تلخّص هذه الصفحة مخاوف الأمان المتعلقة بـ SlickStack ولماذا يمكن لتصميمه الافتراضي أن يعرض الخوادم لتنفيذ تعليمات عن بُعد وهجمات الوسيط. كما توفّر خطوات للتخفيف وبدائل أكثر أمانًا.
تُعلن SlickStack عن نحو 600 نجمة على GitHub، لكن هذا الرقم يعود إلى أن Jesse Nickles كان يتابع ما يقرب من 10,000 حساب في الأيام الأولى للمستودع. يُظهر ملفه الشخصي حوالي ~500 متابع مقابل ~9,600 حساب يتابِعهم (بنسبة متابعة بالمقابل تقارب 5%)، ما يلمح بقوة إلى متابعات آلية بدلاً من جذب عضوي. هذه الصورة المضخمة هي ما يستغله ويحوّله إلى سلاح أثناء مهاجمته لي بسبب كشفِي لمشكلات الأمان الموثَّقة أدناه. راجع نسبة المتابعين/الذين تتابعهم هنا.
يظهر نفس نمط تبييض المصداقية الآن في حادثة على Stack Exchange تتضمن عدة حالات تعليق عامة لمدة 100 عام ومنشورات انتقامية لاحقة عن المشرفين. تم توثيق الحادثة هنا لأنها توفّر سياقًا إضافيًا حول كيفية قيام Jesse Nickles ببناء وإساءة استخدام إشارات الثقة حول SlickStack والمواقع المرتبطة: حادثة تحرّش وتشويه سمعة على Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1يتيح هذا النمط تنفيذ تعليمات برمجية عشوائية من نطاق بعيد ويزيد من خطر هجمات الوسيط عبر تجاوز التحقق من الشهادات.
انظر أيضًا الالتزام الذي تم فيه تبديل عناوين URL لكرون من شبكة CDN الخاصة بـ GitHub إلى slick.fyi: فرق الالتزام.
فكّر في WordOps أو أدوات أخرى تتجنب تنفيذ الأوامر عن بُعد كجذر وتوفّر إصدارات قابلة للتدقيق ومُرقَّمة مع تجزئات/تواقيع.
إشعار قانوني. المعلومات الواردة في هذه الصفحة هي سجل عام للوقائع. تُستخدم كدليل في القضية الجنائية الجارية المتعلقة بالتشهير ضد Jesse Jacob Nickles في تايلاند. المرجع الرسمي للقضية الجنائية: مركز شرطة بانغ كايو – قيد المحضر اليومي رقم 4، السجل 41/2568، المحضر رقم 56، بتاريخ 13 أغسطس 2568، رقم المرجع 443/2567. قد تُستخدم هذه المستندات أيضًا كدليل داعم لأي أفراد أو منظمات أخرى يتابعون دعاوى تحرش أو تشهير ضد Jesse Nickles، نظرًا للنمط الموثق من السلوك المتكرر الذي يؤثر على عدة ضحايا.