разработчики движка и так свою работу сделали на редкость хорошо, в vBulletin очень мало дырок и сейчас же они вообще пилят XenForo на Zend Framework.

winddos ★★★
(01.08.13 08:09:06 MSK)

Ответ на: комментарий от Reset 31.07.13 23:17:37 MSK

Он и под винду не нужен.

warezpro
(01.08.13 09:10:08 MSK)

Ссылка

Ответ на: комментарий от gray 31.07.13 14:20:42 MSK

Чувак в таакой шляпе, да новости об убунте, бррр

Тыщу раз говорил уже, не я это.

Igron ★★★★★
(01.08.13 09:10:24 MSK) автор топика

Ответ на: комментарий от Igron 01.08.13 09:10:24 MSK

Тебе говорят о мерзости личности и содержания новости, но не о идентичности личности на фото с тобой, затылок.

anonymous
(01.08.13 11:22:11 MSK)

Теперь авторизоваться на форуме можно только используя учетную запись Ubuntu SSO (Ubuntu One single sign).

Можно подумать, это их спасёт от sql-инъекций.

fenris ★★★★★
(01.08.13 11:34:16 MSK)

Атака была совершена 14 июля и обнаружена 20 июля, после того как злоумышленники выполнили дефейс сайта.

То есть кто-то вылил всю базу целиком, и никто ничего за 6 дней не заметил? Лол.

fenris ★★★★★
(01.08.13 11:46:25 MSK)

Ответ на: комментарий от anonymous 01.08.13 11:22:11 MSK

Аминь.

Igron ★★★★★
(01.08.13 12:23:03 MSK) автор топика

Ссылка

Ответ на: комментарий от fenris 01.08.13 11:34:16 MSK

Можно подумать, это их спасёт от sql-инъекций.

В vBulletin крайне мало дырок и тем более SQL инъекций.

winddos ★★★
(01.08.13 13:19:22 MSK)

Ответ на: комментарий от fenris 01.08.13 11:46:25 MSK

То есть кто-то вылил всю базу целиком, и никто ничего за 6 дней не заметил? Лол.

Типа в любом другом месте бы кто то заметил, некоторые проекты годами сливают и ничего.

winddos ★★★
(01.08.13 13:19:54 MSK)

Ссылка

Ответ на: комментарий от winddos 01.08.13 13:19:22 MSK

В булке только в морде дырок нет, модерка и админка у неё как решето

Goury ★★★★★
(01.08.13 18:40:24 MSK)

Ответ на: комментарий от Goury 01.08.13 18:40:24 MSK

В булке только в морде дырок нет, модерка и админка у неё как решето

Не помню про дырки в модерке (если самому не дать модерам права на html объявы), но админка это админка, через неё базу сливать можно.

winddos ★★★
(01.08.13 18:42:51 MSK)

Ответ на: комментарий от winddos 01.08.13 08:09:06 MSK

только к релизу четверки емнип Кир с командой уже свалили из Jelsoft

wxw ★★★★★
(01.08.13 18:53:36 MSK)

Ответ на: комментарий от fenris 01.08.13 11:46:25 MSK

напомнить о ситуации с kernel.org ?

~~xtraeft~~ ★★☆☆
(01.08.13 18:56:01 MSK)

Ссылка

Ответ на: комментарий от winddos 01.08.13 18:42:51 MSK

Я давно уже не пользовал, но помню и через модерку базу сливали нормально. Не хуже, чем через админку, разве что не так наглядно. И пхп скрипты заливали нормально через неё.

Было это во времена 3.5-3.8, к последнему виденному мной 3.8 вроде пофиксили все дыры.

Goury ★★★★★
(01.08.13 18:58:18 MSK)

Ссылка

Ответ на: комментарий от wxw 01.08.13 18:53:36 MSK

только к релизу четверки емнип Кир с командой уже свалили из Jelsoft

Я знаю, но принципиально в коде четверки мало что поменялось, сложно все же из довольно надежного кода внезапно сделать решето.

Убунтоиды кстати так ничему и не научились:
https://ubuntuforums.org/admincp/

winddos ★★★
(01.08.13 18:59:53 MSK)