Телеграмм чат группы Fsharp

14:29пожаловаться #1

AH

Подскажите кто знает, я тут нашел что приватный нугет можно атаковать создав с таким же айднишником публичный пакет. а paket такой проблемы не имеет? Есть ли там гарантия что в каком порядке сорсы указал в таком и резолв идет?

хм, любопытно. Кстати за пакет не знаю, но в нугет локфайлах (которые хоть и дерьмо) хранится sha пакета и там не получится подменить только ID

15:25пожаловаться #2

AH

если ресторишь по лок файлу строго, то он будет нахуй посылать с неправильным хешом

15:25пожаловаться #3

AH

в пакетовском лок файле хеша нет, но там обязательно указание сорцов

15:26пожаловаться #4

AH

то есть тебе надо подменить пакет с тем же айдишником в том же фиде. Короче кажется сомнительно

15:27пожаловаться #5

VS

Ayrat Hudaygulov

хм, любопытно. Кстати за пакет не знаю, но в нугет локфайлах (которые хоть и дерьмо) хранится sha пакета и там не получится подменить только ID

ну тот же пакет ты не подменишь, но при апдейте пакета может скачаться не с того фида

15:37пожаловаться #6

AH

ну тот же пакет ты не подменишь, но при апдейте пакета может скачаться не с того фида

но если они не прописаны, то как они скачаются?

Researcher hacks over 35 tech firms in novel supply chain attack

15:49пожаловаться #7

A

Anatoly in F# Chat

Ayrat Hudaygulov

но если они не прописаны, то как они скачаются?

https://www.bleepingcomputer.com/news/security/researcher-hacks-over-35-tech-firms-in-novel-supply-chain-attack/ вот описание атаки

BleepingComputer

A researcher managed to hack systems of over 35 major tech companies including Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Tesla, and Uber in a novel software supply chain attack. For his ethical hacking research efforts, the researcher has been awarded over $130,000 in bug bounties.

15:50пожаловаться #8

AH

Researcher hacks over 35 tech firms in novel supply chain attack

Anatoly

https://www.bleepingcomputer.com/news/security/researcher-hacks-over-35-tech-firms-in-novel-supply-chain-attack/ вот описание атаки

BleepingComputer

A researcher managed to hack systems of over 35 major tech companies including Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Tesla, and Uber in a novel software supply chain attack. For his ethical hacking research efforts, the researcher has been awarded over $130,000 in bug bounties.

у нас недавно брифинг был по этой фигне. Дичь конечно

15:51пожаловаться #9

AH

щас гайки по всем фронтам закручивают

15:51пожаловаться #10

AH

еще сильнее

15:51пожаловаться #11

VS

Ayrat Hudaygulov

но если они не прописаны, то как они скачаются?

прописано два фида, нугет смотрит - просят скачать новую версию и качает параллельно с обоих и выбирает тот который раньше ответил

16:17пожаловаться #12

VS

https://github.com/NuGet/Home/issues/5611

GitHub

Feed priority when same package is available in multiple feeds · Issue #5611 · NuGet/Home

Applies to all versions of NuGet.exe (v3.3.0 to 4.3.0 RC). When a package with same id and version exists in different feeds I always assumed that the package source priority is taken from the orde...

16:18пожаловаться #13

AH

прописано два фида, нугет смотрит - просят скачать новую версию и качает параллельно с обоих и выбирает тот который раньше ответил

ну вот короче нугет с хешами более надежный

16:18пожаловаться #14

VS

так хэш от чего берется и в какой момент?

16:19пожаловаться #15

AH

так хэш от чего берется и в какой момент?

хеш содержимого нугета
ты его пишешь в лок файл при создании лок файла

При ресторе если скачиваемый файл по контенту не совпадает с тем что записано, реджектишь рестор

16:21пожаловаться #16

VS

ну вот, при апдейте же нету никаких хэшей, он скачивает просто пакет откуда может, хэши у каждого сорса свои получаются

16:21пожаловаться #17

AH

а. при апдейте версии да, но тут сорян бро, замена версии же