abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 12:33 | Pozvánky

Příští týden bude na MFF UK zahájena série přednášek o architektuře a implementaci operačních systémů. Mezi přednášejícími budou odborníci z firem Kernkonzept, Oracle, Red Hat, SUSE či SYSGO. Pokud si chcete rozšířit obzory (virtualizace, ptrace, ZFS, kdump, ...), vyberte si z harmonogramu téma, které vás zajímá a přijďte. Přednášky se konají každý čtvrtek od 15:40 v učebně S4 na Malostranském náměstí 25 v Praze. Přednášky jsou přístupné veřejnosti (registrace není nutná), studenti UK a ČVUT si je mohou zapsat jako standardní předmět.

Vojtěch Horký | Komentářů: 5
včera 05:00 | Nová verze

Bylo vydáno Ubuntu 18.04.2 LTS, tj. druhé opravné vydání Ubuntu 18.04 LTS s kódovým názvem Bionic Beaver. Přehled novinek v poznámkách k vydání a v přehledu změn.

Ladislav Hagara | Komentářů: 0
včera 03:00 | Zajímavý software

Git History umí u souborů v git repozitářích zajímavým způsobem zobrazit jejich historii a následně jednotlivé změny, viz animovaný gif. Použít jej lze lokálně nebo aktuálně na soubory umístěné na GitHubu. Máte-li ve webovém prohlížeči zobrazen soubor umístěný na GitHubu, nahraďte v URL doménu github.com doménou github.githistory.xyz a nové URL odešlete. Využít lze také rozšíření Chrome i Firefoxu. V plánu je vedle GitHubu také podpora GitLabu a Bitbucketu.

Ladislav Hagara | Komentářů: 1
včera 01:00 | Nová verze

Byla vydána verze 1.0 webové a na frameworku Electron postavené desktopové verze svobodného decentralizovaného skupinového komunikátoru Riot (Wikipedie) využívajícího protokolu Matrix (Wikipedie). Přehled novinek i s náhledy v příspěvku na blogu. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 4
14.2. 14:22 | Nová verze

Společnost Collabora oznámila vydání verze 4.0 online kancelářského balíku Collabora Online a také Collabora Online Development Edition (CODE) pro domácí uživatele. Kancelářský balík vychází z LibreOffice Online (cgit).

Ladislav Hagara | Komentářů: 0
14.2. 12:11 | Nová verze

Byla vydána verze 241 správce systému a služeb systemd (GitHub, NEWS). Řešeny jsou také bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
14.2. 11:44 | IT novinky

Evropský parlament, Komise a Rada (trialog) se dohodli na návrhu reformy autorského práva včetně kontroverzních článků 11 a 13. Více v příspěvku na blogu europoslankyně Julie Redy.

Ladislav Hagara | Komentářů: 12
14.2. 07:00 | Komunita

Čtenářům a čtenářkám AbcLinuxu vše nejlepší k Valentýnu aneb Dni lásky ke svobodnému softwaru (FSF, I love Free Software Day, #ilovefs).

Ladislav Hagara | Komentářů: 3
14.2. 06:00 | Zajímavý článek

Jiří Eischmann se v příspěvku Lepší zvuk přes Bluetooth na Linuxu (en) na svém blogu věnuje možnostem přenosu audia mezi linuxovým desktopem a bezdrátovými sluchátky. Zatímco „po drátě“ jde zvuk v nekomprimované podobě, Bluetooth má omezenou propustnost, a proto se musí použít nějaký kompresní kodek. Které kodeky může Linux nabídnout?

Ladislav Hagara | Komentářů: 19
13.2. 15:22 | Bezpečnostní upozornění

Správce balíčků snapd on Canonicalu obsahuje zranitelnost CVE-2019-7304 nazvanou Dirty Sock, kterou může útočník zneužít k eskalaci práv na úroveň administrátora. Ke zranitelnosti je k dispozici PoC (Proof of concept). Je zneužitelná pouze lokálně, pokud má útočník do systému přístup a týká se všech linuxových distribucí s nainstalovaným snapd (zejména distribuce Ubuntu, kde je snapd nainstalován automaticky). Snapd od verze 2.37.1 už je opraven [CSIRT.CZ].

Ladislav Hagara | Komentářů: 0
Máte v desktopovém prostředí zapnutou zvukovou znělku po přihlášení se do systému?
 (7%)
 (1%)
 (90%)
 (1%)
Celkem 324 hlasů
 Komentářů: 11, poslední 14.2. 07:59
Rozcestník

Globální scan otevřených .git repozitářů

Scan velkého množství webových stránek odhalil téměř 400 tisíc webových stránek s přístupným adresářem .git, ze kterého lze stáhnout část jejich zdrojových kódů.

31.8.2018 23:48 | smíťa | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

1.9.2018 00:06 luv | skóre: 18 | blog: luv
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
kudos
1.9.2018 09:36 mica
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
IDOS
1.9.2018 11:18 mankind_boost | skóre: 7 | Hliněná chýše, 5482/3
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
MS-DOS
Jen skutečný mankind_boost je zárukou kvality.
Bystroushaak avatar 2.9.2018 16:23 Bystroushaak | skóre: 34 | blog: Bystroushaakův blog | Praha
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
xkucf03 avatar 1.9.2018 12:49 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Uživatel má mít přístup ke zdrojákům, to je přece normální.

Stejně tak je normální nedávat do zdrojáků tajné údaje jako hesla, klíče atd. Takže v čem je vlastně problém? :-)
Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
1.9.2018 17:34 Peter Golis | skóre: 57 | Bratislava
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Ja v tom žiaden problém nevidím. Pán Vladimír Smitka zadefinoval virtuálny problém, pohľadal výskyt a napísal o tom článok. A o tomto je táto správička.

Človek odchovaný korporátnou sférou sa potreboval zviditeľniť, tak vyfabuloval článok. A k rozšíreniu povedomia o tom článku použil techniku známu ako virálny marketing. Mohol radšej napísať prejav premiérovi.
1.9.2018 23:12 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Proč myslíš, že bych měl být odchovaný korporátní sférou? To, že ty v tom problém nevidíš pro ty stovky tisíc webů nic moc neznamená.
3.9.2018 07:52 Peter Golis | skóre: 57 | Bratislava
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Pretože sa potreboval zviditeľniť, a tak nafúkol zbytočný článok. Tie stovky tisíc webov to nezaujímalo pred tým článkom, a nebude ich to zaujímať ani po tom článku.
k3dAR avatar 3.9.2018 09:40 k3dAR | skóre: 53
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
pripada to jen me, ze potrebu zviditelnit, bohuzel casto tema nejtrapnejsima kecama, tu mas hlavne ty? ;-)
porad nemam telo, ale uz mam hlavu... nobody
3.9.2018 10:27 Peter Golis | skóre: 57 | Bratislava
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Skús si prečítať autora správičky odkazujúcej na článok ktorého autor je zhodný s autorom správičky. A k tomu sa skús zamyslieť sa aký je problém mať dostupné zdrojáky stránky. Možno potom pochopíš prečo je to len virálny marketing.
Heron avatar 3.9.2018 10:58 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
ktorého autor je zhodný s autorom správičky
To už se tady stalo vícekrát. Ať si každý udělá vlastní názor, zda je to dobře či špatně. Stejně jako třeba reklama na Microsoft vypadající jako běžný článek.

K tématu. Ano, podobných scanů jsou desítky, pokud se to prezentuje jako zajímavost, tak proč ne. Ale nesouhlasím s tím, že někdo nějaký jev prezentuje jako problém a je potřeba tomu zabránit apod.
3.9.2018 12:41 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
@Peter: Pořád nechápu, s čím máš problém. Věnoval jsem spousty práce výzkumu samotnému, kontaktování velkého množství dotčených stran, vytvořením statistik a publikaci článku. O článku jsem následně informoval na serveru, kde se pohybují lidé, kteří jsou za řešení podobných problémů často zodpovědní. V tom osobně žádný problém nevidím, navíc když článek nemá ani žádný komerční podtext. Pravděpodobně o virálním marketingu moc nevíš, jinak bys za něj nemohl označovat článek, o kterém jsem informoval na 2 místech - na svých osobních sociálních sítích a zde ve zprávičce + ho následně převzal zdroják.

Proč je problém mít dostupné zdrojáky stránky? Ve tvém utopickém světě to samozřejmě problém není - všechno je opensource, nad projektem máš kompletní kontrolu, nikdo se nikdy neodvážil do repozitáře přidat jakékoliv citlivé informace (třeba klíče k AWS), nikdo nikdy neupravoval soubor přímo na produkčním serveru, je dokonalý patch management proces, kdy se všechny knihovny okamžitě automaticky aktualizují i s testy, které samozřejmě vždy projdou, a všechny webové servery jsou bezchybně nakonfigurované. A samozřejmě se nenajde nikdo, kdo by případných problémů chtěl zneužít. Reálný svět vypadá ale dost jinak...

@Heron Nemyslím si, že podobných scanů, které by problém prozkoumaly v takové šíři (většinou se používá Alexa TM) a snažily se o kontakt s postiženými stranami, jsou desítky. To že jsem na ně nenarazil, ale moc neznamená. Podrobnější prověření kontrolního vzorku právě ukázalo, že to problém opravdu je a právě proto jsem se rozhodl udělat scan v globálním kontextu. Jak je v článku uvedeno, tak problém je i v tom, že v repozitáři jsou i minulé soubory a v nich bohužel často jsou informace, které později byly odstraněné. Scanu ukazuje i na velké množství špatně nakonfigurovaných serverů, které servírují libovolné soubory - takže i když v repu třeba není soubor s konfigurací databáze a třeba údaji k SMTP, tak se dozvím, kde by mohl být a stáhnu ho přímo. Statisticky vztaženo ke kontrolnímu vzorku, bude takových serverů tisíce. Za mě tečkové soubory a složky nemají být veřejně přístupné - stejně jako nedávám třeba veřejně .htpasswd, by to mělo platit pro všechny tyto soubory. Obecně je potřeba dávat pozor na to, co na webserver nahrávám a i když jsem třeba jen vývojář, tak se zajímat o to, zda je server dobře nastaven - administrátor serveru nemusí mít ponětí, v jaké části aplikace jsou citlivé informace.
Heron avatar 3.9.2018 13:18 Heron | skóre: 51 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Nemyslím si, že podobných scanů, které by problém prozkoumaly v takové šíři (většinou se používá Alexa TM) a snažily se o kontakt s postiženými stranami, jsou desítky.
No nám chodí jednotky mailů ročně (za celou dobu života firmy už určitě desítky) o tom, že někde je otevřený nějaký port a že bychom to měli zavřít apod. To se dá brát jako "díky za info". Horší jsou ovšem dopisy od NCKB a CSIRT, které rozesílají na různé úřady a kde jim říkají, jak mají mít zabepečenou síť a ty úřady to často vezmou jako příkaz a vyžadují to, i když je to zcela nesmyslné a v jejich síti neaplikovatelné.

Naposledy minulý týden někdo poslal výsledek jakéhosi obskurdního scanu webu a dožadoval se "nápravy". Nástroje jsou to užitečné, ale je potřeba s nimi umět pracovat.

Jinak ono to spíš ukazuje na jiný problém. A to, že ti lidé neumí zacházet s verzovacím systémem. Podle mě není příliš řešení ve stylu "zakážeme přístup do tečkových adr a souborů", protože všechny tyto ochrany potom v praxi vedou k "ok, a teď za tou zdí můžeme prasit". Viděl jsem to několikrát.

Prostě .git adresář do DocumentRootu nepatří. Nemá tam co dělat. Pokud to tam někdo má, je to špatně. Existují nástroje na deploy. Dokonce i git lze využít na deploy a vůbec to neznamená, že tam bude celé repo.

Takže dík za scan, určitě je užitečné lidem připomenout, že možná dělají něco, nad čím by se měli zamyslet, ale celkem bych byl nerad, kdyby si to někdo nastavil tak, že tečky jsou nepřístupné a prasili dál.
3.9.2018 13:29 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Naprostý souhlas :-) Také proto v upozornění jako nejlepší řešení problému uvádím změnu deployment workflow a doporučuji prozkoumat třeba Fabric, Capistrano nebo alespoň změnu worktree.
k3dAR avatar 3.9.2018 21:10 k3dAR | skóre: 53
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Petera bez s nekolikanasobnou reservou, staci se podivat na jeho dalsi prispevky a uvidis ze 97.5% z nich jsou trapne narazky, je to takovej specifickej trolling kterej mu dela dobre ;-)
porad nemam telo, ale uz mam hlavu... nobody
xkucf03 avatar 3.9.2018 21:24 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Skús si prečítať autora správičky odkazujúcej na článok ktorého autor je zhodný s autorom správičky.

Taky už jsem párkrát psal zprávičky o vlastních článcích/projektech. Jasně, že by bylo lepší, když to napsal někdo jiný, ale zprávičkářů je málo a ne všechno sledují. Nakonec je to stejně na tom, kdo zprávičky schvaluje, aby posoudil, jestli je to dostatečně zajímavý obsah i pro čtenáře.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
xkucf03 avatar 3.9.2018 21:20 xkucf03 | skóre: 47 | blog: xkucf03
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů

+1

Já jsem ten svůj komentář napsal napůl ze srandy a taky se smajlíkem. Peter se toho bohužel nějak chytl a začal se zle navážet do autora.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
4.9.2018 12:25 Peter Golis | skóre: 57 | Bratislava
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Do virálu. Keby ten autor nevytvoril imaginárny problém na ktorý si musel zapnúť clickbait, tak mi je to jedno. Ale smejem sa na tom ako mu to vyšlo.
4.9.2018 15:17 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Však to také beru :-) Diskuze o tom, co by mělo být veřejné, co ne a jaké jsou vhodné postupy rozhodně dává velký smysl. Většina z nás to ví a ví to často i postižené strany. Desítky z nich se mnou podělilo o to, jak k problému došlo, nejčastěji změnou migrace serveru/případně netušením, kde projekt v produkci poběží, někdy to bylo omylem člena týmu, změně v nějaké dockerové vrstvě, někdo naopak neměl tušení, že z .git lze zdrojový kód zpětně sestavit.
1.9.2018 23:20 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
To je samozřejmě normální, ale bohužel to z globálního pohledu není tak moc dodržováno. Problém je v tom, že nejde jen o současné soubory, ale i minulé. A ty mohou občas prozradit zajímavé informace. Nalezl jsem například ve starším commitu info o python skriptu na zálohování s hesly, ke kterému přístup samozřejmě nebyl, ale už to nebylo ošetřené pro kompilovaný pyc... A také nejde jen o ty tajné informace, ale třeba o zjištění, jaké knihovny se používají, což otvírá opět vrátka k dalšímu hledání chyb.
3.9.2018 09:41 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Zkoumal jsem, jak se přístup k .git objevil třeba u Python a Ruby aplikací. V naprosté většině případů je to z důvodu, že je chybně nakonfigurovaný webserver. Ve snaze na něj přenést práci se statickými soubory jsou exponované úplně všechny soubory, když člověk zná jejich jméno (a to zná z .git). Takže lze získat konfiguraci i když v repu není... Problém se tak týká i aplikací, které mají zdrojové kódy veřejné.
Petr Tomášek avatar 1.9.2018 17:37 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
A kolik z nich je pod GPL a kolik pod BSD? :-)
multicult.fm | monokultura je zlo | welcome refugees!
1.9.2018 23:15 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
To je bohužel dost těžké určit bez vytažení samotných souborů :-). Každopádně zhruba 24 000 z nich mělo definovaný remote origin na GitHubu, což ale ještě neznamená, že některé z nich nejsou privátní repo, nebo že nemají lokální "privátní" commity.
4.9.2018 12:27 debian
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Trapná reklama
4.9.2018 15:05 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Trapná reklama na co přesně? :-)
4.9.2018 15:29 debian
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Na tvoji tlamu
4.9.2018 15:47 smíťa | skóre: 8 | blog: Zápisky z Lyntu
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
Není trochu povrchní hodnotit lidi jen podle tlamy? :-)
4.9.2018 18:57 debian
Rozbalit Rozbalit vše Re: Globální scan otevřených .git repozitářů
je, já je hodnotím podle toho kde spamují s reklamou

Založit nové vláknoNahoru


ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.