Маша и Медведь – До весны не будить

[dil]

“про девочку Машу, которая никому не дает покоя, и в первую очередь – своему другу Медведю”

Это я один такой испорченный, что неправильно понимаю название и описание третьей серии нового российского мультфильма?

Оригинал этой записи в личном блоге.

Comments

[e1am0.livejournal.com]

не понял причём там админы. я б скорее на быдлокодеров пинал, если я правильно понял, что там написано

[dil.livejournal.com]

готовый код на production-сервера раскладывают админы. и ограничения доступа в веб-серврах тоже настраивают они. быдлокодеры в данном случае ни при чём

[pe3yc.livejournal.com]

Ну ни хуя себе милая история.

[e1am0.livejournal.com]

ну я к тому, что админ может не знать о метаданных системы контроля версий и вообще не разбираться, что там такое лежит то. он должен сделать, чтоб это было доступно. с моей точки зрения
но косяк конечно чрезвычайно забавный в любом случае

[dil.livejournal.com]

админ может не разбираться, как работают выкладываемые файлы, но про систему контроля версий из которой он берёт эти файлы для выкладки, он не знать не может

[dil.livejournal.com]

дык

[lazyboa.livejournal.com]

В теории, всякие /.git/HEAD тоже вполне доступны.

[dil.livejournal.com]

ну .cvs, понятное дело..

[samuel-smith.livejournal.com]

Смею думать, что всем похуй.

Во первых - тысячелетний боян, практически все секьюрити сканеры про это знают, и, например, ни 1 серьезный платежный гейтвей без PCI DSS сканирования, которое обязательно включает в себя этот тест к себе подключиться не даст. Но даже если и нашли мы куски мягких как вата исходников фронтенда - и что? Только совсем уж отсталые хранят пароли или ключи в репозитории (скорее наоброт - сразу запихивают диры с ними в свнигнор, ибо нефиг), а скорее всего мы увидим кучу унылого чуть более чем полностью кода, который общается с мисклом и мымкешом, невероятно важно, да.

А совет автора делать svn export - вообще бесподобен, ага. В большинстве случаев свн используется как раз как метод распространения кода (в том числе и на кластерах), и сделав svn export (что, кстати, раз в 10 медленнее чем find . -name \.svn -type d|xargs rm -rf) мы напрочь лишимся того, ради чего с ним и связались.

[dil.livejournal.com]

боян-не боян, а вон сколько сайтов на этом попались..

[samuel-smith.livejournal.com]

админ должен не быть тупым мудаком и смотреть что лежит в вебруте. Да и эта "уязвимость" известна еще с времен цвс. Кстати, я вот даже в одном из своих проектов это обнаружил, причина - миграция с apache на nginx, а лимит был прописан на уровне .htaccess. От осознания того, что кто-то мог посмотреть локальную модификацию magento & phpbb становится страшно.

[dil.livejournal.com]

админ должен не быть тупым мудаком
о чём, собственно, и речь :)
я однажды сильно накололся на использовании .htaccess, который кто-то кривыми ручками подправил на тестовом сервере, закоммитил вместе с основными изменениями, и оттуда оно выползло на production.
с тех пор всё существенное пишу только в основном конфиге сервера

[samuel-smith.livejournal.com]

если вы сделаете сканирование, например, ССЛ сайтов на предмет поддержки Weak Ciphers (при том, что SSLv1 вообще давно должен был сдохнуть) то тоже можно найти много чего интересного. В том числе и в банковской сфере. Опять же - TRACE не вырублен у кучи серверов и много чего еще. Или вот, например, непатченных пхплистов которые легким движением скрипта превращаются в спаммергейт до сих пор по этим вашим интернетам установлено несчетное количество. Т.е. как по мне - прицепились к наименьшему злу, которое скороее даже не "уязвимость", а мелкий косяк.

Совсем недавно писал плагин для контроля одного отнюдь не дешевого рейда от сегейта. Данные было удобнее получать по HTTP (в снмп не все было) и я написал на курле простенькую обертку, которая логинилась, сохраняла session cookie, после чего запрашивала нужные мне данные. Во время отладки плагина я решил проверить что будет если ввести неправильный пароль (для корректной отработки ошибки) и моему удивлению не было предела когда я получил все данные! Разбор полетов показал всю гениальность быдлокодеров из сигейта - при неправильном пароле они честно дают http код 302 redirect, а прямо за ним - весь текст запрашиваемой страницы! броузер, понятное дело его уже не отображает, а вот курлу + pcre на это наплевать, из-за чего все и продолжало работать.

Написал в суппорт сигейта, причем как кастомер (американская контора), тикет висит без ответа более месяца. Мне кажется, что получение исходников фронтенда (которые чаще всего и так открыты)- много меньшее зло.

[dil.livejournal.com]

так никто и не говорит, что это какой-то rocket science. вопрос не в ней самой, а в том, что на этом попались не криворукие пионэры с phpшными форумами, а серьезные компании, которые казалось бы, должны за этим следить

[shadowtramp.livejournal.com]

Для услиения эффекта авторы статейки несколько раздувают и передёргивают ;-)

[dil.livejournal.com]

что именно?

я вот уже после опубликования статейки стянул с одного из проектов Яндекса .svn/entries

[shadowtramp.livejournal.com]

получены корни веб морды некоторых ресурсов
"Некоторых ресурсов" - довольно громко. Про то, что именно было полученно, тоже несколько преувеличенно.

Тут другой, на самом деле, момент важен: defensive development в зоне ru так и не стал правилом. Как ты понимаешь, следствия у этого заметно более неприятные, нежели возможность прочитать некоторое количество файлов шаблонов вёрстки.

[dil.livejournal.com]

там всё-таки немножко больше, чем шаблоны. у некоторых и исходный код скриптов, и параметры доступа к базам, и логины разработчиков, и некоторые прочие тонкости, которые не то, чтобы совсем секретны, но развешивать их на всеобщее обозрение не стоило

[shadowtramp.livejournal.com]

Так про "не стоило" я и не возражаю совершенно!

[dil.livejournal.com]

ну а в чем преувеличение-то?

[shadowtramp.livejournal.com]

Эм, проехали?

[spb-nick.livejournal.com]

Блин, deployment посредством копирования это круто. Про svn export, хотя бы, видимо мало кто слышал.

[dil.livejournal.com]

почему копирования? svn update
export будет вынимать из репозитория все файлы, а не только измененные. неэффективно.

[alz421.livejournal.com]

Ты не поверишь: тык (http://www.google.ie/search?hl=en&q=site:*/.svn/entries&start=0&sa=N)

[slapsh.livejournal.com]

Ну я прямо не знаю. Трудно в это поверить. Жесть.