X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> Российский программист спас JavaScript от массовых взломов
MissContent
MissContent
Topic Starter сообщение 30.6.2017, 10:40; Ответить: MissContent
Сообщение #1


По итогам изысканий российского программиста компания Npm Inc., занимающаяся развитием платформы Node.js для трансляции JavaScript в машинный код, запустила массовую смену паролей участников проекта. Накануне выяснилось, что около 52% аккаунтов в системе управления пакетами Node.js — npm — находятся под прямой или косвенной угрозой компрометации со стороны злоумышленников. Источником проблемы стала слабая защита самих аккаунтов, в частности, примитивные, интегрированные в код или ранее украденные пароли.

На данный момент Npm Inc. внедрены новые средства проверки паролей. Так что если пароль слишком слабый или совпадает с ранее утекшим, владельца попросят оперативно его сменить.

Заслуга россиянина

Российский программист, член технического комитета проекта Node.js Никита Сковорода исследовал утечки паролей к npm с мая 2017 г., хотя еще в 2015 г. обратил внимание на то, что беззаботные разработчики небрежно хранят свои пароли, оставляя их либо прямо в коде своих приложений, или в другом легкодоступном месте.



«Изначально я работал над совсем другой темой, — рассказал Сковорода. — Я хотел создать грубый сканер кода для всех пакетов npm, чтобы проверить, как часто и где используются API Node.js — для нужд самого проекта [Node.js]... Тогда же я обратил внимание на логины и пароли в самих пакетах. Я сообщил о проблеме в Npm Inc.». В ответ Npm Inc. добавили в свою платформу функцию, позволяющую выявлять логины и пароли внутри пакетов и отзывать их.

«Последняя проверка стартовала в начале мая на саммите разработчиков Node.js... в основном в свободное время, с использованием инструмента, который собирал опубликованные на GitHub регистрационные данные и автоматически сравнивал их с данными из npm», — пояснил разработчик. Впоследствии он усовершенствовал этот инструмент так, чтобы обнаруживать самые популярные пароли, такие как «123456» или «password», а затем добавил функцию сопоставления с базами паролей, ранее украденных из таких ресурсов как Adobe, Last.fm и т. д.

«Я занимался всем этим довольно неторопливо, в свободное время, пока в результате сканирования утекших паролей не обнаружил множество регистрационных данных к действующим аккаунтам [npm], — заявил Сковорода. — Изначально я ничего подобного не ожидал».

Удручающая картина

Всего Сковороде удалось найти 15,6 тыс. случаев действующих регистрационных данных для 15,5 тыс. аккаунтов. По данным разработчика, злоумышленник мог бы получить доступ на публикацию к 66,9 тыс. пакетам npm, что составляет примерно 13% всей экосистемы JavaScript npm. И это очень крупная проблема. Дело в том, что разработчики давно уже не загружают библиотеки JavaScript в свой код вручную: в основном они используют для этого npm и его систему управления зависимыми объектами. Это означает, что если разработчик загружает себе пакет A, то с ним он загружает и все зависимые объекты — пакеты B, C, D, E и так далее.

Таким образом, через зависимые объекты вредоносный код, попавший в один пакет, может распространиться на большое количество других. Тем самым, по подсчетам Сковороды, под угрозой оказываются около половины всех пакетов npm.

Дополнительные подробности

По словам Сковороды, он обнаружил среди утекших регистрационных данных 15 568 логинов и паролей, которые по-прежнему подходили к 15 495 активным аккаунтам. С большей их части (15 343) что-то публиковалось. Всего Скворода насчитал 125 665 аккаунтов в системе npm со слабыми или утекшими паролями, — 12% от общего числа учетных записей.

Среди них были 40 разработчиков, у каждого из которых насчитывалось более 10 млн скачиваний в месяц и 13 разработчиков с 50 млн скачиваний. Один разработчик с 20 млн скачиваний после принудительной смены пароля ограничился добавлением к старой комбинации восклицательного знака.

Среди уязвимых оказались аккаунты четырех разработчиков из верхней двадцатки. Один из них после принудительной смены пароля вернулся к прежнему, уже давно утекшему паролю (и снова получил принудительную смену).

1409 пользователей использовали в качестве пароля свой логин, 10% использовали пароли, которые уже применяли где-то в других местах.

«Нарушение базовых правил работы с паролями перестает быть личным делом пользователей, находящихся в тесно интегрированной системе, такой как npm, — отмечает Георгий Лагода, генеральный директор компании SEC-Consult Services. — Это тот самый случай, когда несоблюдение информационной гигиены подвергает серьезной опасности работу множества других людей. Жаль, что проблема была поднята только сейчас, определенно появилась она далеко не вчера».



--------------------
Место для Вашей рекламы!!!
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
zip
zip
сообщение 1.7.2017, 22:58; Ответить: zip
Сообщение #2


интересно, как ему живется с такой фамилией ?


--------------------
тут ничего не написано
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
demon932008
demon932008
сообщение 2.7.2017, 0:43; Ответить: demon932008
Сообщение #3


zip, Вы 10 лет ждали, что написать это сообщение ) ?

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.


--------------------
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Открыть тему
Тема закрыта
3 чел. читают эту тему (гостей: 3, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) Услуги по созданию и доработке скриптов PHP, MySQL, JavaScript, jQuery
Разработка сайтов и сервисов под-ключ
0 alexey 1129 24.11.2023, 14:46
автор: alexey
Горячая тема (нет новых ответов) Тема имеет прикрепленные файлыВеб-разработка (HTML5, CSS3, JavaScript, jQuery, Ajax, PHP)
56 qpPeW 44712 19.7.2023, 10:03
автор: qpPeW
Открытая тема (нет новых ответов) Нужен программист для доработок сайта на движке NetCat
0 imtecseo 2151 10.8.2022, 14:25
автор: imtecseo
Открытая тема (нет новых ответов) WEB программист под OpenCart
ищу - ТЗ в теме
3 Adriano_123 4980 3.8.2021, 18:33
автор: Adriano_123
Горячая тема (нет новых ответов) GoldenGoose - Крупная иностранная компания выходит на российский рынок wap-click!
150 Alex_Berger_sf 49575 23.7.2021, 14:22
автор: Alex_Berger


 



RSS Текстовая версия Сейчас: 19.3.2024, 13:03
Дизайн