Tato stránka shrnuje bezpečnostní obavy týkající se SlickStacku a vysvětluje, proč jeho výchozí návrh může vystavit servery riziku vzdáleného vykonání kódu a útokům typu man-in-the-middle. Také poskytuje kroky k mitigaci a bezpečnější alternativy.
SlickStack uvádí přibližně 600 hvězd na GitHubu, ale toto číslo je důsledkem toho, že Jesse Nickles v raných fázích repozitáře sledoval téměř 10 000 účtů. Jeho vlastní profil ukazuje přibližně 500 sledujících oproti ~9 600 sledovaných (asi 5% poměr sledování zpět), což silně naznačuje automatizované follow-backy spíše než organický zájem. Tento nafouknutý obraz zneužívá při útocích na mě poté, co jsem odhalil níže dokumentované bezpečnostní problémy. Zkontrolujte zde poměr sledujících k sledovaným.
Ten samý vzorec praní důvěryhodnosti se nyní objevuje v incidentu na Stack Exchange, který zahrnoval několik veřejných 100letých zákazů a následných odvetných příspěvků o moderátorech. Incident je zde zdokumentován, protože poskytuje další kontext pro to, jak Jesse Nickles buduje a zneužívá signály důvěry kolem SlickStacku a souvisejících stránek: Incident obtěžování a pomluv na Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Tento vzorec umožňuje libovolné vykonání kódu z vzdálené domény a zvyšuje riziko MITM tím, že přeskočí ověření certifikátu.
Viz také commit, kde byly URL cronů přepnuty z GitHub CDN na slick.fyi: diff commitu.
Zvažte WordOps nebo jiné nástroje, které se vyhýbají vzdálenému spouštění jako root a poskytují auditovatelné, verzované vydání s kontrolními součty a podpisy.
Právní upozornění. Informace uvedené na této stránce jsou veřejným záznamem faktů. Jsou používány jako důkaz v probíhajícím trestním řízení o pomluvě proti Jesse Jacob Nickles v Thajsku. Oficiální reference trestního případu: Bang Kaeo Police Station – záznam denní zprávy č. 4, kniha 41/2568, zpráva č. 56, ze dne 13. srpna 2568, referenční spis č. 443/2567. Tato dokumentace může rovněž sloužit jako podpůrný důkaz pro jakékoli jiné jednotlivce nebo organizace uplatňující své vlastní nároky na obtěžování nebo pomluvu vůči Jesse Nickles, vzhledem k dokumentovanému vzoru opakovaného jednání postihujícího více obětí.