ЯННП

Кто-то отредактировал их вики-страничку и поломал там ссылки? // Хотя да, важные страницы надо бы запрещать редактировать всем подряд.

Хакера зовут никита чураев, и это чудо просто впервые увидело вики:

http://rpmfusion.org/Configuration?action=info

его найдут и покарают

хакер уровня /b^W talks

чем?особенно если он из Казахстана или Белоруси

Сейчас посмотрел чуть внимательней — у rpmfusion эта вики вместо сайта, и по ходу считается оф.источником ссылок для подключения репозитория. Так что — какая уязвимость, такие и хакеры.

уже пофиксили, видимо Никита Михалков тьфу ты, Чураев таки привлек внимание к безопастности.

напихают ему в задницу несколько бит с острыми краями

его акк на гитхабе https://github.com/lamefun

заведёт новые акки и всё

Не смог http://nikitachuraev.blogspot.com/

а это точно тот? у того на гмыле почта lamefun.x0r

Пацаны сто лет спамят во все вики подряд и чувствуют себя хорошо.

Мораль сей басни такова - нечего анонимам доступ давать.

да уж и смешно и грустно

лол, что сказать...
Несмотря на то, что уровень школокулцхакера - всё правильно сделал
Большие дыры заслуживают впитывания тонны дерьма. Так им и надо, дуракам из rpmfusion

федорка, секурно

NikitaChuraev

Я думал ты пошутил, но там и вправду он.

чем?особенно если он из Казахстана или Белоруси

Можно подумать, что его покарают будь он в России.

Осталось адрес найти и привлечь родителей.

Я буду взламывать сейчас все Wiki

Уныло и не смешно. Хрумером и апостером туда сто лет как спамят.

Уныло и не смешно

Цели не ставил.

Хрумером и апостером

Что это?

Ну раз не знаешь о чем речь, то и петросянить не стоит.

Админы - полные идиоты

Я ничего не ломал, это даже взломом называть нельзя. Люди ведь скачивают, а тут - пожалуйста, заходи, кто хочешь, выкладывай, что хочешь. Их уже дефейсили, спамили, удаляли страницы. Как можно за шесть лет не понять, что любой может подменить ссылки загрузки на вирусы? Мои первые изменения не были откачены несколько часов. Да, я понимаю, что если бы по настоящему выложили вирус, тогда бы защитили страницы, но нельзя было сразу догадаться? Это как можно быть такими идиотами?

Мой багрепорт игнорировали 2 года: https://bugzilla.rpmfusion.org/show_bug.cgi?id=2630

Вот ещё багрепорт: https://bugzilla.rpmfusion.org/show_bug.cgi?id=862

Первая инструкция по проверке: «If you have newly installed the rpmfusion-*-release.rpm repo packages, and wish to verify its keys, check the fingerprints below.» И дураку понятно, что проверять надо ДО установки, а не после. Если пакет УЖЕ установлен, считай - заразился.

Вторая иструкция даёт только ложное чувство безопасности, потому что ключ на pgp.mit.edu можно выложить с любым емайлом, там его даже не проверяют, так что даже если ключ от rpmfusion-buildsys@lists.rpmfusion.org - это не значит, что ключ от RPM Fusion.

Респект.

Мда...

http://lists.rpmfusion.org/pipermail/rpmfusion-developers/2013-July/015359.html

If you haven't notice, rpmfusion.org have been defaced.

The wiki is open, so was not a security break.

Он, похоже, один из их команды, наверно, не администратор вики, но всё равно...

он из Казахстана или Белоруси

достаточное наказание, ящитаю.

plm что-ли с перепою?

Чего вы приципились к людям, нет у них денег на свой достоверный SSL сертификат для сервиса, вон у багтрекера генту тоже не было его сколько лет.

Так не в сертификате дело. Просто им наплевать на безопасность как таковую.

Сраные русские!

Судя по комментариям, он что-то маленько подправил, но всем было пофиг, ведь это не баг, это фича. Тогда он подправил еще, чтобы было заметно. Ну а в конце его немного сорвало, и пофиксили. Я могу его в чем-то понять, неприятно когда игнорируют. Потому-что по опыту знаю, что некоторые баги могут по полгода висеть, после того как сообщил. И даже предложил решение.

будь он в рашке легко, у нас уже есть соответствующие статьи в ГК.

Может, теперь им купят сертификат.

https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313#c8

ну так давно понятно, что эта ерунда от пионеров как deb-multimedia

Чтобы plm вдруг перестал рекомендовать Федору? Из-за какого-то RPMFusion? По моему он так делать не станет.

Респект. Они кажись, головой перестали думать.

Его походу через багу в рпмфьюжн поломали, давно на ЛОРе не видно, наверно его постиг такой когнитивный диссонанс, что он окончательно головой поехал.

да, столько ему не выпеть гы

нет у них денег на свой достоверный SSL сертификат для сервиса

https://www.startssl.com/?app=1

https://bugzilla.rpmfusion.org/show_bug.cgi?id=2630

Ты в этом багрепорте ничего не написал.

https://bugzilla.rpmfusion.org/show_bug.cgi?id=862

В этом получше.

Но всё равно непонятно, почему нельзя было в ирке или листе рассылки поднять вопрос по-человечески.

Пацаны, в чём подвох?

А чего у них багзилла тоже антрастед какая-то... Мне файерфокс не разрешает туда зайти.

Но всё равно непонятно, почему нельзя было в ирке или листе рассылки поднять вопрос по-человечески.

По поводу того, что надо бы закрыть некоторые страницы для редактирования всеми подряд, им уже намекали год назад: http://lists.rpmfusion.org/pipermail/rpmfusion-developers/2013-July/015359.html

Решето!

Ты в этом багрепорте ничего не написал.

Я тогда не знал, что они вообще могли оставить главные страницы вики открытыми для всех.

Я кроме этого бага писал про HTTPS в rpmfusion-users, сказали, «ой, спасибо за вопрос», а потом забыли напрочь, даже CACert или StartSSL не поставили.

https://lists.rpmfusion.org/pipermail/rpmfusion-users/2012-September/000004.html

В инструкуции по проверке было сказано pgp.mit.edu, да ещё и в rpmfusion-users сказали про него, я потом долго наивно думал, что если получу ключ с pgp.mit.edu, и E-Mail будет совпадать с <rpmfusion-buildsys@lists.rpmfusion.org>, всё ОК. Но в инструкции было сказано, как ключ получить, но не то, как его потом загрузить в RPM:

$ gpg2 -a --export "Key_ID" > rpmfusion-key $ rpm --import rpmfusion-key

Я решил зарегистрироваться, исправить (я уже тогда начал немного подозревать, что меня там ждёт, но до последнего момента не верил). Потом увидел, что могу редактировать все страницы, даже главную, страницы загрузки и проверки. Я сначала решил попробовать поменять ссылки загрузки на example.com, вдруг они - не дураки, сделали, чтобы можно было менять страницу, но не ставить ссылки вовне download1.rpmfusion.org. Оказалось - можно. Потом стал проверять, доказывает ли pgp.mit.edu вообще что-то, вот результат:

$ gpg2 --keyserver pgp.mit.edu --recv-keys 91522ABA
gpg: requesting key 91522ABA from hkp server pgp.mit.edu
gpg: key 91522ABA: public key "RPM Fusion malicious fake repository (not
really, this is just a test) <rpmfusion-buildsys@lists.rpmfusion.org>" imported

(попробуйте сами)

Отправил баг https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313

Чтобы баг побыстрее (и вообще) заметили, написал сверху страницы это (в 11:58 времени в истории вики):

http://rpmfusion.org/Configuration?action=recall&rev=75

За два с половиной часа (11:58 - 14:37) никто не заметил. Вынес сообщение ещё на главную страницу:

http://rpmfusion.org/RPM Fusion?action=recall&rev=190

Ещё полтора часа (14:37 - 15:55) не заметили, думал, что просто текст не замечают, решил сделать ещё заметнее:

http://rpmfusion.org/RPM Fusion?action=recall&rev=191 http://rpmfusion.org/Configuration?action=recall&rev=79

Этого уже наверно не надо было делать.

Страницы откатили только через два часа (15:55 - 18:08), но в баг ничего не написали, наверно, подумали, что это просто вандализм, а текст не прочитали. Потом создал http://rpmfusion.org/Insecure и направил все загрузки туда (18:35). Текст сделал короче, так не примут за простой вандализм.

http://rpmfusion.org/Configuration?action=recall&rev=82

Откатили через три часа (18:35 - 21:38) и ответили. Обругали. Теперь сожалеют, что приходится закрывать их открытый вики:

https://lists.rpmfusion.org/pipermail/rpmfusion-developers/2014-July/017138.html

В этом получше.

Не мой, вот мой: https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313

Но всё равно непонятно, почему нельзя было в ирке или листе рассылки поднять вопрос по-человечески.

Наверно, надо было, но эмоции пересилили после такого подрыва доверия.

Ещё я надеялся привлечь таким образом внимание как можно большего числа пользователей, не все же на ML подписывались, вдруг им сертификат кто-нибудь купит. Кажется, сработало, хотя я всё равно мало на это надеюсь:

https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313#c8

И вообще, так им и надо. За столько лет уже можно бы было подумать о безопасности своих пользователей. У Федоры довольно-таки хорошее отношение к безопасности загрузок: HTTPS на всём сайте: https://fedoraproject.org, и, естественно, ссылки на загрузку могут менять только админы, а RPM Fusion всё сводит на ноль, т.к. без RPM Fusion Федорой, думаю, мало кто пользуется.

Я бы понял, если бы сайт запустили только вчера. Им уже спамили несколько раз, а у них всё равно не хватило мозгов сообразить, что если кто угодно может спамить, тогда кто угодно может заменить загрузки ссылками на пакеты с малварью, и кто-нибудь может заразиться, пока подмену не заметят.

Если нет денег на сертификат, могли бы хотя бы попробовать попросить пожертвование, даже хороший сертификат (https://www.thawte.com/ssl/) с зелёной адресной строкой (её даже у Федоры нет) можно купить за $299 в год, где-то 10000 рублей, есть проекты, которые намного больше собирают, есть серитфикаты намного дешевле, например вариант того же Thawte подешевле, $149 в год (5000 руб), https://www.startssl.com/?app=2, $60 в год (2100 рублей), есть и вообще бесплатный https://www.startssl.com/?app=1. Почти у всех центров сертификации скидки, если покупать на несколько лет.

Во-первых, постмодерация сама по себе - это не уязвимость. Обычно по каждой правке страниц администраторам-модераторам приходят уведомления и они оперативно проверяют что и как.

Поэтому не надо заходиться криками на тему «ааа, у них открыты страницы на редактирование!!!». Это вполне работоспособная схема для не слишком популярных ресурсов. И достаточно часто владельцы таких ресурсов предпочитают пару раз в год откатывать спамерские правки, а не строить препятствия для людей, которые действительно хотят сделать что-то полезное.

Во-вторых, вот эти вот страшные «они» - это смешно. RPMFusion - это не корпорация зла. Проектом занимаются полтора энтузиаста, в лучшие годы было пять. Поэтому не надо катить на них бочку, обижаться или считать что тебя игнорируют «назло». Надо придти с толковым предложением, подробно и четко сформулировав проблему. Именно настоящую проблему, про сами ключи, а не про то, что в принципе вики-страницы можно редактировать.

Ну и в любом случае, «привлекать внимание» к проблеме в обход листов рассылки, IRC и личного контакта - дурной тон. Прибегать к экстренным мерам не опробовав нормальные глупо, и хотя бы попытаться подискутировать на эту тему надо было. Не катастрофа конечно, но серьезные люди так не делают.

P.S.

даже хороший сертификат (https://www.thawte.com/ssl/) с зелёной адресной строкой (её даже у Федоры нет)

В просвещенном open source сообществе официально подписанные сертификаты уже давно не котируются. Подписывающие организации несколько раз ловили на горячем и система себя дискредитировала. Так что самоподписанный сертификат - это как раз тру.

Во-первых, постмодерация сама по себе - это не уязвимость.

Я знаю.

Обычно по каждой правке страниц администраторам-модераторам приходят уведомления и они оперативно проверяют что и как.

Судя по тому, сколько мои правки держались, оперативности им определённо не хватает. И даже если бы все злонамерные правки убирали за 5 минут, всё равно кто-нибудь мог бы за эти 5 минут скачать вирус и заразиться.

Поэтому не надо заходиться криками на тему «ааа, у них открыты страницы на редактирование!!!».Это вполне работоспособная схема для не слишком популярных ресурсов. И достаточно часто владельцы таких ресурсов предпочитают пару раз в год откатывать спамерские правки, а не строить препятствия для людей, которые действительно хотят сделать что-то полезное.

Если открытие страниц на редактировение принесёт пользы больше, чем вреда, то да, согласен. Но оставлять открытыми главную страницу, загрузки и проверку ключей - просто не знаю, как это и называть. Человеку не из администраторов на эти страницы всё равно добавить полезного нечего, разве что опечатки исправить, ибо сами загрузки и ключи могут создать только администраторы репозитория. А вот выложил бы какой-нибудь «шутник» RPM со скриптом «rm -rf /home/*/Documents/*», вот тогда бы было дело. «Нашёл опечатку - пиши в багзиллу» vs. «нашёл опечатку - просто исправь, да и не забудь заменить наши официальные загрузки на малварь, чтобы кто-нибудь подцепил вирус, лишился данных / аккаунтов и т.д. и т.п.» - думаю, ответ очевиден.

Вообще, надо бы им предложить сделать отдельно сайт, отдельно вики, так, чтобы их нельзя было спутать. Сайт может быть на простом HTML и состоять из трёх страниц - главной, загрузок и проверки, со ссылкой на вики, где всё остальное.

Во-вторых, вот эти вот страшные «они» - это смешно. RPMFusion - это не корпорация зла. Проектом занимаются полтора энтузиаста, в лучшие годы было пять.

Отсутсвия мозгов это не оправдывает.

Надо придти с толковым предложением, подробно и четко сформулировав проблему.

https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313

Именно настоящую проблему, про сами ключи, а не про то, что в принципе вики-страницы можно редактировать.

Ключи-то у них есть, проблема как раз в открытости страниц, где эти ключи выложены.

Ну и в любом случае, «привлекать внимание» к проблеме в обход листов рассылки, IRC и личного контакта - дурной тон. Прибегать к экстренным мерам не опробовав нормальные глупо, и хотя бы попытаться подискутировать на эту тему надо было. Не катастрофа конечно, но серьезные люди так не делают.

Согласен, погорячился.

В просвещенном open source сообществе официально подписанные сертификаты уже давно не котируются. Подписывающие организации несколько раз ловили на горячем и система себя дискредитировала. Так что самоподписанный сертификат - это как раз тру.

Самоподписанный сертификат своими огромными предупрежденими распугает всех пользователей RPM Fusion, а с ним - и Федоры. Браузеры дают предупреждение не просто так, самоподписанный сертификат можно подменить при первоначальной загрузке.

RPM - говно.

Bug: https://bugzilla.rpmfusion.org/show_bug.cgi?id=3313

Это соединение является недоверенным

Вы попросили Firefox установить защищённое соединение с bugzilla.rpmfusion.org, но мы не можем гарантировать, что это соединение является защищённым.

Обычно, когда вы пытаетесь установить защищённое соединение, сайты предъявляют проверенный идентификатор, служащий доказательством того, что вы направляетесь в нужное место. Однако идентификатор этого сайта не может быть проверен.

Ну-ну

Самоподписанный сертификат своими огромными предупрежденими распугает всех пользователей RPM Fusion, а с ним - и Федоры.

Именно поэтому я говорю о просвещенном сообществе.

Браузеры дают предупреждение не просто так, самоподписанный сертификат можно подменить при первоначальной загрузке.

Ты себя ведешь как студент после первой лекции: ему только что открылось новое знание и он давай его везде и всюду применять называя всех остальных идиотами. После третьей лекции этот энтузиазм обычно проходит, потому что начинаешь понимать, что тема вообще-то глубже и не так однозначна, и есть разные подходы, различные ситуации и причины отходить от базового плана. И что первая вводная лекция в общем-то только начало разговора, а не ответ на все вопросы.

http://beta.slashdot.org/story/103241

Ребята не закрывают калитку, а вдруг кто ворвётся и сделает что-то плохое. Вы б закрыли её.
Ночью врываешься и всё ломаешь.
Я же говорил.