janPona
безопасность npm Почему все шутят про node_modules, но не про растовские крейты, гошные модули, composer-овские пакеты? Там же тот же букет болячек, потому что никто ведь не придумал серебряной пули от dependency hell.

Ах ну да, я забыл. Ведь JavaScript — самый популярный язык. Тупо численностью взяли. И ещё, что немаловажно, он самый лёгкий язык, и в нём больше всего говнокодеров, которые вообще зачастую не понимают, где они находятся, и что они здесь делают. Увы, это бремя любого популярного языка.
janPona
безопасность npm Yarn marakgate А теперь про воркфлоу без локфайла, но сначала про ворфлоу с локфайлом.

Что такое локфайл? Это такой огромный json, в котором зафиксированы все зависимости данного пакета. Локфайл имеет одну особенность — пакетный менеджер (будь то npm или yarn) считывает его только для корневого пакета. Но не для зависимостей. «Но почему?!» — спросите вы.

Причина такого (правильного) поведения в том, что, если бы учитывался каждый локфайл каждой библиотеки, то, поскольку в них бы для одних и тех же зависимостей разных библиотек были бы вторичные библиотеки разных версий, пришлось бы устанавливать огромное число дубликатов этих библиотек. Непонятно? Вот пример:

— Мы пишем приложение, пакет называется application.
— application зависит от библиотеки, скажем, виджета для отрисовки таблиц tables@0.1.0.
— tables@0.1.0 зависит от маленькой библиотеки, скажем, leftpad@0.2.0
— но application, кроме этого зависит ещё от одной библиотеки: виджет отрисовки графиков charts@0.1.0
— а charts@0.1.0, в свою очередь, зависит от leftpad@0.2.1 (обратите внимание, версия другая)

Что мы имеем в реальной жизни? В реальной жизни при установке зависимостей нашего application, создастся локфайл, в котором пропишется leftpad@0.2.1. Почему так происходит? Потому что и charts, и tables, во-первых зависят от leftpad мягко, то есть вот так: "leftpad": "^0.2.0" и "leftpad": "^0.2.1". Это даёт пакетному менеджеру определённую свободу выбора компромиссной версии, каковой в данном случае будет leftpad@0.2.1.

А теперь представьте, что было бы, если бы у пакетов charts и tables были бы локфайлы, в которых была бы жёстко зафиксирована зависимость на leftpad двух разных версий (при условии, что эти локфайлы бы принимались всерьёз пакетным менеджером)? В итоговый локфайл приложения попали бы ОБЕ версии. И leftpad@0.2.0 установился бы в node_modules/tables/node_modules, а leftpad@0.2.1 установился бы в node_modules/charts/node_modules. Произошло бы задвоение пакета leftpad. А в реальном проекте таких пакетов были бы сотни, если не тысячи!

Вывод №1. В библиотеках не работает ни package-lock.json, ни yarn.lock, и это так задумано. Кроме того, иметь нефиксированные номера версий зависимостей — правильно. Это позволяет пакетному менеджеру устанавливать пакеты экономно, без дубликатов.

Продолжение в комментариях.
PoZitron
деньги безопасность Прочёл на Пикабу пост где Сбербанк спрашивают почему у них регистронезависимые пароли. Думал шутка. Решил проверить.
Ввёл свой пароль от сбербанк онлайн в нижнем регистре и... успешно залогинился!
FaCePaLm.jpg
Scobar
безопасность Аргус На работе стала дико глючить сигналка Аргус спектр catalog.argus-spectr.ru и тк госконтора=денег нема, систему ставили одни гастеры, настраивали другие, договор на обслуживание отсутствует как класс, да и специалисты тоже, начинаю почитывать мануал ибо заманало в пульте кроны менять тк постоянно трещит сигнал тревога (неисправность то ли по датчику объёма охраняемого периметра, то ли по пожарному датчику — ещё не разбирался) и "неисправность. А система охраны от герконового датчика на двери и лампочки шагнула далеко к работе на радиоканале 860 мегагерц с кучей ретрансляторов, датчиков по проводам и опять же радиоканалу. И оно ещё программируется, прошивается и привязывается. Есть кто сталкивался, дабы позадавать тупые вопросы ?
lv
безопасность TOR Даркнет Поставил этот ваш тор браузер.

Тащемта я ожидал, что увижу взлет ракеты и некую заглавку с кнопками типа Drugs, Whores, Warez и там что еще по списку главных грехов даркнета...

А оно мне открыло модденный огнелис и DuckDuckGo.

Такого поворота событий я не ожидал.
SolderStain
безопасность некрософт гуголь Сообщив об уязвимости в безопасности веб-браузера Chrome, представители Microsoft проследили за ходом её устранения и указали Google на неправильную последовательность действий при работе с Open Source-проектом.

14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.

В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.

nixp.ru
SolderStain
безопасность security прекрасное В третий <> день <zerodayini> два раза был успешно атакован Microsoft Edge, а также продемонстрировано  <>два взлома VMWare Workstation, которые привели к выполнению кода за пределами виртуальной машины. Первый взлом был совершён <> в рамках атаки на Edge, а второй в виде отдельной демонстрации. Для организации выполнения кода на стороне хоста при совершении атаки внутри гостевой системы были вовлечены три 0-day уязвимости: уязвимость в ядре Windows, утечка инфорамции в VMware и использование неинициализированного буфера в VMware.

за пределами виртуальной машины, Карл! ну и про эффективность модели Security through obscurity и безопасной проприетари
Messerschmitt
интернет безопасность анонимность Я уверен, что автор книги "Искусство легального, анонимного и безопасного доступа к ресурсам Интернета" ничего принципиально нового не изложил, но я бы взглянул мельком. Покупать я её, конечно же, не буду. Подожду пока зальют на Флибусту или на торренты какие-нибудь. ozon.ru
Balancer
безопасность https mitm Планирую переводить сайты на https, но сейчас всё чаще попадаются провайдеры, перехватывающие трафик под свой сертификат. Хотелось бы в этом случае пользователю выдавать жирное предупреждение. Как это сделать, куда копать?
Dementy
безопасность Android 155 приложений с троянцем из Google Play скачало более 2 800 000 пользователей

Новость от 28 июля 2016 года

news.drweb.com

И таки по случаю вопрос.
Кто чем нынче своего Андрюху защищает?
Мне лично хватает XPrivacy и (в основном) здравого смысла.
SolderStain
Flash безопасность CVE-2016-4117. Уже и стебаться лень.
Опасность: Критическая
Описание: Уязвимость позволяет удаленному пользователю выполнить произвольный код на целевой системе.Уязвимость существует из-за ошибки проверки границ данных в модуле DeleteRangeTimelineOperation. Удаленный пользователь может с помощью специально сформированного .swf файла вызвать переполнение буфера и выполнить произвольный код на целевой системе.Примечание: уязвимость активно эксплуатируется в настоящее время.
SolderStain
FreeBSD безопасность CVE-2016-1887 — уязвимость в коде обработки аргументов системного вызова sendmsg() позволяет перезаписать содержимое больших областей памяти ядра, что может быть использовано локальным злоумышленником для получения прав root. Проблема проявляется в ветке FreeBSD 10.x.

CVE-2016-1886 — уязвимость в драйвере клавиатуры atkbd, связанная с переполнением буфера при обработке вызовов ioctl. Локальный злоумышленник может организовать выполнение кода в контексте ядра, отправив специально оформленный ioctl для изменения раскладки клавиатуры. Проблема проявляется во всех ветках FreeBSD. В качестве обходного пути блокирования уязвимости можно отключить изменение раскладки ("sysctl hw.kbd.keymap_restrict_change=4").
SolderStain
безопасность вирусы аэс reuters.com
собственно ничего очень страшного, зараженная сеть была изолирована от сети управления АЭС.
Единственное что — триппер 2010 года, есть подозрение что до своей помойки на предмет вирусов парни дошли с 2010 только сейчас.
provaton
вело безопасность совет Сегодня столкнулся с неразрешимой дорожной проблемой. Надо было проехать мимо заезда на путепровод (см рисунок). По основной дороге едет непрерывный поток машин на скорости 80-100. Заезд на путепровод очень плавный, машины перед ним не тормозят, пешеходных переходов там никаких нет. Я еду вдоль основной дороги на скорости где-то 30 и мне надо проехать прямо (на рисунке обозначено стрелочками). Но получается что моя траектория будет пересекаться с траекторией машин поворачивающих с крайнего правого и среднего рядов на путепровод, и есть большая вероятность что они не притормозят.

Есть ли тут вариант безопасно проехать или надо искать объезд?

SolderStain
Windows безопасность Поздравляем невольников майкрософт с прекращением деятельности очередного ботнета. 4 года фунциклировал dorkbot ботнет. Пожелаем же, друзья, чтобы заботливая МС разкрывала в два раза больше ботнетов и в два раза уменьшила средний срок их существавания. Слава роботам!
blogs.technet.com
mahury
безопасность а яндекс двухфакторную авторизацию поддерживает пока еще ограничено. яндекс диск её не хочет понимать. пичалька. и многие другие моменты тоже пока еще тупят. ждемс.
amrok
цитаты история безопасность Россия цензура Часто огромное значение имеет сопоставление информации. Могу привести хороший пример. Все знают, что сотовые операторы собирают метаданные, предоставляют их спецслужбам по запросу. Большую роль играет именно сопоставление данных. У спецслужб есть программы, которые выявляют людей, путешествующих вместе. Даже если люди не звонили друг другу, можно определить, что они встречались. Часто эти вещи даже более важны, чем прямое изъятие информации с компьютера или смартфона.

Сейчас люди стали больше внимания уделять не криптографии, а тому, как устроен обмен информацией, что может узнать внимательный наблюдатель, проанализировав информацию. Самое главное для человека, который хочет скрыть информацию, — это находиться ниже радара. А очень часто сам факт использования криптографических средств — это все равно что нарисовать на лбу большую мишень.

[…]

— С легкой руки господина Ашманова возник замечательный термин "информационный суверенитет". Если бы это слово обозначало то, что должно обозначать, это была бы возможность бесперебойного функционирования российского сегмента Интернета в том случае, если внезапно США нам его отключат. Но почему–то люди, которые употребляют это словосочетание, имеют в виду другое — возможность России вводить цензуру в пределах Рунета, ограничивать доступ к ресурсам, которые они считают вредными.

m.dp.ru