Discussioni sulla computer security
 

il dito e la luna

Leonardo Serni 15 Apr 2016 23:49
Allora: un simpatico tizio turco ha scritto un cosino software di 11 righe e lo
pubblica su una
piattaforma condivisa.

Bene.

Il cosino viene scaricato 575mila volte e usato anche dal BDSMVDP.

Bene.

Per motivi che non interessano il tizio leva tutti i suoi progetti dalla
piattaforma.

Male per lui, ma insomma ci sta ed era nel suo diritto.

In tutto il mondo settordicimigliardi (tm) di compilazioni al nanosecondo
cominciano a sclerare
perché gli mancano i pezzi.

Prego?

S'arma un ******* terrificante, "aaaaah il programmatore che ha fermato
Internet", "I cannot see
hundreds of builds failing every second and not fix it", "the right to code",
aah uuh iih.

...ma io mi domando: tutta questa gente che si lamenta, Babel, React, e su e
giù... *veramente*
importano pezzi di codice da casa del diavolo, e li inseriscono nella loro
codebase, in modo al
ciento pe' ciento automatico?

E se il signor Azer Koçulu, invece che togliere il suo softuèr ci avesse fatto
qualche modifica
creativa? Accidentale o intenzionale? Se l'avesse fatto qualcuno che gli aveva
preso la pass di
quel repository? Se qualcuno gli avesse fatto un'offerta che non si può
rifiutare?

(Se qualcosa di tutto ciò fosse GIA' SUCCESSO e nessuno se ne fosse - ancora -
accorto perché i
relativi codici continuano a compilare felici?)

Francamente a me il fatto che uno zilione di compilazioni siano andate a schifo
mi pare la cosa
migliore che potesse capitare: così ci siamo resi ben conto della situazione.

Leonardo (o mi è sfuggito qualche cosa? Non ho capito un apascio?)
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
edevils 16 Apr 2016 10:07
On 15/04/2016 23:49, Leonardo Serni wrote:
> Allora: un simpatico tizio turco ha scritto un cosino software di 11
righe e lo pubblica su una
> piattaforma condivisa.
[...]
> Prego?
>
> S'arma un ******* terrificante, "aaaaah il programmatore che ha
> fermato
Internet", "I cannot see
> hundreds of builds failing every second and not fix it", "the right
> to
code", aah uuh iih.


Storia interessante, ho letto anche su arstechnica.


> ...ma io mi domando: tutta questa gente che si lamenta, Babel,
> React,
e su e giù... *veramente*
> importano pezzi di codice da casa del diavolo, e li inseriscono
> nella
loro codebase, in modo al
> ciento pe' ciento automatico?
>
> E se il signor Azer Koçulu, invece che togliere il suo softuèr ci
avesse fatto qualche modifica
> creativa? Accidentale o intenzionale? Se l'avesse fatto qualcuno che
[...]
> migliore che potesse capitare: così ci siamo resi ben conto della
situazione.
>
> Leonardo (o mi è sfuggito qualche cosa? Non ho capito un apascio?)

Mi pare un caso in cui si vorrebbe "moglie ubriaca e botte piena".
Prendi del codice a gratis dal web, e va bene, grazie mille al generoso
sviluppatore che l'ha messo a disposizione per tutti... Poi però
pretendi che sia "garantito" come se l'avessi acquistato quindi con
obblighi contrattuali a non poterlo rimuovere, non poterlo modificare,
mettertelo a disposizione per sempre? Le due cose non vanno tanto
d'accordo, mi pare.

Poi, per quanto riguarda il fatto di inserire "al buio", perché non sai
se ci sono state modifiche creative, volontarie o accidentali, mi sembra
vagamente simile a che facciamo tutti i giorni quando da utenti
installiamo un software e concediamo l'autorizzazione agli aggiornamenti
automatici. In parole povere, decidiamo di fidarci di qualcuno, sia uno
sviluppatore o un "market"/"repository" che garantisce. E' una catena di
fiducia. Romperla, d'altra parte, non conviene a chi lavora bene.
Andrea D'Amore 16 Apr 2016 11:00
On 2016-04-16 08:07:47 +0000, edevils said:

> Prendi del codice a gratis dal web, e va bene, grazie mille al generoso
> sviluppatore che l'ha messo a disposizione per tutti... Poi però
> pretendi che sia "garantito" come se l'avessi acquistato quindi con
> obblighi contrattuali a non poterlo rimuovere, non poterlo modificare,
> mettertelo a disposizione per sempre?

Non mi pare sia successo questo, cioè da quello che ho letto nessuno ha
preteso niente.

Hanno tolto un pacchetto da un repository, hanno osservato le build
rompersi, un utente ha caricato un pacchetto omonimo (nel rispetto
della licenza) ma dato che le inclusioni erano fatte male perché
chiedevano una versione specifica -ad esempio =0.0.3 invece che >0.0.3
che non avrebbe dato problema con la nuova versione 1.0.0 dall'utente
che si era fatto avanti- e quindi npm, forse spaventata dal "danno di
immagine" ha ripubblicato la versione vecchia piuttosto che la nuova.

Quello che non ho capito è perché se ne sia parlato tanto, le
dipendenze rotte riguardavano nuovi pull, un repository in produzione
avrebbe avuto la libreria in locale, no? (lo chiedo da non-utilizzatore
di node)


--
Andrea
Giacobino da Tradate 16 Apr 2016 13:17
Il 15/04/2016 23.49, Leonardo Serni ha scritto:

> In tutto il mondo settordicimigliardi (tm) di compilazioni al
> nanosecondo cominciano a sclerare perché gli mancano i pezzi.

> Prego?

Questo vuol dire che il pezzo di sorgente (o di libreria) non hanno
neanche fatto lo sforzo di copiarlo nei loro server o computer, ha lo
hanno linkato direttamente dal repository esterno.

Sviluppatori lavativi di *******



---
Questa e-mail è stata controllata per individuare virus con Avast antivirus.
https://www.avast.com/antivirus
edevils 16 Apr 2016 14:11
On 16/04/2016 11:00, Andrea D'Amore wrote:
> On 2016-04-16 08:07:47 +0000, edevils said:
>
>> Prendi del codice a gratis dal web, e va bene, grazie mille al
>> generoso sviluppatore che l'ha messo a disposizione per tutti...
>> Poi però pretendi che sia "garantito" come se l'avessi acquistato
>> quindi con obblighi contrattuali a non poterlo rimuovere, non
>> poterlo modificare, mettertelo a disposizione per sempre?
>
> Non mi pare sia successo questo, cioè da quello che ho letto nessuno
> ha preteso niente.
...

Da quel che ho letto su arstechnica, dopo l'episo***** si è aperto un
dibattito in cui alcuni chiedono di non permettere più la rimozione come
avvenuto in questo caso.

...But he acknowledged that many people were still upset that it had
been allowed to happen in the first place—that someone had been allowed
to arbitrarily yank code out of the system and break theirs. "'That's
one of the things that's adding fuel to this fire," Scheluter
acknowledged. "'Why do you let this happen? Why can people unpublish
things and break my builds?' That's what a lot of people are really
upset about."

And yes, it is. A discussion over a user request to kill npm's unpublish
feature became heated, and when npm's command-line interface team lead
Forrest L Norvell locked the discussion "because I want to have an
evening away from this," it further fanned flames. The discussion thread
has not yet been unlocked. James Nadeau wrote a long separate comment on
npm's GitHub portal, entitled "Should I trust npm?", in which he
expressed concerns many had raised:


T)here has been a series of decisions, commitments, and actions that
this project’s maintainers have taken that have eroded the trust of it's
users.[sic]

I can't trust that a package will always be available.
I can't trust npm will keep a published package around.
I can’t trust they will respect my actions of unpublishing something
from npm.
[...]

http://arstechnica.com/information-technology/2016/03/rage-quit-coder-unpublished-17-lines-of-javascript-and-broke-the-internet/
Leonardo Serni 16 Apr 2016 18:30
On Sat, 16 Apr 2016 14:11:21 +0200, edevils <use_replyto_address@devils.com>
wrote:

>T)here has been a series of decisions, commitments, and actions that
>this project’s maintainers have taken that have eroded the trust of it's
>users.[sic]

>I can't trust that a package will always be available.
>I can’t trust they will respect my actions of unpublishing something
>from npm.

Se costui vuole

- essere sicuro che un pacchetto NON sia tolto (neanche su richiesta)

e anche

- essere sicuro che un pacchetto SIA tolto su richiesta

allora il suo problema non è con npm, ma con venticinque secoli di logica.

>http://arstechnica.com/information-technology/2016/03/rage-quit-coder-unpublished-17-lines-of-javascript-and-broke-the-internet/

"I imagine the number of people taking a look at how much they trust, need,
and depend on npm right now is huge."

Questo è un bene.

"I’m actively taking steps to mitigate how much I depend on this project to be
available,
and at what point in my development process I make use of it. I’ve talked to
others doing the same."

Anche questo è un bene. Per riprova, invertiamo la frase. Diciamo che lui
faccia il CONTRARIO.

"Non sto prendendo precauzioni nel caso che il progetto diventi indisponibile".

Sarebbe una decisione saggia? No. Sarebbe una decisione avventata. Quod erat
demonstrandum.

=====

Detto questo, mi sembra che uno dovrebbe anche farsi due conti e considerare che
avendo una
quantità di roba importata dai repository esterni, deve dedicare tempo e
risorse a validare
le modifiche e gli aggiornamenti a quei repository...

...oppure raccomandarsi ai ******* che non capiti mai il peggio, che è una
tecnica largamente
utilizzata per esempio per i backup.

Io in questi casi consiglio sempre Santa Lucia, che pare sia molto efficace ;-D

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
edevils 16 Apr 2016 18:45
On 16/04/2016 18:30, Leonardo Serni wrote:
>> T)here has been a series of decisions, commitments, and actions that
>>>this project’s maintainers have taken that have eroded the trust of
it's
>>>users.[sic]
>>>I can't trust that a package will always be available.
>>>I can’t trust they will respect my actions of unpublishing something
>>from npm.
>
> Se costui vuole
>
> - essere sicuro che un pacchetto NON sia tolto (neanche su richiesta)
>
> e anche
>
> - essere sicuro che un pacchetto SIA tolto su richiesta
>
> allora il suo problema non è con npm, ma con venticinque secoli di
logica.
>
[...]

"...he expressed concerns many had raised"

Probabilmente l'articolo non è chiarissimo sul punto, ma capisco che il
tale ha ricapitolato le preoccupazioni emerse nella discussione, anche
se contrapposte logicamente. :)
Arne Saknussemm 19 Apr 2016 12:39
On Fri, 15 Apr 2016 23:49:53 +0200
"Leonardo Serni" wrote in it.comp.sicurezza.varie
<nrn2hblvonqok14r67rgjsqbeqmah734r5@L.Serni>:

> ...ma io mi domando: tutta questa gente che si lamenta, Babel, React,
> e su e giù... *veramente* importano pezzi di codice da casa del
> diavolo, e li inseriscono nella loro codebase, in modo al ciento pe'
> ciento automatico?

sembra proprio di si, almeno stando a quanto ho letto

http://www.sciencealert.com/how-a-programmer-almost-broke-the-internet-by-deleting-11-lines-of-code

e non parliamo di sitarelli, ma di aziende come Facebook, netflix ed
altri; evidentemente, invece di correre dietro agli aggiornamenti i
tizi han pensato bene di pescare il codice direttamente dal sito
principale "così lo avremo sempre aggiornato" :P !

> E se il signor Azer Koçulu, invece che togliere il suo softuèr ci
> avesse fatto qualche modifica creativa? Accidentale o intenzionale?
> Se l'avesse fatto qualcuno che gli aveva preso la pass di quel
> repository? Se qualcuno gli avesse fatto un'offerta che non si può
> rifiutare?

Beh, se consideri che la cosa già accade con i banner pubblicitari...
Arne Saknussemm 19 Apr 2016 12:41
On Tue, 19 Apr 2016 12:39:11 +0200
"Arne Saknussemm" wrote in it.comp.sicurezza.varie
<20160419123911.0000259c@eternal-september.org>:

> On Fri, 15 Apr 2016 23:49:53 +0200
> "Leonardo Serni" wrote in it.comp.sicurezza.varie
> <nrn2hblvonqok14r67rgjsqbeqmah734r5@L.Serni>:
>
>> ...ma io mi domando: tutta questa gente che si lamenta, Babel,
>> React, e su e giù... *veramente* importano pezzi di codice da casa
>> del diavolo, e li inseriscono nella loro codebase, in modo al
>> ciento pe' ciento automatico?
>
> sembra proprio di si, almeno stando a quanto ho letto
>
>
http://www.sciencealert.com/how-a-programmer-almost-broke-the-internet-by-deleting-11-lines-of-code
>
> e non parliamo di sitarelli, ma di aziende come Facebook, netflix ed
> altri; evidentemente, invece di correre dietro agli aggiornamenti i
> tizi han pensato bene di pescare il codice direttamente dal sito
> principale "così lo avremo sempre aggiornato" :P !

mi correggo è "npm" che lo fa; nel momento in cui viene avviato un
build, npm prende tutti i riferimenti esterni, scarica il codice e
ricostruisce il tutto, quindi se un dato riferimento non funziona, il
build non va a buon fine; resta il fatto che, se uno al posto di quel
pezzetto di innocuo codice ci mette... altro :(
Leonardo Serni 19 Apr 2016 14:14
On Tue, 19 Apr 2016 12:39:11 +0200, Arne Saknussemm
<esre.10.arnsak@spamgourmet.com> wrote:

>> ...ma io mi domando: tutta questa gente che si lamenta, Babel, React,
>> e su e giù... *veramente* importano pezzi di codice da casa del
>> diavolo, e li inseriscono nella loro codebase, in modo al ciento pe'
>> ciento automatico?

>sembra proprio di si, almeno stando a quanto ho letto

>http://www.sciencealert.com/how-a-programmer-almost-broke-the-internet-by-deleting-11-lines-of-code

>e non parliamo di sitarelli, ma di aziende come Facebook, netflix ed
>altri; evidentemente, invece di correre dietro agli aggiornamenti i
>tizi han pensato bene di pescare il codice direttamente dal sito
>principale "così lo avremo sempre aggiornato" :P !

>> E se il signor Azer Koçulu, invece che togliere il suo softuèr ci
>> avesse fatto qualche modifica creativa? Accidentale o intenzionale?
>> Se l'avesse fatto qualcuno che gli aveva preso la pass di quel
>> repository? Se qualcuno gli avesse fatto un'offerta che non si può
>> rifiutare?

>Beh, se consideri che la cosa già accade con i banner pubblicitari...

Eh be'. Ognuno fa quel che può Koçulu proprio; è che questa gente mi sa che
stia giocando anche Koçulu degli altri.

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sulla computer security | Tutti i gruppi | it.comp.sicurezza.varie | Notizie e discussioni sicurezza varie | Sicurezza varie Mobile | Servizio di consultazione news.