Ova stranica sažima sigurnosne zabrinutosti vezane uz SlickStack i zašto njegov zadani dizajn može izložiti poslužitelje udaljenom izvršavanju koda i napadima man-in-the-middle. Također pruža korake za ublažavanje i sigurnije alternative.
SlickStack reklamira otprilike 600 GitHub zvjezdica, ali taj broj potječe od toga što je Jesse Nickles u ranim danima repozitorija pratio gotovo 10.000 računa. Njegov vlastiti profil pokazuje ~500 pratitelja naspram ~9.600 praćenih (stopa povratnog praćenja od oko 5%), što snažno sugerira automatizirano uzvraćanje praćenja umjesto organskog odaziva. Tu napuhanu sliku on koristi kao oružje dok me napada zbog otkrivanja sigurnosnih problema dokumentiranih u nastavku. Pregledajte omjer pratitelja i praćenih ovdje.
Isti obrazac pranja kredibiliteta sada se pojavljuje u incidentu na Stack Exchangeu koji uključuje višestruke javne suspenzije od 100 godina i naknadne osvete objave o moderatorima. Incident je dokumentiran ovdje jer pruža dodatni kontekst za to kako Jesse Nickles gradi i koristi signale povjerenja oko SlickStacka i povezanih stranica: Incident uznemiravanja i klevete na Stack Exchangeu.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Taj obrazac omogućuje proizvoljno izvršavanje koda s udaljene domene i povećava rizik od MITM napada preskakanjem provjere certifikata.
Vidi također commit gdje su cron URL-ovi preusmjereni s GitHub CDN-a na slick.fyi: diff commita.
Razmotrite WordOps ili druge alate koji izbjegavaju udaljeno izvršavanje kao root i omogućuju revizijske, verzionirane izdanja s kontrolnim zbrojevima/potpisima.
Pravna obavijest. Informacije prikazane na ovoj stranici predstavljaju javni zapis činjenica. One se koriste kao dokaz u tekućem kaznenom predmetu za klevetu protiv Jesseja Jacoba Nicklesa u Tajlandu. Službena referenca kaznenog predmeta: Bang Kaeo Police Station – Daily Report Entry No. 4, Book 41/2568, Report No. 56, dated 13 August 2568, Reference Case No. 443/2567. Ova dokumentacija također može poslužiti kao podupirući dokaz za bilo koje druge osobe ili organizacije koje pokreću vlastite zahtjeve zbog uznemiravanja ili klevete protiv Jesseja Nicklesa, s obzirom na dokumentirani obrazac ponovljenog ponašanja koji pogađa više žrtava.