kika | SVN exploit

You're viewing

kika's journal
Create a Dreamwidth Account Learn More

Reload page in style: site light

По-моему в этой истории самое интересное - не сам эксплойт (он-то как раз довольно скучен, в смысле hack value) а тот факт, что в такой массе (крупных!) компаний совершенно отсутствует понятие релиз-менеджмента. Делают просто svn co в корень сайта и понеслось.
Фактическая statelessность HTTP протокола сыграла с индустрией злую шутку in da long run.

Flat | Top-Level Comments Only

From:

itman.livejournal.com

Совсем-совсем нет бинарников?

From:

dmzlj.livejournal.com

А чего бы картинки не положить в SVN? Их, поди, компилировать не надо.

From:

anatolix.livejournal.com

Угу. Они еще и не меняются при каждом релизе - не будет терабайтных историй изменения файла за 10 лет как с бинарником.

From:

dmzlj.livejournal.com

Я еще думаю, что проекты с гигабайтами файлов и терабайтами изменений вообще видели очень немногие люди из тех, что тут яростно обличают и наполняются ЧСВ.

Я просто представляю, сперли сто мегабайт x-script, и не знают от счастья, что с ним сделать. Распечатать и жопу вытирать --- слишком жестко, кокс нюхать --- нету денег, ибо нищеброды. Уязвимости разве искать --- ну, если времени свободного много, а судя по всему так и есть --- то почему нет. Пусть ищут.

From:

anatolix.livejournal.com

Ну x-script он руками писанный там не бывает терабайтов, а вот бинарник поиска это 50M например как с куста(там внутри прямо в коде все наши словари в виде здоровенного сгенеренного FSM), если их класть в svn то через год его там будут гигабайты уже.