• Охота на вредоносные npm-пакеты
    0

    РосПакетНадзор? Не, спасибо, нам одного одобренного пакета хватило.
    Хотите помочь в решении — присоединяйтесь, пишите тесты, рассылайте пулл-реквесты в крупные проекты, добавляющие защиту. Не верите, что такое возможно — предъявите способ обойти paraquire.

  • Paraquire, или Перестаньте доверять библиотекам
    0

    Во-первых, судя по этой статье, поддержки import ждать не скоро. Во-вторых, судя по ней же, paraquire скорее всего просто не сможет загрузить зависимость с import. Поэтому просто возникнет новый класс библиотек, которые нельзя загнать под paraquire

  • Paraquire, или Перестаньте доверять библиотекам
    0
    Спасибо, посмотрел. Как я понимаю, эта штука — она для всего процесса? Т.е. порезать в правах только конкретную библиотеку нельзя, не шаманя с многопроцессностью?
    В любом случае, выглядит годно. Можно чуть более подробный мануал по тому, как тремя командами загнать приложуху в chroot jail?
  • Paraquire, или Перестаньте доверять библиотекам
    0
    Гарантий я дать, конечно, не могу, но истинный параноик не будет подключать paraquire через node_modules, а аккуратно прибьёт его гвоздями к проекту. Или хотя бы зафиксирует версию.
    Что же касательно самой защиты песочницы, то тут я тоже не абсолют, но код невелик и открыт для аудита. Простенькие трюки вроде (0,eval)(code) не проходят.

    Да, разграничение доступа к fs — более чем актуально.

    Про патчинг require в одном месте уже идёт обсуждение: github.com/nickkolok/paraquire/issues/1
  • Paraquire, или Перестаньте доверять библиотекам
    0
    Спасибо за наводку, добавил в статью.
  • Paraquire, или Перестаньте доверять библиотекам
    0
    Вы правы, ограничение доступа в ФС и сети по принципу вкл/выкл — это только первый шаг. Не думаю, что так сложно написать доверенный модуль, который бы разрешал доступ к ФС только на чтение/запись и/или в конкретные каталоги. Я не берусь за это по одной простой причине: возможно, это уже сделано, а отягощать базовый paraquire я не хочу. paraquire должен оставаться лёгким и компактным, чтобы его можно было, во-первых, быстро просмотреть, во-вторых, добавляь в репозиторий «намертво», а не через node_modules.

    Переменные окружения — это process.env, о котором я говорил в посте. Разрешение на них даётся отдельно от разрешения на сеть и отдельно от разрешения на ФС.
  • Paraquire, или Перестаньте доверять библиотекам
    0
    А мы сможем посмотреть и решить, дать или не дать :)
  • Paraquire, или Перестаньте доверять библиотекам
    0
    Это ключевое слово, так что вряд ли. Многое зависит от того, будет ли реализация import лежать на v8 (и тогда что-то сделать с ней будет очень проблематично) или же осуществляться силами NodeJS (и тогда есть шанс, что что-то получится). Впрочем, не думаю, что нодовцы отменят require, всё-таки нода не питон, тут так ломать обратную совместимость не принято.
  • Paraquire, или Перестаньте доверять библиотекам
    0
    Лично я привязался к npm исключительно потому, что на NodeJS пишу, а на Python и на Ruby — только читаю.
  • Paraquire, или Перестаньте доверять библиотекам
    +1
    Модуль загрузится с разными правами. Компиляция — один раз, запуск в контекстах — в двух разных. Вот, в тестах есть: github.com/nickkolok/paraquire/blob/master/tests/manage-builtin-fs/main.js
  • Охота на вредоносные npm-пакеты
    +1
    Более того, я даже попробовал эту систему разрешений реализовать.
  • Blockchain
    0
    Определение из поста:
    Blockchain – это последовательный набор блоков (или же, в более общем случае, ориентированный граф), каждый следующий блок в котором включает в качестве хэшируемой информации значение хэш-функции от предыдущего блока.

    Если мы возьмём последовательность коммитов на участке, когда не было мёржей, то мы увидим, что каждый последующий коммит включает хэш предыдущего. вот этот линейный кусок и есть блокчейн. Ограничение на хэш тривиально (принимается любой хэш, сложность нулевая).
  • Blockchain
    +2
    В защиту «блокчейна вне биткоина»: по сути, блокчейн есть «очень сильно» линейный случай git-репозитория. Вот про git студентам надо рассказывать обязательно, git-scm в помощь.
  • Яндекс открывает технологию машинного обучения CatBoost
    0
    Извините, если вопрос покажется глупым, к машинному обучению только присматриваюсь — но можно ли использовать это для классификации фотографий? И если нет, то что тогда посоветуете?

    P.S. Лучи добра Яндексу за опенсорс!
  • Особенности национальной SMS-авторизации
    0
    Поддерживаю, аналогично повела себя симка МТС.
  • Анонимность в Tor: что нельзя делать
    0
    Можно завернуть весь трафик — так не чувствуются блокировки и нет опасности попасть на страницу мобильной подписки.
  • Зачем миру нужен OpenStreetMap
    0
    Постобработка, конечно. Преимущественно лесные просеки, которые — опять же преимущественно — прямые. Плюс лесные и полевые тропинки, которые, мягко говоря, неочевидны. И которые кроме меня вряд ли кто-то нанесёт. Т.е. выбор между тем, наносить ли не вполне точно или не наносить вообще, лес и лес, поле и поле.
    Какая там погрешность у телефонов?
    Кстати, а если вопрос поднимался давно — может быть, его стОит изучить снова? Прогресс на месте не стоИт. Посоветуйте, пожалуйста, куда идти и что спрашивать.
  • Зачем миру нужен OpenStreetMap
    0
    Но спецтрекера нет, а телефон есть. И я всё равно гуляю по просёлку, чего километрам зря пропадать?
  • OpenStreetMap на каждый день
    0
    Сельская местность. На OSM есть не все просеки, просёлочные дороги, тропинки и т.д. Телефон на Android 4.4.4. Посоветуйте, пожалуйста, программу, которую включил, положил в карман — и оно пишет GPS-трек в виде, пригодном для заливки на OSM. Бонусное требование: не терять данные при разряде батареи и при потере интернета (ловит не везде, лес же).

    И как у OSM с прокладыванием маршрутов в обход пробок?
  • Зачем миру нужен OpenStreetMap
    0
    Сельская местность. На OSM есть не все просеки, просёлочные дороги, тропинки и т.д. Телефон на Android 4.4.4. Посоветуйте, пожалуйста, программу, которую включил, положил в карман — и оно пишет GPS-трек в виде, пригодном для заливки на OSM. Бонусное требование: не терять данные при разряде батареи и при потере интернета (ловит не везде, лес же).
  • 30 000 скачиваний ReactOS v.0.4.5 за 5 дней
    0
    Прошу прощения, а таки где написано, что под ReactOS работает? Речь вроде шла о виртуалках…
    Но даже если и так — пусть обяжут ЕГАИС в системных требованиях указать «Windows либо ReactOS». ИМХО, последней это пойдёт очень на пользу :)
  • 30 000 скачиваний ReactOS v.0.4.5 за 5 дней
    0
    Не устаю повторять: пишите в ФАС по каждому такому случаю. По обращению по поводу ЕГАИС идёт проверка, срок продлён. Знаете ещё какие-то ситуации — пишите. ФАСовцы — адекватные ребята. И да, пулл-реквесты приветствуются :)
  • 30 000 скачиваний ReactOS v.0.4.5 за 5 дней
    0
    Ежели ruToken или ещё какое криптопро работают только с виндой — повод обратиться в ФАС. Пример (можно улучшить)
  • Российские операционные системы: говорим сейчас, ждём на OS DAY
    0
    1. А Вы не у хабраюзеров спрашивайте, а у ФАС — Федеральной Антимонопольной Службы. Хорошие, адекватные ребята (особенно на фоне некоторых других). Я вот спросил. Проверка продлена до июля.

    ЕЕПЖ (если есть пламенное желание) — можно продублировать. Но ФАС, в отличие от некоторых других трёхбуквенных органов, вполне работает и не нуждается в том, чтобы забрасывать её обращениями. Поэтому если есть, что сказать нового по этому вопросу — пишите им. А если нету — не мешайте людям работать :)
    P.S. Пулл-реквесты приветствуются :)
  • Борьба с перехватом HTTPS-трафика. Опыт Яндекс.Браузера
    0
    Не хватает ссылочки на гитхаб. Вот она была бы решающим аргументом.
  • Хроники супермаркета
    0
    Вам нужно поставить вот это.
  • Хроники супермаркета
    0
    Недавние правки в п. 19 Правил продажи отдельных видов товаров.
  • Единственный способ
    0
    Не учите людей плохому, романам место на гитхабе!
  • Ubuntu 17.04: что нового
    0
    Госорганы требуют что-то вин-специфичное? Получаем требования в фиксированной форме (бумага или лучше — на сайте соответствующего госоргана) и жалуемся в ФАС России. Примерный текст:
    Для совершения такого-то действия такой-то госорган требует (винду, ворд, ...), которая является проприетарным ПО, не соответствует ГОСТ Р 54593-2011. Прошу провести проверку на наличие в действиях такого-то госоргана принуждения меня к приобретению проприетарного ПО и на наличие сговора между таким-то госорганом и корпорацией «Майкрософт».

    Даже если этим ребятам просто придёт запрос из ФАС — это очень неприятно.
  • Ubuntu 17.04: что нового
    0
    xneur в помощь. Чем не адекватная замена PuntoSwitcher?
    Из сорцов оно собирается. Разработка не дохлая. Маинтэйнер адекватный.
  • Сравнение производительности версий PHP
    0
    Именно. Сайт — он не для того, чтобы удовлетворять потребности программиста, ответственного за него, в изучении новых технологий.
  • Сравнение производительности версий PHP
    0
    Сайт достался от предшественника. Так как сайт был в первую очередь нужен дл того, чтобы он работал, переход на новую ЦМС был просто бессмысленен. Работает — не трожь.
  • Программист без диплома: что может и чего не может дать «домашнее обучение» в IT
    0
    Вот удивительно, что отсрочку от армии выше ещё не вспомнили как аргумент за ВУЗ.
    Ибо если не для самого потенциального программиста, то для его раздолбаев-одногруппников она могла оказаться решающей причиной.
  • Сравнение производительности версий PHP
    +2
    Joomla 1.7.2
    Поддержка брошена. Но сайт был работающим, пока админы не решили обновить РНР с 5.5 до 7.
    Пришлось объяснять начальству, почему оно поломалось…
    А апдейт джумлы на 3.5 штатными средствами не предусмотрен. Даже через промежуточные версии.
  • Вконтакте совершил очередной прорыв. На короткое время все пользователи соцсети получили права модераторов
    0
    Гуглить «росяма». Бугуртят.
  • Вконтакте совершил очередной прорыв. На короткое время все пользователи соцсети получили права модераторов
    0
    А вот не надо решать за родителей, должны ли дети быть в соцсетях.
    В Хогвартс, стало быть, с 11 можно, а в контактик только с 13?
    Соцсети — это просто инструмент.
  • God mode ВКонтакте
    –1
    Почему сразу «сменили пол»? Может, это девушка так смёржила?
  • Масштабирование Git (и кое-какая предыстория)
    –1
    Подавятся. За гитом Торвальдс и FSF. Тут ещё кто кого ЕЕЕ. Де-факто MS подписал приговор своим системам контроля версий и сборки в угоду открытому Git.
  • Японский математик доказал АВС-гипотезу
    0
    Ага. И решения чего-нибудь (типа уравнения в форме Ито на многообразии) могут быть почти наверное почти непрерывны.
  • Когда появится следующий большой язык программирования с точки зрения Дарвина
    0
    jQuery выстрелила и закрепилась потому, что она соединила две абстракции: DOM-элемент и CSS-селектор. Это на самом деле математика. Выживает та абстракция, которая обобщает существующие красиво, логично и востребованно.