Маша и Медведь – До весны не будить

[dil]

“про девочку Машу, которая никому не дает покоя, и в первую очередь – своему другу Медведю”

Это я один такой испорченный, что неправильно понимаю название и описание третьей серии нового российского мультфильма?

Оригинал этой записи в личном блоге.

Comments

[e1am0.livejournal.com]

не понял причём там админы. я б скорее на быдлокодеров пинал, если я правильно понял, что там написано

[dil.livejournal.com]

готовый код на production-сервера раскладывают админы. и ограничения доступа в веб-серврах тоже настраивают они. быдлокодеры в данном случае ни при чём

[e1am0.livejournal.com]

ну я к тому, что админ может не знать о метаданных системы контроля версий и вообще не разбираться, что там такое лежит то. он должен сделать, чтоб это было доступно. с моей точки зрения
но косяк конечно чрезвычайно забавный в любом случае

[dil.livejournal.com]

админ может не разбираться, как работают выкладываемые файлы, но про систему контроля версий из которой он берёт эти файлы для выкладки, он не знать не может

[awind.livejournal.com]

готовый код себе, как админу, я, как нормальный быдлокодер, отдаю в .deb ибо нефиг.

[pe3yc.livejournal.com]

Ну ни хуя себе милая история.

[dil.livejournal.com]

дык

[lazyboa.livejournal.com]

В теории, всякие /.git/HEAD тоже вполне доступны.

[dil.livejournal.com]

ну .cvs, понятное дело..

[ivlad.livejournal.com]

CVS

[samuel-smith.livejournal.com]

Смею думать, что всем похуй.

Во первых - тысячелетний боян, практически все секьюрити сканеры про это знают, и, например, ни 1 серьезный платежный гейтвей без PCI DSS сканирования, которое обязательно включает в себя этот тест к себе подключиться не даст. Но даже если и нашли мы куски мягких как вата исходников фронтенда - и что? Только совсем уж отсталые хранят пароли или ключи в репозитории (скорее наоброт - сразу запихивают диры с ними в свнигнор, ибо нефиг), а скорее всего мы увидим кучу унылого чуть более чем полностью кода, который общается с мисклом и мымкешом, невероятно важно, да.

А совет автора делать svn export - вообще бесподобен, ага. В большинстве случаев свн используется как раз как метод распространения кода (в том числе и на кластерах), и сделав svn export (что, кстати, раз в 10 медленнее чем find . -name \.svn -type d|xargs rm -rf) мы напрочь лишимся того, ради чего с ним и связались.

[dil.livejournal.com]

боян-не боян, а вон сколько сайтов на этом попались..

[samuel-smith.livejournal.com]

если вы сделаете сканирование, например, ССЛ сайтов на предмет поддержки Weak Ciphers (при том, что SSLv1 вообще давно должен был сдохнуть) то тоже можно найти много чего интересного. В том числе и в банковской сфере. Опять же - TRACE не вырублен у кучи серверов и много чего еще. Или вот, например, непатченных пхплистов которые легким движением скрипта превращаются в спаммергейт до сих пор по этим вашим интернетам установлено несчетное количество. Т.е. как по мне - прицепились к наименьшему злу, которое скороее даже не "уязвимость", а мелкий косяк.

Совсем недавно писал плагин для контроля одного отнюдь не дешевого рейда от сегейта. Данные было удобнее получать по HTTP (в снмп не все было) и я написал на курле простенькую обертку, которая логинилась, сохраняла session cookie, после чего запрашивала нужные мне данные. Во время отладки плагина я решил проверить что будет если ввести неправильный пароль (для корректной отработки ошибки) и моему удивлению не было предела когда я получил все данные! Разбор полетов показал всю гениальность быдлокодеров из сигейта - при неправильном пароле они честно дают http код 302 redirect, а прямо за ним - весь текст запрашиваемой страницы! броузер, понятное дело его уже не отображает, а вот курлу + pcre на это наплевать, из-за чего все и продолжало работать.

Написал в суппорт сигейта, причем как кастомер (американская контора), тикет висит без ответа более месяца. Мне кажется, что получение исходников фронтенда (которые чаще всего и так открыты)- много меньшее зло.

[shadowtramp.livejournal.com]

Для услиения эффекта авторы статейки несколько раздувают и передёргивают ;-)

[spb-nick.livejournal.com]

Блин, deployment посредством копирования это круто. Про svn export, хотя бы, видимо мало кто слышал.

[dil.livejournal.com]

почему копирования? svn update
export будет вынимать из репозитория все файлы, а не только измененные. неэффективно.

[spb-nick.livejournal.com]

На сервере должно лежать только то, что нужно, и ничего больше. Мне как-то в голову не пришло что они сервят work copy. Делать это только ради эффективности копирования - бред.

[alz421.livejournal.com]

Ты не поверишь: тык (http://www.google.ie/search?hl=en&q=site:*/.svn/entries&start=0&sa=N)

[dil.livejournal.com]

а-а-а!!!

[salas.livejournal.com]

Хм. Т.е. на все эти файлы кто-то ставил ссылки, или как зачем гугл их нашёл?

[dil.livejournal.com]

вопрос, конечно, интересный. гугл не находит страниц, которые ссылаются на эти..

[slapsh.livejournal.com]

Ну я прямо не знаю. Трудно в это поверить. Жесть.

[goodvin.livejournal.com]

Есть тут что-то общее с историей с паролями от вконтакта

[b-a-t.livejournal.com]

Истерика на хабре?

[goodvin.livejournal.com]

да там по любому поводу истерика