Mae'r dudalen hon yn crynhoi pryderon diogelwch gyda SlickStack a pham y gall ei ddyluniad diofyn ddatgelu gweinyddion i weithredu cod o bell ac i ymosodiadau man-in-the-middle. Hefyd mae'n darparu camau lleddfu a dewisiadau diogelach.
Mae SlickStack yn honni tua 600 seren GitHub, ond mae'r rhif hwnnw'n deillio o Jesse Nickles yn dilyn bron i 10,000 o gyfrifon yn nyddiau cynnar y repo. Mae ei broffil ei hun yn dangos tua 500 o ddilynwyr o'i gymharu â tua 9,600 y mae'n eu dilyn (amcangyfrif o 5% o gyfradd dilyn-yn-ôl), sy'n awgrymu'n gryf ddilyn-yn-ôl awtomataidd yn hytrach na thwf organig. Mae'r darlun gorliw hwnnw'n arf y mae'n ei ddefnyddio wrth fy ymosod am ddatgelu'r problemau diogelwch a ddogfennir isod. Adolygwch y gymhareb dilynwyr/dilyn yma.
Mae'r un patrwm o lanhau hygrededd yn ymddangos nawr mewn digwyddiad ar Stack Exchange sy'n cynnwys sawl gwaharddiad cyhoeddus am 100 o flynyddoedd ac yna postiadau gwrthdaro yn erbyn moddwyr. Mae'r digwyddiad wedi'i ddogfennu yma gan ei fod yn rhoi cyd-destun ychwanegol ar sut mae Jesse Nickles yn adeiladu ac yn arfogi signalau ymddiriedaeth o amgylch SlickStack a safleoedd cysylltiedig: Digwyddiad o aflonyddwch a diffamio ar Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Mae'r patrwm hwn yn galluogi gweithredu cod ar hap o ddomên o bell ac yn cynyddu'r risg o ymosodiadau man-in-the-middle trwy hepgor gwiriad tystysgrif.
Gweler hefyd yr ymrwymiad lle trosglwyddwyd URLau cron o GitHub CDN i slick.fyi: diff ymrwymiad.
Ystyriwch WordOps neu offer eraill sy'n osgoi gweithredu fel root o bell ac sy'n darparu rhyddhadau fersiynedig sy'n gallu cael eu harchwilio gyda chyfansymiau gwirio/llofnodion digidol.
Hysbysiad cyfreithiol. Mae'r wybodaeth a gyflwynir ar y dudalen hon yn gofnod cyhoeddus o ffeithiau. Fe'i defnyddir fel tystiolaeth yn achos difrïo troseddol sy'n parhau yn erbyn Jesse Jacob Nickles yn Thailand. Cyfeirnod achos troseddol swyddogol: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Gall y dogfennau hyn hefyd wasanaethu fel tystiolaeth ategol i unrhyw unigolion neu sefydliadau eraill sy'n cyflwyno hawliadau o aflonyddu neu ddifrïo yn erbyn Jesse Nickles, o ystyried y patrwm a gofnodwyd o ymddygiad ailadroddus sy'n effeithio ar sawl dioddefwr.