- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Miert is koltozott at a GitHub-ra a linux kernel.....?
- A hozzászóláshoz be kell jelentkezni
az csak ideglenes volt, nem? amig ossze nem rakjak a git.kernel.org-ot
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
Amennyire én tudom a gitet Linus úgy alkotta meg, hogy az upstream szerver igazából csak egy biztonsági mentés (na jó egy kicsit több) a kódról. Mindenkinél megvan a teljes történet, és kód. A fejlesztő meg eldöntheti, hogy az érkező patch-eket elfogadja az upstream-től vagy nem...
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Azért kicsit erős Homakovot beállítani a rosszfiúnak, ezt olvassátok:
http://chrisacky.posterous.com/github-you-have-let-us-all-down
- A hozzászóláshoz be kell jelentkezni
Szólt nekik, leszarták. Demonstrált egyet. Ha rosszfiúskodni akart volna, törölhette volna az egészet a francba. Csak most az üzemeltetők be vannak fosva, és valakire rá kéne kenni, ami a markukban maradt...
- A hozzászóláshoz be kell jelentkezni
Én ezt olvastam:
"Two days ago he responsibly disclosed a security vulnerability to us and we worked with him to fix it in a timely fashion. Today, he found and exploited the public key form update vulnerability without responsible disclosure."
Ez nem igaz? Ha igaz, akkor ez egy kicsit árnyalja a képet...
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Talált egy RoR feature-t, amit lejelentett. RoR team was not in charge. Erre beszélt a GH-nak is, hogy van egy adott típusú probléma, ami pl adott helyen adott módon jön elő. Aztán mivel a GH staff ennyivel elintézte a dolgot, és a RoR még mindig nem érezte magát in charge, prezentálta nekik, hogy ha szerintük csak a kretének hagyják nyitva ezt a "feature-t", akkor a GH stuff kreténekből áll...
Én a helyébe szartam volna mindegyik fejére, és elmentem volna kihívást keresni máshol. Ő meg írt egy bejegyzést a jövőből, és azóta röhög mindenki a transparency-n.
- A hozzászóláshoz be kell jelentkezni
Ez a "prezentáció" itthon feltehetően kimeríti a BTK 300/C. § 1, 2 bekezdését. Nem hiszem, hogy ez lett volna az elintézési módja.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nézd, én pont ilyenekkel foglalkozom napközben. Kapunk egy típushibára vonatkozó bejelentést, és végignyálazzuk az egész rendszert, mert elveszítjük az ügyfeleinket, akik nem kevés pénzt fizetnek. Akik itt a "jófiúk", azokat egy nagy szívlapáttal kéne megegyengetni, amiért ennyire passzívak. Az a minimum, hogy végignézik az egészet hátha alapon. A btk-s történettel kapcsolatban meg a trafi-zavaró mellett még eszembe jutott valami. Egy ismerősömet fegyverrel megfenyegették. Aki fenyegetett -- nem akart egy megrendelést rendezni -- annak volt engedélye, persze nem erre. Az emberünk rövid úton hatástalanította a fenyegetőt, majd elvette a stukit, kivette a lőszert, és bement az őrsre vele feljelentést tenni. Őellene indítottak eljárást lőszerrel való visszaélés miatt.
Csak költői kérdés: ha te egy típushibát jelentesz, leszarnak, majd egy konkrét oldallal kapcsolatban teszed, azt (de csak azt) javítják, és megtalálod a másik oldalban is, akkor szépen ingyen végigteszteled ezeknek a nyomorultaknak egyenként szorgalasan...?
- A hozzászóláshoz be kell jelentkezni
Szép sztori, de mi igaz abból, hogy Homakov-ban nem a segíteni vágyás, hanem pénzhez jutás dolgozott? Erről hallottál valamit?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Egyrészt nem egy nagy nyelvi szakértő, másrészt meg én is kérnék azért pénzt, ha mások helyett végezném el a munkát :)
Amúgy én olyan kontextusban olvastam erről, hogy mások emlegették, hogy a GH-nak fel kéne bérelnie, vagy egyenesen fizetnie kéne neki, hogy ezt a szívességet is megtette h csak kisebb bejegyzéseken demózott, ahelyett h szétbarmolta volna a fenébe. De azt is lehet látni, hogy a srác az elejétől kezdve nyíltan beszélt, nem csinált belőle titkot, hogy mi ez az egész, úgy meg nehéz pénzt kicsikarni bárkitől is, hogy kiteregeted a lapokat. Simán át tudom érezni, hogy mennyire felhúzta magát ezen az egészen.
- A hozzászóláshoz be kell jelentkezni
Értem, tehát legközelebb, ha látok egy bankot, ahol nem figyelnek a biztonságra, hiába szóltam nekik, akkor húzzak álarcot és raboljam ki. Ok.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nemá bazz. Nem rabolta ki, nem csinált kárt, senkit nem sodort veszélybe, nem erőszakoskodott, csak keltett egy kis felhajtást. Ha nagyon hasonlatot akarsz keresni, akkor már inkább egy segítőkész "zsebes", aki odaadja, amit elemelt, és másodjára megmondja, hogy miért voltál figyelmetlen. Nem tudom h miért nem lehet különbséget tenni a kettő közt. Mindenki a vérmérséklete szerint teszi, amit tesz, de ha ennyi sem fér bele, hogy odakoppint egyet az orrukra, akkor marha nagy problémák vannak a fejekkel.
- A hozzászóláshoz be kell jelentkezni
Úgy látszik mások az értékrendjeink.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Úgy látszik
- A hozzászóláshoz be kell jelentkezni
ahogy az elmult evekben parszor mar bizonyitottad, neked olyan nincs.
- A hozzászóláshoz be kell jelentkezni
Ha analógiát akarsz, akkor szólsz a banknak a biztonsági hiányosságról, majd ha napokig szarnak rá, akkor beteszel egy cetlit a mackóba, hogy ott jártál. Rablásról szó nincs.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home
- A hozzászóláshoz be kell jelentkezni
Ja, értem. Így már egész más (nem).
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Annyira más a két dolog, hogy teljesen más még a jogi megítélése is... az egyik birtokháborítás, a másik meg rablás.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home
- A hozzászóláshoz be kell jelentkezni
Az a birtokháborítás jó lesz betörésnek is. Nem gondolod, hogy egy bank páncélszekrényébe belenyúlsz, azt neked birtokháborításként mázsálják meg?
Ha zárás után, akkor betörés, ha nyitvatartási időben próbálkozol ilyennel, az meg 100%, hogy rablás lesz.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Aha. Tehát szólok a bankbiztonságnak, hogy jövő héten hétfőn munkaidő közepén észrevétlenül beteszek a mackóba egy cetlit, majd amikor jövő héten megteszem és észrevétlenül kisétálok, az rablás és/vagy betörés? Ha ez rablás és/vagy betörés, akkor egy hétvégi teleknél a telek közepén lévő szerszámos kuckó ajtajára tűzött cetli is rablás és/vagy betörés kell legyen, mert jogi értelemben nincs különbség a két eset között.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home
- A hozzászóláshoz be kell jelentkezni
A probléma az, hogy először szólt, állítólag együtt is működtek vele, majd utána fogta magát, és nekiállt garázdálkodni, anélkül, hogy szólt volna. Angolul van a lényeg.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha jól értem a szöveget, csak vetítettek, hogy együttműködtek, azért akciózott, mert lényegi tevékenységet bugfix témában nem végeztek a "hívása fontos számunkra, kérem tartsa" mantrán kívül, s megunta, hogy hülyének nézik.
- A hozzászóláshoz be kell jelentkezni
Nyilván lehetett volna jobban is, de a vita ebben a szálban -- szerintem -- azon van, hogy ez nem betörés volt, továbbá jog megkülönbözteti a jóhiszemű és a rosszhiszemű jogsértést is, erre a jelenlegi információk alapján nehezen lehet rámondani, hogy rosszhiszemű cselekmény volt (hacsak ki nem derül az ellenkezője).
--
http://wiki.javaforum.hu/display/~auth.gabor/Home
- A hozzászóláshoz be kell jelentkezni
De rá lehet. Ügyvéd kérdése.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
Ez a jóhiszemű, rosszhiszemű dolog érdekelne engem részletesen. Hol lehet erről infót találni?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mondjuk a jogi tankönyvekben, még a római jogból szivárgott át, bona fides néven is megtalálod.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home
- A hozzászóláshoz be kell jelentkezni
Szép sztori, de mi igaz abból, hogy tery-ben nem a segíteni vágyás, hanem pénzhez jutás dolgozik? Erről hallottál valamit?
- A hozzászóláshoz be kell jelentkezni
Nem értem, hogy hogyan jön ide, de végképp furcsán hangzik ennek a felhánytorgatása annak a szájából, aki maga javasolta ezt annak idején.
A témához esetleg valami?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ugye milyen furcsán hangzik? Hát még az, hogy ilyenkor beéred egy "Több helyen erről írnak. Cáfolatot nem igen láttam." hozzászólással, míg a linus coverup témában arra hivatkozva nem írtál cikket, mert állítólag első kézből származó információt nem találtál... ;)
- A hozzászóláshoz be kell jelentkezni
Hiszen a kedvenc oldalad írta. Azt hittem, hogy megint te voltál az infóforrás :D
Egyébként a szál szülőjében valaki által belinkelt nagy leleplező cikk hozzászólásában írja "kikito":
http://chrisacky.posterous.com/github-you-have-let-us-all-down
He was not "continually ignored". He got an (appropiate) answer from Rails, and another (appropiate) one from Github.
Not only that - he was not trying to help, he was trying to get money.
They *did* detect an issue because homakov didn't "inform" them about it; he hacked their face off. That's not "informing". Informing is opening a ticket, like he did on Rails, and where he got a response. He could have done the same on Github, and he would have gotten another response.
The less he deserves is a ban.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Én elolvastam az eredeti angol szöveget és a feltételes módban feltett szarkasztikus kérdését nem "Homakovban a pénzhez jutás dolgozott" módon értelmeztem.... Persze nyilván aki első kézből származó információk alapján ír csak kizárólag cikket annak ez szintén nem lehetne probléma. ;)
- A hozzászóláshoz be kell jelentkezni
Hungi, tévedésben vagy, hiszen én nem írtam cikket arról, hogy homakov pénzt kért. Az egy másik oldal volt. Én csak arra hivatkoztam. HTH
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
na de tray, mar megint ezek a masodkezbol beidezett dolgok, hol van itt az oknyomozas!!!!!111! tukon ulve varja a HUP, hogy fenyt derits az IGAZI TORTENETRE.
kozben fogadott itt a branch, hogy a linux biztonsagi hibak coverup-jarol vagy errol sikerul eloszor lerantanod a leplet, de en okosan arra tettem, hogy egyikrol se, ne hagyj vesziteni!!111!!!
ps: mostanaban a malnaszorpot csipazom!
- A hozzászóláshoz be kell jelentkezni
A másik oldal sem írt olyat, hogy "Homakovban a pénzhez jutás dolgozott", ez már csak a te erőteljes ferdítésed. HTH
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Ezt hívják mellédumálásnak.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
wow how come I commit in master? O_o
+another showcase of rails apps vunlerability.
+Github pwned. again :(
+will you pay me for security audit?
Nem gond, ha nem tudod lefordítani magyarra és ezáltal nem látod Homakov szarkazmusát, csak legközelebb inkább kérj meg valakit, hogy segítsen neked az ilyen bonyolult dolgokban. ;)
- A hozzászóláshoz be kell jelentkezni
Azért szoktunk az interneten és írásban hangulatjeleket és egyéb jelzéseket (pl. <sarcasm></sarcasm>) használni, hogy egyértelmű legyen a mondanivalónk és ne kelljen egy Hunger az (félre)értelmezéséhez. Én itt semmit sem látok. De szerencsére te megfejtetted.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mondjuk nem hiszem hogy ezt beirta volna valaki egy epp feltort open source (megha cegesen tamogatott is) repoba, ha szo szerint gondolna.
Szerintem fiatal meg a srac, feltunest akart, elismerest. Lehet a penz se jonne neki rosszul, es lehet remeli, ebbol most paran azt halljak ki, o mekkora nagy whitehat l33t h4xx0r, es tenyleg felberlik.
Hulye volt, de nem kene temetni. A githubosok is sarosak, meg a rails-nel is picit tobb volt az ignorancia a kelletenel.
- A hozzászóláshoz be kell jelentkezni
Pontosítanék:
Azért szoktunk az interneten és írásban hangulatjeleket és egyéb jelzéseket (pl. <sarcasm> </sarcasm>) használni, hogy egyértelmű legyen a mondanivalónk ++mindazoknak, akiknek kimaradt teljesen az általános és középiskolai alapvető irodalom oktatás és képtelen egy olvasott szövegben ilyet észrevenni. és ne kelljen egy Hunger az (félre)értelmezéséhez. Én itt semmit sem látok. De szerencsére te megfejtetted.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
és nézzenek oda, vannak hangulatjelek is Homakov írásában... oh, wait :))
- A hozzászóláshoz be kell jelentkezni
"will you pay me for security audit?" != "will you pay me for not fucking up everything you have?"
nagy különbség.
A loop-ban is linkelt idézet pedig ordas nagy píár csúsztatás. Marketingesek tanulják, hogyan kell.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Na nézd már a szerencsétlent, nem látta, hogy a Hunger kedvenc oldala (ahol rendszeres tippadó és zsebeli a nagy dicséreteket) írta meg ezt először. :)))
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
degábor, hisz nekem a HUP a kedvenc oldalam, mert napi szintű móka-kacagást okozol vele. ;)
- A hozzászóláshoz be kell jelentkezni
Hunger, hogy a kis kompániád és alteregóid (PaXTeam a boros, snq- a jó "volt" albitárs) itt bohóckodnak még mindig, az nekem minden pénzt megér. ;)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Látod, nekem még az alteregóim is elismert szakemberek és legendák. ;)
- A hozzászóláshoz be kell jelentkezni
Igazán megtisztelő, hogy igazi legendák arra pazarolják az idejüket, hogy velem foglalkozzanak. De tényleg! :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Félreérted a helyzetet. Nem tiszteletből látogatjuk a blogodat, hanem mert röhögünk rajtad. Persze ha cirkuszi bohócként ez számodra megtisztelő (végülis miért ne lehetne az), akkor az más... ;)
- A hozzászóláshoz be kell jelentkezni
Én meg rajtad, hogy 10+ éve képes vagyok szórakoztatni a kis kompániádat. Annyira szánalmasan beszélsz mellé sokszor, hogy az ember szinte megsajnál.
Nem röhögni jársz te ide, mert sokszor úgy felbaszod magad, amikor nincs igazad, hogy csak fröcsögsz. Rossz duma és már avas is. 7 éves is unalmas volt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Aki itt felbassza magát az láthatólag te vagy. :))
- A hozzászóláshoz be kell jelentkezni
szerintem meg jol csinalta. te ezt hiszed, masok mast. akkor 1-1. :)
- A hozzászóláshoz be kell jelentkezni
Megsértette a TOS-t, bant kapott. Mi a sírás tárgya? BTW: nekem tulajdonképpen mindegy. Csak hőst ne csináljatok belőle.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
megsertette a TOS-t, es? fulet-farkat be kene huznia a githubnak, erre bannoljak. en nem lattam, hol kert penzt (Te igen?), de ha igy is lenne, a github tudtommal ugyfelekkel is rendelkezik, akik fizetnek a szolgaltatasert, tehat nem latok problemat.
- A hozzászóláshoz be kell jelentkezni
"megsertette a TOS-t, es? "
Semmi. Ezért ban jár. Mi nem érthető?
"en nem lattam, hol kert penzt (Te igen?),"
Több helyen erről írnak. Cáfolatot nem igen láttam.
"de ha igy is lenne, a github tudtommal ugyfelekkel is rendelkezik, akik fizetnek a szolgaltatasert, tehat nem latok problemat."
Nincs is ezzel semmi baj, csak ha ez így van, akkor ne öltöztessük az illetőt a nagy segíteni akaró jótevő szerepébe, hanem mondjuk ki nyíltan, hogy lóvét akart.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ezt a pénzes dolgot szerintem hagyjuk, mert nekem eléggé vakvágánynak tűnik. Nem is onnét indult a dolog, és a GH-ot is csak megtalálta magának, mert a RoR-osoknak akart egy kicsit alakítani a világnézetén.
Én inkább azt nem értem, hogy miért nem hangsúlyozza senki sem, hogy a GH kódja mennyire tré módon van karbantartva, és sokan emiatt nem kevés pénzt fizettek. Lobog a zászló, meg ünnep, aztán a szolgáltatáson/supporton meg tökfejek ülnek.
- A hozzászóláshoz be kell jelentkezni
Senki sem vitatja, hogy fel kellett volna hívni a figyelmet a hiányosságra. A módszer az, ami szerintem inkább magamutogatás, mintsem segíteni akarás. A sebezhetőségről írhatott volna egy szakszerű blogbejegyzést, amit beküldött volna a nagy híroldalakra. A hatás ugyanaz.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Többször is felhívta a figyelmet rá. De az általad vázolt szitu is volt már terítéken, amikor a guglis csákó tette közzé az exploder hiányosságát dummy's guide-al mellékelve. Akkor is mindenki meg volt rajta borulva, hogy húdenagy felelőtlenség, pedig ugyanaz a jelenség egy másik kivitelezésben.
- A hozzászóláshoz be kell jelentkezni
Melyik is volt az? Belenyúlt a "guglis" csávó (pfhejj, de utálom az ilyen írásmódot) más cégek éles rendszerébe, ott adatokat módosított? Nekem ez így elsőre nincs meg.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Egy szolgáltatást hasonlítasz össze egy forgalmazott szoftverrel... Almát körtével szitu.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
Mire is gondolsz pontosan?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem, éppen azt mondom, hogy a zemberünk épp az általad favorizált módszert választotta, és mégis leszedték a fejét. A másikra meg még mindig az a véleményem, hogy nem vették elég komolyan, amíg nem csinált egy brutálisan durva 3012-re datált bejegyzést, ami miatt lebénult a fél világ... ja nem.
De akkor hadd mondjam el még egyszer, bár meggyőzni úgysem foglak. Ha egy rendszert üzemeltetsz komoly ügyfeleknek, és félvállról veszed a biztonsági figyelmeztetőt egy angolul félig beszélő, csökött tekintetű orosz tenoristától, akkor mi lenne az a pont, amikor kezdenél komolyan elgondolkodni, hogy igaza volt, és nagy szarban van a rendszered? Lehet-e egy büdös szavad is, ha ez az ember emiatt egy invalid adatot helyez el az egyik ügyfeled homokozójában a meggyőzésedre? Persze égnél, mint a máglya, de nem másokat kéne okolni a saját trehányságod miatt.
A másik meg az, h szvsz erre az esetre sor sem került volna, ha a GH gárdája teszi a dolgát. Ilyen alapon tökmindegy h mibe nyúlt bele. Senki nem avatja hőssé, de nem kéne kriminalizálni.
- A hozzászóláshoz be kell jelentkezni
Én úgy olvastam, hogy belekommitolt egy idegen projektbe.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A rails projektben létrehozott egy hacked nevű file-t és ezt írta bele
another showcase of rails apps vunlerability.
Github pwned. again :(
will you pay me for security audit?
Link
Szerintem még kellő iróniája is van a dolognak, hogy épp a rails-be oltott bele egyet. Ahogy az egyik kommentelő meg is jegyezte: "Since you can commit to master, you could just fix the vulnerability :)"
- A hozzászóláshoz be kell jelentkezni
Oké, hogy boldozod, de ez mit változtat? Te itt fórumpostról beszéltél. Ez annál komolyabb téma.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Igazad van, a commit kimaradt, de az is nagyjából ugyanolyan szintű, mint a bender from the future. Plusz egy kis fricska azoknak, akik nem érezték magukat in charge.
Nemtom, szerintem kár ezen tovább rágódni, mert én nem tudom elítélni ezért, te meg lassan egy rablógyilkossággal egy szinten kezeled. Ez van. Úgy nézem h a GH staff is észbe kapott -- talán a népakarat előtt hajlik -- és visszaadták az accountját.
- A hozzászóláshoz be kell jelentkezni
Nem pont. Onnantól kezdve, hogy publikálja, elveszti a kontrollt felette, és fél nap múlva nem ő fogja feltörni, megmutatva, hogy "Na ezért vagytok hülyék kisköcsögök!", hanem valaki, akinek a neve soha nem került volna nyilvánosságra, sőtt, mire kiderül már a GH-os projektek felébe elrakta volna a saját kis backdoorjait...
- A hozzászóláshoz be kell jelentkezni
Nem feltétlen kell exploitot is publikálni hozzá. Ráadásul onnantól kezdve nem az ő felelőssége.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Onnantól kezdve sem az ő felelőssége, hogy elsőre szólt nekik
- A hozzászóláshoz be kell jelentkezni
Onnantól kezdve igen, hogy belenyúlt a rendszerbe.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nyitott volt a rendszer mások számára is. Mások kárt is okozhattak volna, ő nem tette. De tényleg, mi ez a szerecsenmosdatás a GH staffot illetően? Úgy kéne valagon rúgni őket, mint a huzat, és most azon vitázunk, hogy egy (jó kettő) ártalmatlan módosítás miatt ez a nyomorult a hunyó.
- A hozzászóláshoz be kell jelentkezni
"mi ez a szerecsenmosdatás a GH staffot illetően?"
Ki a faszt érdekel a GH staff? Nem vagyok velük kapcsolatban, nem használom a szolgáltatásukat, nem is jártam még sose az oldalukon. Én általánosságban beszélek arról, amit az ember elkövetett.
"Úgy kéne valagon rúgni őket, mint a huzat, és most azon vitázunk, hogy egy (jó kettő) ártalmatlan módosítás miatt ez a nyomorult a hunyó."
Azon vitázunk, hogy van-e ártatlan módosítás vagy sem. Szerintem nincs, szerinted van. Illetve arról, hogy hőst csinálnak egyesek belőle, pedig szerintem nem az.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
"Ki a faszt érdekel a GH staff? "
Mondjuk mindenkit, aki használja a Github szolgáltatásait illetve közvetve érinti még azokat, akik olyan szoftvert használnak, amelyek a Githubon van hostolva.
Az, hogy te megint felveszed a "leszarom" hozzáállást, az a te dolgod. Csak attól még nem kellene bizonyos dolgokon meglepődni, pl. hogy más nem szarja le.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
Valószínűleg a szál felében kapcsolódtál bele és nem olvastad az előzményeket. Tedd meg kérlek, hogy elolvasod őket és azok fényében teszed meg a hozzászólásaidat.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Most mondjam azt, hogy ki a faszt érdekel, mi volt a szál elején, mikor én a legutóbbi hozzászólásra akartam reagálni? :)
(Ui: olvastam az egészet.)
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
Odáig egyetértünk, hogy "ki a faszt érdekel"
Amit csinált, azt nem kezelheted külön az előzményektől, mert az élet már csak olyan, hogy vannak körülmények, előzmények, ok-okozati összefüggések, és következmény is. Ha már csak a következményeket nézed, mire jutott? Van egy invalid komment, meg egy hacked file, hogy "hülyék vagytok vaze", de még abból is a PC változat... nagyjából mint a retkes autón a "mosd le" felirat aláírással. Általánosságban hogyan beszélsz erről? Ami kár keletkezett, az arculatbeli, de arról meg a GH/RoR csapata inkább tehet.
Szerintem valóban van ártatlan módosítás, többek közt mivel kifejezetten építő célzata volt. Nem hős, egyszerűen csak nem ejtették a fejére, amikor látta h értetlenkednek/hülyének nézik.
De szerintem én itt befejezem, mert megrekedtünk.
- A hozzászóláshoz be kell jelentkezni
Egyetértek veled. Annyit kérdeznék, hogy van-e a RoR-nak (illetve a Github-nak) Vulnerability Disclosure Policy-ja?
Ha ilyen dokumentumuk nincs, akkor ha az ember egyszer szólt, és nem kezdtek azonnal élénk kommunikációba, akkor kuss van nekik. Ha van nekik ilyen dokumentum, annak kötelező eleme egy türelmi idő. Ha ez benne van, és a türelmi idő lejárta előtt akciózott, akkor megsértette a Policy-t. Ha a türelmi idő lejárta után akciózott, akkor megint csak kuss van.
Azért különösen érdekes ez a kérdés, mert vannak a githubnak fizetős ügyfelei is, akik ha kicsit is felelősségteljesek, akkor most kénytelenek átnézni a teljes kódjukat esetlegesen injektált falovak után.
Ami adott esetben nem két forint kár...
--
Gábriel Ákos
- A hozzászóláshoz be kell jelentkezni
Ha lenne, akkor arra hivatkozva mondanák el mindenféle tenoristának, de eddig is csak a ToS-ra hivatkoztak.
Engem különösen amiatt bosszant a dolog, mert azon akarják páran leverni a dolgot, aki az információt szállította -- a maga módján.
- A hozzászóláshoz be kell jelentkezni
https://github.com/blog/1069-responsible-disclosure-policy
https://github.com/blog/1068-public-key-security-vulnerability-and-miti…
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
:)
- A hozzászóláshoz be kell jelentkezni
És az mért lett volna jobb, ha egy valóban rosszindulatú ember megkapja a sebezhetőség leírását és letörli az összes repót a gh-ról?
- A hozzászóláshoz be kell jelentkezni
Attól függetlenül, hogy így talán tényleg rámozdulnak a hibára, ez itthon valóban BTK §300.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
Attól függetlenül, hogy a magyar büntető törvénykönyv (is) túlkapásra ösztönöz még nem lesz az emberünk bűnöző.
- A hozzászóláshoz be kell jelentkezni
Arra nincsen valami jó passzus, hogy az üzemeltetők a biztonsági figyelmeztetés ellenére továbbra is veszélyeztették ügyfeleik adatait...?
- A hozzászóláshoz be kell jelentkezni
BTK 300-ban és konkrétan ilyen szitura nincs, de szolgáltatás minőségével kapcsolatban szerintem lehetne találni valami általánosabbat, ami alkalmazható erre az esetre, de most lusta vagyok törvények után kutatni.
Na meg létezik ügyvéd is, aki azért szedi a nagy pénzeket, mert ezeket elolvasta.
----------------
Lvl86 Troll
- A hozzászóláshoz be kell jelentkezni
Három sorral lejjebb:
"Now that we've had a chance to review his activity, and have determined that no malicious intent was present, @homakov's account has been reinstated."
Nem olvastad tovább?
- A hozzászóláshoz be kell jelentkezni
Neccesnek inkább azt érzem, hogy a probléma már 2008-ban is létezett. Miért és hogyan maradt bent?
- A hozzászóláshoz be kell jelentkezni
(nemide)
- A hozzászóláshoz be kell jelentkezni
Mar tobb eve felhivtak a figyelmet, hogy bizonyos esetekben ovatosan tessek hasznalni, kesobb korlatoztak is hasznalatat (id-t felulirhattal, jelenleg id-t mar nem ir felul). Ez vilagit ra a Rails problemaira? OMG. Akkor a C/C++ is problemas, mert lehet nullaval osztani, amire a kis sunyi meg is pusztul...
- A hozzászóláshoz be kell jelentkezni
"amire a kis sunyi meg is pusztul..." -- Ha megpusztul, legalább tudjuk, hogy errorhiba történt. Ha viszont két pozitív szám összege negatív szám lett, akkor nem szól, csak pislog ártatlanul :-)
Fuszenecker_Róbert
- A hozzászóláshoz be kell jelentkezni
A számábrázolásban benne van ez is. A nyelv feltételezi, hogy felnőtt ember vagy, és tudod mit szeretnél. Az, hogy ellenőrizze neked az overflow flaget akkor is, ha te nem akarod, szembemegy a nyelv filozófiájával, kb mint az agynélküli boundary check.
----
Hülye pelikán
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy én tudom, hogy mit akarok, és azt is, hogy mit kap(hat)ok, de nem vagyok meggyőződve arról, hogy ezzel minden kollégám így van. A C/C++ tényleg olyan, hogy érteni kell hozzá, nem kicsit, hanem nagyon :-)
Ezért szoktam mondani a volt tanáraimnak, hogy nehogy azt a téves gondolatot ültessék el a hallgatók tudatában, hogy tudnak programozni...
Fuszenecker_Róbert
- A hozzászóláshoz be kell jelentkezni
C/C++ alapvelvek között van a zero overhead (amit persze az RTTI és az exceptionök felrúgnak, de azok is kivehetőek). Aki az alapvekkel sincs tisztában, az nem mondható a nyelv értőjének, tehát ne programozzon ipari területen abban. Szerintem a kettes komplemensű számábrázolás és a sizeof() elég alap dolgok.
----
Hülye pelikán
- A hozzászóláshoz be kell jelentkezni
HWSW> "Botrányos hiba a Rails jogosultságkezelésében, [...] Rendkívül súlyos hiba található a Ruby on Rails keretrendszerben, amelyet kihasználva a támadó gyakorlatilag teljesen átveheti a hatalmat a rendszert használó szolgáltatás felett, tetszőleges jogosultsággal látva el magát."
F@szkorbács! Erre a cikkre egyedül a hozzá nem értést fogadnám el mentségként, annak ellenére, hogy a támadóval értek egyet, azaz a Railsnek védenie kellene mindent by default. Ilyen szinten csúsztatni pofátlanság.
- A hozzászóláshoz be kell jelentkezni
Szerencsere a HWSW nem railst hasznal. :)
--
zsebHUP-ot használok!
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Na most ez a cikk az elejen ugy indult cimben, hogy hiba a Ruby jogosultsagkezeleseben. Ehhez kepest mar sikerult komoly haladast elerni.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
sub :)
- A hozzászóláshoz be kell jelentkezni
Csak hogy arnyalt legyen a kep:
- Konkretan errol az issue-rol van szo, amit ebben a commitban javitottak, illetve nehany ez utani commit rendberakja mogotte a rails kodfat is.
- A GitHub ugyan valoban suspendelte @homakov hozzafereset a ToS megsertese miatt, ez azonban egy automatikus dontes volt, a kesobbi nyomozas soran kiderult, hogy nem tett komoly kart sehol, ez egy fake tamadas volt, igy az accountjat visszaengedelyeztek, es @homakov azota is aktiv tagja a GitHub kozossegenek. A GitHub nezopontja @homakov hozzaferesevel kapcsolatban itt olvashato.
- A GitHub kozosseg sem teljesen egyertelmu. Sokak szerint @homakov tulreagalta a dolgot, bar abban mindenki egyetert, hogy a Rails csapata meglehetosen bunko modon bant el egy igen komoly biztonsagi fenyegetest bejelento hibaval kapcsolatban. Az en szemelyes velemenyem szerint - az adott korulmenyek kozott - jol dontott, bar az teny, hogy a security@ -on jelezhette volna a GH uzemeltetoi fele az oldal serulekenyseget. Tekintve, hogy ez egy dedikaltan for-profit vallalat, igen komoly nagyvallalati ugyfelkorrel, ugy gondolom, a hiba elsodleges prioritast kapott volna. Mindazonaltal, @homakov (az en velemenyem szerint) nem kimondottan a GitHub ellen akart tamadast intezni, csak ezzel tudta a legnagyobb figyelmet elerni. Arrol nem is beszelve, hogy a Posterous-t is megtamadta - az is serulekeny volt erre a hibara - megis, az sokkal kisebb sajtovisszhangot kapott. Ez nagyon elesen ramutat arra, hogy jol dontott, amikor a GitHub-ot valasztotta alanyul - igy mindenki felfigyelt a problemara.
Felhivom a figyelmet, hogy az utolso pont az en szemelyes velemenymet tukrozi. Fenntartom a tevedes lehetoseget.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Egyetértek veled. Nem is értem és nincs is türelmem a fenti hosszú threadeket és trollkodást elolvasnom.
Van 2-3 link ami napokkal ezelőtt jönn twitteren ami alapján mindenki eldöntheti mi is volt, hogy volt.
(ha mind volt már hát sorry...)
https://github.com/rails/rails/commit/b83965785db1eec019edf1fc272b1aa39…
https://github.com/blog/1068-public-key-security-vulnerability-and-miti…
https://github.com/blog/1069-responsible-disclosure-policy
- A hozzászóláshoz be kell jelentkezni
Az utolso kettot en is elolvastam, meg belinkeltem, az a commit pedig just for fun.
--
Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal
- A hozzászóláshoz be kell jelentkezni
Úgy látom, ezt a cikket már mindenki elfelejtette... Házi feladat a párhuzamok megtalálása.
- A hozzászóláshoz be kell jelentkezni
sub :) o/
- A hozzászóláshoz be kell jelentkezni
Én azt várom, hogy megírod a párhuzamokat, én meg majd lereagálom.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Én azt várom, hogy megírod az ELSŐ KÉZBŐL SZÁRMAZÓ INFORMÁCIÓKON ALAPULÓ OKNYOMOZÓ RIPORTOD, én meg majd lereagálom. LEGYÉL ALAPOS!!1!!!!1!
- A hozzászóláshoz be kell jelentkezni
Milyen alapon vársz te tőlem bármit is? :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Milyen alapon vársz te Bat-tól bármit is? :)
- A hozzászóláshoz be kell jelentkezni
Nem, nem. Az eredeti kérdés, hogy BaT miért vár mástól valamit (házi feladat elkészítése, amikor ő jár iskolába). Csinálja meg ő a leckét. Aztán aki akar majd reagál rá.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni