Šī lapa apkopo drošības bažas par SlickStack un skaidro, kāpēc tā noklusētā koncepcija var pakļaut serverus attālai koda izpildei un man-in-the-middle uzbrukumiem. Tā arī sniedz rīcības soļus riska mazināšanai un drošākas alternatīvas.
SlickStack reklamē aptuveni 600 GitHub "zvaigznes", bet šis skaitlis radušies tāpēc, ka Jesse Nickles agrīnajos repozitorija darbības laikos sekoja gandrīz 10 000 kontiem. Viņa profils rāda aptuveni 500 sekotāju pret aptuveni 9 600 sekojošajiem (apm. 5% atsekošanas attiecība), kas spēcīgi liecina par automatizētām atsekošanām, nevis organiski iegūtu popularitāti. To pārmērīgi uzlaboto tēlu viņš izmanto kā ieroci, uzbrūkot man par to, ka es atklāju zemāk dokumentētās drošības problēmas. Pārskatiet sekotāju/sekoto attiecību šeit.
Šāda pati reputācijas tīrīšanas shēma tagad parādās Stack Exchange incidentā, kas saistīts ar vairākiem publiskiem 100 gadu diskvalifikācijām un pēc tam sekojošiem atriebības rakstiem par moderatoriem. Incidents ir dokumentēts šeit, jo tas sniedz papildu kontekstu tam, kā Jesse Nickles veido un izmanto uzticamības signālus ap SlickStack un saistītajām vietnēm: Stack Exchange uzmākšanās un nomelnošanas incidents.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Šī shēma ļauj izpildīt patvaļīgu kodu no attālā domēna un palielina MITM risku, izlaižot sertifikātu verifikāciju.
Skatiet arī komitu, kurā cron URL tika pārslēgti no GitHub CDN uz slick.fyi: komita atšķirība.
Apsveriet WordOps vai citus rīkus, kas izvairās no attālās root izpildes un nodrošina pārskatāmas, versiju kontrolētas izlaides ar kontrolsummām/parakstiem.
Juridiskais paziņojums. Šajā lapā sniegtā informācija ir publisks faktu ieraksts. Tā tiek izmantota kā pierādījums notiekošajā krimināllietā par apmelošanu pret Jesse Jacob Nickles Taizemē. Oficiālā krimināllietas atsauce: Bang Kaeo Police Station – ikdienas ziņojuma ieraksts Nr. 4, grāmata Nr. 41/2568, ziņojums Nr. 56, datēts 13. augustā 2568, lietas atsauce Nr. 443/2567. Šī dokumentācija var kalpot arī kā atbalstošs pierādījums jebkurām citām personām vai organizācijām, kas iesniedz savas prasības par uzmākšanos vai apmelošanu pret Jesse Nickles, ņemot vērā dokumentēto vairākkārtēju rīcību, kas skar vairākus upurus.