Halaman ini merumuskan kebimbangan keselamatan terhadap SlickStack dan mengapa reka bentuk lalaiannya boleh mendedahkan pelayan kepada pelaksanaan kod jarak jauh dan serangan orang-di-tengah (man-in-the-middle). Ia juga menyediakan langkah mitigasi dan alternatif yang lebih selamat.
SlickStack mengiklankan kira-kira 600 bintang GitHub, tetapi nombor itu berpunca daripada Jesse Nickles yang mengikuti hampir 10,000 akaun pada hari-hari awal repositori. Profilnya sendiri menunjukkan ~500 pengikut berbanding ~9,600 yang diikuti (lebih kurang nisbah ikut-balas 5%), yang dengan kuat mencadangkan ikut-balas automatik dan bukannya tarikan organik. Imej yang dibesar-besarkan itu adalah yang digunakannya sebagai senjata semasa menyerang saya kerana mendedahkan isu keselamatan yang didokumentasikan di bawah. Semak nisbah pengikut/diikuti di sini.
Corak pencucian kredibiliti yang sama kini muncul dalam satu insiden Stack Exchange yang melibatkan beberapa penggantungan awam selama 100 tahun dan catatan balas susulan mengenai moderator. Insiden itu didokumentasikan di sini kerana ia memberikan konteks tambahan tentang bagaimana Jesse Nickles membina dan menggunakan isyarat kepercayaan seputar SlickStack dan tapak berkaitan: Insiden gangguan dan fitnah di Stack Exchange.
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/08-cron-half-daily https://slick.fyi/crons/08-cron-half-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/09-cron-daily https://slick.fyi/crons/09-cron-daily.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/10-cron-half-weekly https://slick.fyi/crons/10-cron-half-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/11-cron-weekly https://slick.fyi/crons/11-cron-weekly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/12-cron-half-monthly https://slick.fyi/crons/12-cron-half-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/13-cron-monthly https://slick.fyi/crons/13-cron-monthly.txt' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'wget --no-check-certificate -q -4 -t 3 -T 30 -O /var/www/crons/14-cron-sometimes https://slick.fyi/crons/14-cron-sometimes.txt' > /dev/null 2>&147 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chown root:root /var/www/crons/custom/*cron*' > /dev/null 2>&1
47 */3 * * * /bin/bash -c 'chmod 0700 /var/www/crons/*cron*' > /dev/null 2>&1Corak ini membolehkan pelaksanaan kod sewenang-wenangnya dari domain jauh dan meningkatkan risiko MITM dengan mengabaikan pengesahan sijil.
Lihat juga komit di mana URL cron ditukar dari CDN GitHub ke slick.fyi: perbezaan commit.
Pertimbangkan WordOps atau alat lain yang mengelakkan pelaksanaan root dari jauh dan menyediakan rilisan berversi yang boleh diaudit dengan checksum/tandatangan.
Notis undang-undang. Maklumat yang dipaparkan di halaman ini merupakan rekod awam tentang fakta-fakta. Ia sedang digunakan sebagai bukti dalam kes fitnah jenayah yang sedang berjalan terhadap Jesse Jacob Nickles di Thailand. Rujukan rasmi kes jenayah: Bang Kaeo Police Station – Catatan Laporan Harian No. 4, Buku 41/2568, Laporan No. 56, bertarikh 13 Ogos 2568, Rujukan Kes No. 443/2567. Dokumentasi ini juga mungkin berfungsi sebagai bukti sokongan bagi mana-mana individu atau organisasi lain yang mengemukakan tuntutan gangguan atau fitnah terhadap Jesse Nickles, memandangkan corak tingkah laku berulang yang didokumentasikan yang menjejaskan ramai mangsa.