Видеть несправедливость и молчать – это значит, самому участвовать в ней

Подходит Вовочка к отцу и спрашивает:"Пап, почему у коровы вымя между задних ног, а у мамы сиси между рук?" ...

В ночные сборки Firefox добавлена поддержка Wayland
Sat, 17 Nov 2018 12:19:38 +0300

Amazon выпустил Corretto, дистрибутив OpenJDK с длительным сроком поддержки
Fri, 16 Nov 2018 21:56:19 +0300

Время поддержки Ubuntu 18.04 увеличено до 10 лет
Thu, 15 Nov 2018 22:28:55 +0300

Представлена новая плата Raspberry Pi 3 Model A+
Thu, 15 Nov 2018 12:31:03 +0300

Подведены итоги выборов технического совета Linux Foundation
Thu, 15 Nov 2018 09:18:07 +0300

Debian запрещает использование в пакетах секции со специфичными для вендоров патчами
Wed, 14 Nov 2018 09:03:34 +0300

В Chrome развивается API для создания полноценных пользовательских приложений
Mon, 12 Nov 2018 23:58:04 +0300

Mozilla тестирует в Firefox две новые возможности: Price Wise и Email Tabs
Mon, 12 Nov 2018 21:15:57 +0300

Red Hat перевёл проект Ceph под покровительство Linux Foundation
Mon, 12 Nov 2018 18:26:46 +0300

HTTP поверх протокола QUIC будет стандартизирован как HTTP/3
Mon, 12 Nov 2018 08:27:27 +0300

Опубликован стандарт параллельного программирования OpenMP 5.0
Fri, 09 Nov 2018 10:49:14 +0300

Свободный проект Manuel Bastioni Laboratory закрывается
Fri, 09 Nov 2018 10:11:44 +0300

Samsung опубликовал Linux-окружение для смартфонов и планшетов с адаптером DeX
Fri, 09 Nov 2018 08:33:53 +0300

GitHub преодолел рубеж в 100 млн репозиториев
Thu, 08 Nov 2018 19:13:13 +0300

В Firefox тестируют поддержку сохранения в облачные хранилища
Thu, 08 Nov 2018 11:32:23 +0300

Новости OPENNET
Новости

Чешский исследователь безопасности Владимир Смитка (Vladimír Smitka) провёл сканирование около 320 млн доменов и выявил, что на 390 тысячах сайтов доступны для загрузки каталоги ".git", которые по недосмотру выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать их для поиска уязвимостей), настройки, а также пароли и ключи доступа к СУБД, API и облачным сервисам.

Во многих случаях прямое обращение к каталогу ".git/" выдавало 403 ошибку, но ошибка была вызвана отсутствием index.html и при прямом обращении к файлам они прекрасно отдавались. Структура .git/ известна, поэтому содержимое репозитория можно по цепочке перебрать даже без наличия списка файлов в каталоге. Например, можно вначале оценить содержимое файлов /.git/HEAD, /.git/config, /.git/index, /.git/refs/heads/master и /.git/logs/HEAD, а затем перебрать все коммиты и объекты.

Сканирование всех доменов в сети заняло около 4 недель, после чего исследователь попытался предупредить владельцев проблемных сайтов, организовав рассылку по email.

Адреса электронной почты были взяты из файла /.git/logs/HEAD. Из 390 тысяч сайтов удалось определить emаil для 290 тысяч, из которых 90 тысяч email были уникальными. После отправки предупреждения 18 тысяч адресов оказались уже не действующими. В ответ на рассылку было получено почти 2000 писем с благодарностями, 30 сообщений о ложном срабатывании, два обвинения в спаме/мошенничестве и одна угроза с намерением пожаловаться в полицию.

Изучение содержимого каталога ".git" показало, что 96% (186205 из выборки в 194000) сайтов содержат код на языке PHP и по 1% на Node.js (2394), Java (1742), Ruby (1199) и Python (1499). Код на Perl был найден в 504 случаях. 42 тысячи сайтов работают под управлением Ubuntu, 12906 - Debian, 9350 - CentOS, 3204 - Windows Server, 378 - RHEL, 216 - FreeBSD, 170 - Fedora, 152 - Gentoo, 50 - SUSE. Среди систем управления контентом лидирует WordPress - 41139, Drupal - 2256, Joomla - 1615, Typo3 - 1258, Bitrix - 330.

0 0

НОВОСТИ: Выпуск cистемы управления контейнерной виртуализацией Docker 18. ... Sun, 18 Nov 2018 09:16:25 +0300

Представлен релиз инструментария для управления изолированными Linux-контейнерами Docker 18.09, предоставляющего высокоуровневый API для манипуляции контейнерами на уровне изоляции отдельных приложений. Docker позволяет, не заботясь о формировании начинки контейнера, запускать произвольные процессы в режиме изоляции и затем переносить и клонировать сформированные для данных процессов контейнеры на другие серверы, беря на себя всю работу по созданию, обслуживанию и сопровождению контейнеров. Инструментарий базируется на применении встроенных в ядро Linux штатных механизмов изоляции на основе пространств имён (namespaces) и групп управления (cgroups). Код Docker написан на языке Go и распространяется под лицензией Apache 2.0.

???????@Mail.ru Opera Firefox INFOBOX - хостинг Google Chrome