LINUX.ORG.RU
ФорумTalks

Git-сервер РНР [не]был скомпрометирован

 ,


1

1

Сообщается, что 28 числа этого месяца в репозиторий php-src было добавлено два вредоносных коммита, сделанных якобы от лица Расмуса Лердорфа и Никты Попова.

Также было принято решение о переводе разработки на гитхаб, так как поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

Для Ъ: https://news-web.php.net/php.internals/113838

UPD0:

Разработчики считают, что сервер таки не был скомпрометирован, а была утечки базы данных пользователей master.php.net.

Для Ъ: https://externals.io/message/113981.

★★★

Последнее исправление: fernandos (всего исправлений: 1)

вот и я говорю, доколе мучиться с этими паролями?!

надо сделать как: заходишь на сайт, вводишь e-mail, на него приходит одноразовая ссылка с уникальным токеном для авторизации. переходишь по ней и ты авторизован на сайте, сервисе и т.д.

всё, не надо никаких паролей. сохранность аккаунта ложится целиком на плечи сервиса авторизации, будь то почта, которую можно держать в кладовке у себя дома, или ещё какой жаббер.

а то понапридумывают пароли, которые надо сгенерировать, надо запомнить, записать, а потом ещё костыли к этому прикручивают 3д-секюр через смс или ещё какую ерунду. блин.

сколько можно-то, а!

Spoofing ★★★★★
()
Ответ на: комментарий от Spoofing

Мыло — нет. Джаббер или матрикс — возможно, но пароль таки удобней да и надёжней.

которые надо сгенерировать, надо запомнить, записать

Менеджер паролей.

fernandos ★★★
() автор топика
Ответ на: комментарий от fernandos

Мыло — нет. Джаббер или матрикс — возможно

на усмотрение разработчика сайта, прикрутить отправку токена на мыло самое элементарное и делается зачастую нативными средствами ЯПа.

Менеджер паролей.

нет, нет и нет, когда устройств дофига. знаешь какой у меня сейчас менеджер паролей? фотография на смартфоне: монитор, на котором вывод # cat пароли.txt

ведь переключаясь между различными девайсами, то там, то сям надо вводить пароль. как эти пароли таскать между девайсами, используя менеджер паролей? да и зачем.

а так ввёл свою почту, перешёл по ссылке, и ты авторизован по этому токену на любом устройстве.

Spoofing ★★★★★
()
Ответ на: комментарий от Spoofing

знаешь какой у меня сейчас менеджер паролей?

У меня, например, это Microsoft Edge и мне норм.

system-root ★★★★★
()
Ответ на: комментарий от karton1

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

ну или @gmail.com если домохозяйка. при таком раскладе сохранность учётной записи уже ложится на плечи Google, а не васянского сайта, хранящего пароли в sqlite3 в открытом виде.

к этому был весь посыл.

разработчики PHP приняли решение доверить сохранность проекта Github, а не каким-то своим серверам, на которые они давно клали болт. вот.

Spoofing ★★★★★
()
Ответ на: комментарий от karton1

А пароль от почты?)

2FA завязанный на Microsoft Authenticator который не открыть без Face ID решает и эту проблему.

Слишком много слов Microsoft, кстати.

system-root ★★★★★
()
Ответ на: комментарий от Spoofing

нет, нет и нет, когда устройств дофига. знаешь какой у меня сейчас менеджер паролей? фотография на смартфоне: монитор, на котором вывод # cat пароли.txt

Ну так кто вам виноват, что вы нормальным-то не пользуетесь? Советую bitwarden.

как эти пароли таскать между девайсами, используя менеджер паролей

Синхронизация.

fernandos ★★★
() автор топика
Ответ на: комментарий от Spoofing

почта в кладовке у тебя дома.

Ню ню, возиться еще с настройкой почты

Давно уже придумана двухфакторная аутентификация, для нее даже связь не нужна

karton1 ★★★★★
()

While previously write access to repositories was handled through our home-grown karma system, you will now need to be part of the php organization on GitHub.

Обколются своим php, потом карму чистят.

d_a ★★★★★
()
Ответ на: комментарий от Spoofing

ведь переключаясь между различными девайсами, то там, то сям надо вводить пароль. как эти пароли таскать между девайсами, используя менеджер паролей? да и зачем.

Современные менеджеры паролей прекрасно умеют в синхронизацию на всех актуальных платформах. Как проприетарные в облаке, так и opensource self-hosted.

xxblx ★★★
()
Последнее исправление: xxblx (всего исправлений: 1)
Ответ на: комментарий от Spoofing

заходишь на сайт, вводишь e-mail, на него приходит одноразовая ссылка с уникальным токеном для авторизации

Ты спек на email читал? перечитай кусок про интервалы между попытками доставки

upcFrost ★★★★★
()
Ответ на: комментарий от Spoofing

ведь переключаясь между различными девайсами, то там, то сям надо вводить пароль. как эти пароли таскать между девайсами, используя менеджер паролей? да и зачем.

KeepassXC + syncthing. Синхронизирую базу паролей между своими компами (включая рабочие), телефоном и VPS, брат жив.

theNamelessOne ★★★★★
()
Последнее исправление: theNamelessOne (всего исправлений: 1)

While investigation is still underway, we have decided that maintaining our own git infrastructure is an unnecessary security risk, and that we will discontinue the git.php.net server. Instead, the repositories on GitHub, which were previously only mirrors, will become canonical

Странно, что местные сумашедние ещё не увидели тут теории заговора.

theNamelessOne ★★★★★
()

Пока петух не клюнет, люди не начнут шевелиться и переводить проекты в места, которые администрируются профессионалами. Вот ещё одни наконец пришли к верному решению.

Интересно, а есть ли публично доступные Git сервисы, которые поддерживаются не корпорациями вроде Microsoft, Atlassian, RedHat, а не публичной компанией, которая на этом деньги зарабатывает?

Irben ★★★
()
Ответ на: комментарий от Spoofing

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

Подломили домашний сервачок через дырявый роутер и всё. Всё, что нажито непосильным трудом.

Nervous ★★★★★
()

LMAO от этой PHP-помойки.

так как поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

Ну правильно, своя инфра-то на PHP.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от Spoofing

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

Эх, как жаль, что ты не совсем понимаешь как работает почта. Твое письмо может идти и идет по нешифрованным каналам. В чем сложности его прочитать?

int13h ★★★★★
()
Ответ на: комментарий от Spoofing

надо сделать как: заходишь на сайт, вводишь e-mail

А емайл только по паспорту на госуслугах, да Спуф? Совсем работы у тебя нету?

ЗЫ

И не будет, потому что ты не знаешь как email работает.

peregrine ★★★★★
()
Последнее исправление: peregrine (всего исправлений: 1)
Ответ на: комментарий от fernandos

Ну давай почитаем, аргументацию Oracle почему они переходят на GitHub:

https://www.opennet.ru/opennews/art.shtml?num=53815

Ожидается, что миграция позволит повысить производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозитории изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих процессов. Кроме того, применение Git и GitHub сделает проект более привлекательным для новичков и разработчиков, привыкших к Git.

Ни слова о том, что:

поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

EXL ★★★★★
()
Ответ на: комментарий от EXL

TL;DR: Java выбирает GitHub из-за бесплатных галерщиков и бетатестеров, PHP выбирает GitHub потому что не может привести свою PHP-инфраструктуру в порядок и очистить её от дыр.

Как говорится две большие разницы.

EXL ★★★★★
()
Ответ на: комментарий от int13h

Твое письмо может идти и идет по нешифрованным каналам.

Всё ждал, кто же первый напишет об этом Спуфу.

wandrien ★★
()
Ответ на: комментарий от wandrien

Пал один из последних оплотов Mercurial (Hg)

Из значимых кажется только Firefox да Nginx остались.

SDL2 недавно тоже на GitHub перешли, отправив Mercurial/Hg на помойку.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от Spoofing

А почта у тебя абсолютно непробиваема, да?

Но, вообще, поздравляю, ты изобрел федерацию и радиус. Они хорошие, но тоже не панацея.

CaveRat ★★
()
Последнее исправление: CaveRat (всего исправлений: 1)
Ответ на: комментарий от EXL

производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозитории изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих процессов. Кроме того, применение Git и GitHub сделает проект более привлекательным для новичков и разработчиков, привыкших к Git

Ну и что из этого нельзя достичь своим гитлаб-сервером?

fernandos ★★★
() автор топика
Ответ на: комментарий от EXL

PHP-инфраструктуру в порядок и очистить её от дыр

Мимо.

but everything points towards a compromise of the git.php.net server

Это гитвеб, он написан на перле.

fernandos ★★★
() автор топика
Ответ на: комментарий от fernandos

Ну и что из этого нельзя достичь своим гитлаб-сервером?

Я же написал: на бесплатном GitLab-сервере у тебя не будет бесплатных галерщиков и бетатестеров, с удовольствием ковыряющихся в Issue и отправляющих кучу PRs просто чтобы быть в списках коммитеров таких крупных и именитых проектов.

Мимо. Это гитвеб, он написан на перле.

По твоей ссылке я вижу:

We don’t yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).

Так что где у них была дырень, в GitWeb или в каком-то рядом хостящимся PHP-проекте вроде https://www.php.net/docs.php, через который похакали репозиторий – неизвестно.

EXL ★★★★★
()

Теперь даже если разработчики PHP сделают официальное заявление, к нему тоже следует отнестись скептически. А ещё неизвестно к чему именно получили доступ злоумышленники и ЕДИНСТВЕННЫЙ раз ли они действовали подобным образом. Может быть уже куча коммитов вроде этих в кодовой базе существует, но которые вовремя не заметили. Или публичная кодовая база чиста, а сервер лет 5 подряд отдавал всем репозиторий со встроенным backdoor’ом.

В любом случае, это ещё один гвоздь в гроб PHP-помойки. Теперь чтобы доверять запуску php на своём сервере требуется проводить аудит всего исходного кода.

С другой стороны – хорошо что разработчки PHP не скрыли этот инцидент, а во всеуслышание заявили о том как жидко обосрались.

EXL ★★★★★
()
Ответ на: комментарий от EXL

Я же написал: на бесплатном GitLab-сервере у тебя не будет бесплатных галерщиков и бетатестеров, с удовольствием ковыряющихся в Issue и отправляющих кучу PRs просто чтобы быть в списках коммитеров таких крупных и именитых проектов

Будут. В гномовском гитлабе можно спокойно войти через гитхаб/гитлаб, вот и всё.

fernandos ★★★
() автор топика
Ответ на: комментарий от EXL

А ещё неизвестно к чему именно получили доступ злоумышленники и ЕДИНСТВЕННЫЙ раз ли они действовали подобным образом. Может быть уже куча коммитов вроде этих в кодовой базе существует, но которые вовремя не заметили. Или публичная кодовая база чиста, а сервер лет 5 подряд отдавал всем репозиторий со встроенным backdoor’ом.

Как хорошо, что код открыт.

We’re reviewing the repositories for any corruption beyond the two referenced commits. Please contact security@php.net if you notice anything.

В любом случае, это ещё один гвоздь в гроб PHP-помойки

Какой ещё гроб? Пиэйчпи далеко до красивого языка, но гроба пока нет.

Теперь чтобы доверять запуску php на своём сервере требуется проводить аудит всего исходного кода.

А когда кернел.орг взломали, вы проводили аудит всего ядра?

Давайте посмотрим на ситуацию объективно: как взломщикам удалось протолкнуть коммиты? У коммитов не было подписи?

fernandos ★★★
() автор топика
Ответ на: комментарий от fernandos

А когда кернел.орг взломали, вы проводили аудит всего ядра?

Это про случай 10-летней давности? Сколько воды с тех пор утекло и сколько аудитов действительно было проведено.

Давайте посмотрим на ситуацию объективно: как взломщикам удалось протолкнуть коммиты? У коммитов не было подписи?

Тут – https://github.com/php/php-src/commits/master не вижу никаких подписей у тех PHP-разработчиков, которые были скомпрометированы.

EXL ★★★★★
()
Последнее исправление: EXL (всего исправлений: 1)
Ответ на: комментарий от EXL

Это про случай 10-летней давности? Сколько воды с тех пор утекло и сколько аудитов действительно было проведено.

А сразу после взлома, что было? Тоже бегали, исправляли, чем и эти будут заниматься.

Тут – https://github.com/php/php-src/commits/master не вижу никаких подписей.

Я вижу, но не у всех, что плохо.

fernandos ★★★
() автор топика
Ответ на: комментарий от Spoofing

И взломам мыло получаем доступ ко всему. Замечательное решение.

hummer
()
Ответ на: комментарий от fernandos

У коммитов не было подписи?

Извиняюсь, но о каких подписях речь? Разве гитовский "Signed-off-by: " это не просто строчка текста в описании, лишь постулирующая причастность указанного человека к коду коммита, чисто для юристов, не имеющая никакой технической защиты под собой?

zendrz ★★
()
Ответ на: комментарий от fernandos

А сразу после взлома, что было? Тоже бегали, исправляли, чем и эти будут заниматься.

Linux-way: нас похакали! Выводим сайты в off-line на целый месяц, проводим тщательный аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайн, сотрудничаем с ФБР и в конце-концов ловим того хакера, от которого получаем ещё больше информации о взломе: https://habr.com/ru/post/357552/

PHP-way: нас похакали))) А х.з. как это случилось и где дырка))0 Я в админстве не особо силён) Короч на GitHub создал реп, официальная разработка теперь там будет, присоединяйтесь)))0

Вот поэтому и PHP-помойка.

EXL ★★★★★
()
Ответ на: комментарий от EXL

PHP-way: нас похакали))) А х.з. как это случилось и где дырка))0 Я в админстве не особо силён) Короч на GitHub создал реп, официальная разработка теперь там будет, присоединяйтесь)))0

Нет.

PHP-way: мы обнаружили коммиты, которые добавляют вредоносный код, мы понятия не имеем, в каком месте нас взломали, возможно, это гит-сервер, нам такого больше не надо, переходим на гитхаб.

Кстати, у опендждк подписанных коммитов (свежих) ещё меньше. В пиэйчпи же сейчас обсуждают подписи коммитов.

fernandos ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.