Рубрика «open source» - 248

в 11:11, , рубрики: Git, gitlab, issue, open source, информационная безопасность, Системы управления версиями

При эксплуатации системы GitLab CE на своем предприятии (имеющему большую филиальную структуру), была обнаружена уязвимость, которая может привести к получению полного доступа к аккаунту любого пользователя системы администраторами филиалов предприятия.

Проблема выявлена в подсистеме LDAP-аутентификации пользователей. Дело в том, что основной сущностью, с использованием которой происходит авторизация в GitLab является E-Mail пользователя. Однако при входе пользователей в GitLab с использованием LDAP процесс аутентификации/авторизации происходит следующим образом:

  • Пользователь вводит на странице Sign-In системы свои имя/пароль из службы каталогов LDAP (Active Directory).
  • GitLab, используя введенные данные аккаунта производит аутентификацию пользователя в LDAP.
  • В случае успешной аутентификации GitLab считывает из атрибута MAIL аутентифицированного аккаунта адрес электронной почты и авторизует по нему в GitLab без всяких дополнительных проверок

.
В результате, например, «нехороший» системный администратор «филиала A», может используя свои полномочия, к примеру в Active Directory, создать в своем OU «Филиал А» любого пользователя (например hackuser) и записать в его LDAP-атрибут MAIL адрес электронной почты пользователя любого другого филиала, на который даже не распространяются полномочия этого администратора. После этого «нехороший» администратор «Филиала А» может авторизоваться пользователем hackuser в системе GitLab, при этом в результате авторизации будет получен полный доступ к аккаунту пользователя, имеющего адрес электронной почты установленный «нехорошим» администратором для hackuser.
Читать полностью »

в 6:54, , рубрики: #isvcloudstory, azure, azure marketplace, java, jelastic, Microsoft Azure, open source, paas, Блог компании Microsoft

Мы продолжаем рассказывать о компаниях-разработчиках решений (ISV), использующих облако Microsoft Azure. В этом выпуске мы представляем историю о том, как это делает компания Jelastic, разрабатывающая DevOps PaaS с поддержкой продвинутой оркестрации Docker-контейнеров. Рассказывает Дмитрий Лазаренко, директор по бизнес-развитию Jelastic.

Как Jelastic разместили свою платформу на Microsoft Azure - 1

Добрый день!

Jelastic – это универсальная облачная платформа, совмещающая в себе возможность использования PaaS (платформы как сервиса) и IaaS (инфраструктуры как сервиса). С помощью Jelastic можно значительно упростить разработку облачных сервисов, настроив себе за несколько минут окружение на Java, Ruby, Python, PHP и/или Node.JS и разместив в этой среде проект, используя плагины для Eclipse, NetBeans или IDEA. В прошлом году, на флагманской конференции Microsoft /build, была анонсирована поддержка Jelastic PaaS на платформенных ресурсах Microsoft Azure. О том, как это было, к чему привело и как все работает с техническо-технологической стороны, читайте под катом.
Читать полностью »

в 7:05, , рубрики: github, laravel, open source, php, symfony, yii, Программирование, разработка

Open Source проекты с каждым днём набирают всё большие обороты, появляются новые, активно развиваются популярные.
Такие проекты как Bootstrap, Angular.js, Elasticsearch, Symfony Framework, Swift и многие другие привлекают новых разработчиков, их сообщество растёт. Всё это даёт огромный рост проектам, а самим разработчикам интересно поучаствовать в разработке чего-то, чем пользуется весь мир.

Я, как и многие другие программисты, не устоял и также время от времени участвую в разработке Open Source проектов, в основном на PHP.
Но когда я начинал, я столкнулся с проблемой — я не знал, как правильно организовать процесс «контрибьютинга», с чего начать, как сделать так, чтобы мой Pull Request рассмотрели и т.д.

Всем начинающим «контрибьютерам», которые столкнулись с похожим проблемами, добро пожаловать под кат.

Как правильно внести свою лепту в Open Source проект: простые подсказки - 1
Читать полностью »

в 7:09, , рубрики: BYOD, MDM, open source, Блог компании КРОК, ИБ, ит-инфраструктура, мобильные приложения, Мобильный веб, ОС, разработка мобильных приложений, Тестирование мобильных приложений, хардкод

Что творится в разработке корпоративных мобильных приложений - 1

В 2013 году рынок мобильной разработки для бизнеса оценивался в 245 миллионов долларов. В 2016 году наш рынок должен был составить $1 млрд, но, скорее всего, будет чуть ниже из-за ситуации с экономикой и из-за санкций. По некоторым оценкам, это примерно половина от общего рынка мобильной разработки.

Люди привыкают работать с планшетов и телефонов, привыкают иметь доступ к корпоративным сервисам в кафе, в самолёте, в машине — а работодатели хотят, чтобы сотрудники были на связи и за пределами офиса. Отсюда и такой рост направления.

Российский сегмент — это ещё и очень много «доработок напильником», потому что готовые решения под наш большой бизнес не подходят. Плюс море интеграции с зоопарками корпоративных систем, это тоже большая доля разработки. При этом сегодня собственных приложений не имеет и половина производственных компаний, ретейлеров и госорганизаций в России. Пример сложного приложения вот здесь.

Ниже — более технический обзор ситуации и ряд грабель. Начиная с таких очевидных, как тот факт, что если ты занимаешься атомной энергетикой, наверное, не стоит делать хранилище документов через Google.Drive.Читать полностью »

в 18:24, , рубрики: Chakra, ChakraCore, ECMAScript, edge, github, javascript, Microsoft Edge, open source, Блог компании Microsoft, Веб-разработка, метки: ,

В декабре 2015 года на конференции JSConf US мы объявили, что планируем открыть исходный код ключевых компонентов JavaScript-движка Chakra, работающего в Microsoft Edge. Сегодня мы рады сообщить, что мы выложили исходный код ChackraCore под MIT лицензией в соответствующем репозитарии на GitHub. В дальнейшем мы планируем продолжать разрабатывать ключевые компоненты Chakra в открытом виде.


Читать полностью »

в 6:06, , рубрики: Go, golang, open source, paypal, paypal api, платежные системы, разработка

Go-клиент для PayPal API - 1

Всем привет! Мы разрабатываем сервис для сбора, доставки и анализа логов, серверная часть которого написана на Go. В этой статье мы расскажем о проблеме, с которой мы столкнулись при подключении нашего проекта к платежной системе PayPal и о решении, которое мы разработали и успешно внедрили.
Читать полностью »

в 16:56, , рубрики: c++, IM, open source, tox, мессенджер, разработка, разработка под windows

Вы наверняка слышали о Tox. Напомню: это свободный защищенный p2p протокол для передачи сообщений, аудио и видео потоков между участниками Tox-сети. По сути — это альтернатива скайпу. Когда я впервые услышал о Tox, мой градус неприязни к скайпу был еще не слишком высок, но я уже начал поиск альтернатив. Мне очень понравилась идея, лежащая в основе Tox: мы пишем протокол со всеми нужными плюшками, а вы пишете к нему клиенты. Когда появились первые клиенты для сети Tox, я подумал: «черт возьми, я смогу сделать это не хуже!». Вобщем, подталкиваемый неприязнью к скайпу, я взялся за проект мессенджера своей мечты. Сейчас, когда в моем локальном hg-репозитории первому комиту исполнилось 19 месяцев и был сделан 414-й комит, я наконец то созрел до того, чтобы рассказать об этом клиенте широкой аудитории Хабра.

Isotoxin: свободный мультипротокольный мессенджер с поддержкой Tox - 1
Читать полностью »

в 11:16, , рубрики: open source, wikipedia, авторское право, Блог компании ua-hosting.company, копирайт, линукс, пиратство

image Когда дело касается авторских прав, в дискуссиях бесконечно звучит одна и та же мысль: «работа автора должна быть оплачена». Только вот заявление это, мягко говоря, идет вразрез с существованием Википедии и опытом владельцев трех миллиардов смартфонов, а, значит, вряд ли попадает в категорию истины.

Неоднократно повторяющиеся утверждения о том, что «работа автора должна быть оплачена», невольно наталкивают на не менее острый вопрос – а «как авторам будут оплачивать их труд»?

Причем данная логическая цепочка не только заводит обсуждение в тупик, она служит причиной роста явного отвращения, возникающего в результате тщетных попыток защититься от индустрии авторских прав, ведь 99,99% авторов музыкальных композиций ни цента не получили в качестве гонорара (правильнее было бы поинтересоваться, как автор треков или композитор сможет заработать на жизнь в условиях существования копирайта).

Тем не менее, вышеупомянутый вопрос и вытекающее из него предположение сводятся к тому, что цель монополии на авторское право — обеспечить гарантию оплаты труда авторов. На самом же деле, все не так. Более того, согласно открытой дискуссии на эту тему, ни одна культура, отрасль науки или технология не смогут возникнуть без монополии на авторское право (или вне данной индустрии).
Читать полностью »

в 9:03, , рубрики: c++, Dolphin Smalltalk, open source, pvs-studio, smalltalk, static code analysis, Блог компании PVS-Studio, Компиляторы, ооп, Смолток, статический анализ кода

Выходу Dolphin Smalltalk 7 под Open Sourсe посвящается - 1На днях компания ObjectArts полностью открыла исходники и выпустила язык, и среду разработки Dolphin Smalltalk под открытой лицензией MIT! Я не смог пройти мимо, не попробовав проверить этот проект с помощью анализатора кода PVS-Studio. Могу поздравить разработчиков с тем, что у них получилось создать код высокого качества. Мне не удалось найти значимых ошибок. Однако как всегда есть некоторое количество багов и пахнущего кода. Надеюсь благодаря этой статье код станет чуть лучше.

О проекте

Dolphin Smalltalk — это среда разработки на собственном диалекте Smalltalk для Windows. Ключевыми особенностями является тесная интеграция с нативными виджетами и подсистемами операционной системы, включая COM и ActiveX, и приятный глазу графический дизайн.

Долгое время Dolphin Smalltalk был доступен в двух вариантах: условно-бесплатная ограниченная версия (community edition) и платный пакет для профессиональной разработки. Последний давал доступ ко всем функциям, включая продвинутые редакторы и публикацию приложений в standalone режиме, однако стоил около четырехсот долларов.

С помощью PVS-Studio 6.00 были проверены открытые исходники Dolphin Smalltalk Virtual Machine. Далее представлены результаты проверки статическим анализатором. Несмотря на то, что проект DolphinVM очень маленький, в его коде всё равно встречаются подозрительные места.
Читать полностью »

в 8:29, , рубрики: bugbounty, ffmpeg, open source, security, безопасность, Блог компании Mail.Ru Group, информационная безопасность, Работа с видео

Опасное видео: как я нашёл уязвимость в видеохостингах и не умер через 7 дней - 1

Всем привет! В сегодняшнем посте я хочу рассказать об одной довольно интересной уязвимости, которую нашёл и зарепортил в bug bounty нескольких крупных компаний, за что получил солидное вознаграждение. Уязвимость заключается в следующем: если сформировать специальный видеофайл и загрузить его на сервер, то:

  • можно получить на нём SSRF;
  • можно получить local file read;
  • если пользователь скачает этот файл, то автоматически будет подвержен уязвимостям, даже если его не откроет: можно будет получить доступ к данным на компьютере пользователя и узнать его имя.

Читать полностью »

1...1020...247248249...260270...371
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js