Vulnerabilidad crítica PODRÍA DESTRUIR el ecosistema de JavaScript
Vložit
- čas přidán 17. 06. 2024
- Descubre cómo una vulnerabilidad en npm puede comprometer todo el ecosistema de JavaScript. Explicamos el ataque de caché poisoning y su impacto en dependencias populares.
Artículo analizado: www.landh.tech/blog/20240603-...
▶ No te pierdas más directos en: / midudev - Věda a technologie
$500 por salvar npm, le habria salido mejor explotar la vulnerabilidad... fuera conas... una verguenza
500 usd es un chiste para el nivel de la vulnerabilidad
500 USD por una vulnerabilidad que le podría haber costado millones?
Es una falta de respeto para el dev o el quipo.
500$ no compensan ni el tiempo que le tomo explicar la vulnerabilidad, luego se extrañan cuando las venden en el mercado negro o cuando las explotan, es faltar el respeto al trabajo de esas personas, en algo tan vital cómo es la seguridad informática, en donde solucionar un fallo antes de que este sea explotado puede ahorrar a las empresas millones o decenas de millones de dólares, deberían recompensar más a quienes se toman el tiempo de buscar, exponer y explicar tales vulnerabilidades
no se podrían firmar las librerías de npm con algún tipo de hash a la versión concreta del paquete? para ver que lo que te bajas es lo mismo que el de la versión? otra cosa es que este hash también se pueda manipular, por lo que se debería de firmar con cosign o algo similar para que solo se pueda firmar por la autoridad o registry
Ahora llegan los usuarios que se rasgan las vestiduras diciendo que ellos ya sabían de esa vulnerabilidad y que todos somos ignorantes por no saberlo, y de paso decirnos que usan alguna herramienta “indie open source orgánica artesanal” que es más “segura” y que tiene solo 5 descargas
Esto no es lo que hicieron con la página de CCleaner hace tiempo? :o
Hay que ver si con los otros gestores de dependencias de otros lenguajes se puede aplicar la misma vulnerabilidad.
XD de hecho cuando usas npx por alguna razón tiene cache
wao lo mismo aplica a golang entonces, porque igual guarda la librerias que usas en cache
una pregunta. Esta vulnerabilidad es cuando estas haciendo un "run dev"? pregunto, porque en el momento en que se usa npm, según tengo entendido, es sólo cuando se está en desarrollo, en producción se usa el paquete de los recursos, o algo así, pero ya no se está usando a npm.. o sí?
@@JosepCrespoSantacreu OK, gracias por la explicación. Da miedito..
Les pagaron muy poco.
Yo con php en la mochila , lo han atacado tanto que se ha dedicado mucho tiempo a parchear vulnerabilidades 🗿
Estas cosas con PHP no pasan! XD.
Me pagan 500 dólares por eso y antes lo vendo a la darkweb o zerodium
podrias explicar por favor como te pagan???
porfavor!
Te sirve mas romperles y venderles la solucion
Hora de usar JSR o Deno 🤟
El bro que sabe Java que aprendio javascript solo para tirarnos la chamba xD
500$ no es nada
solo lo usan 17 millones mmm interesante pero si express lo instalan 30 millones
Es que cada dev lo instala varias veces x N motivos, pruebas de concepto y bla bla bla
ci/cd
Una persona puede instalar varias veces un mismo paquete señor
Por eso yo uso HTML, css, jQuery para el Ajax, Python o PHP y MySQL. Ese montón de librerías de javascript son un atentado y un día todo se va a venir abajo por una librería comprometida.
TODOS los sistemas son vulnerables, justificar tu uso de una tecnología y otra es como los que dicen que usan Linux porque no tiene virus (soy usuario de Linux). Es más una elección personal y no hay porqué creer que quien escoge lo contrario está mal.
@@chuchocore Yo lo que digo es que entre menos cosas hallan menos oportunidad hay de que te colen una vulneravilidad ve a ver cuantas librerias tiene javascript y que no puedes controlar por que tu no las hiciste y dependes de la buena voluntad de alguien que no conoces.
@@RCastroCR3000 yo tengo un pequeño servidor corriendo con node en crudo, sin ninguna dependencia externa, solo uso npm para usar los scripts y el resto está programado por mis propias manos. De nuevo, no es culpa de la herramienta, la industria premia hacer las cosas rápidas y no hay tiempo de reinventar la rueda. Pero usar PHP, jQuery y ajax no te proteje más que a mí, que uso node sin dependencias.
@@chuchocoreEso es como decir que en todos los países hay crímenes para justificar la criminalidad de sudáfrica comparada con islandia
Si la cuestión es npm, usen yarn :D
No caerá esa breva...
Master, creo que es un Denial of Service, no inyectar nuevos bichitos. Te dejaría sin servicio pero no te inyecta código malicioso. Un abrazo y muchas gracias por aportarnos tanto!!
@@JosepCrespoSantacreu y con ello provocar la denegación de servicio, no inyectar ese código malicioso en las víctimas. No solo puedes leer acerca de en qué consiste un CPDoS, puedes fijarte que god midu habla en el 1:10 de que puedes inyectar contenido malicioso en la caché (cambiar su contenido por otro, y que las víctimas descarguen el contenido infectado), así no es como funciona. Envenenas la caché (sí, con código malicioso) pero los usuarios no se descargan código malicioso, obtienen una página de error y se quedan sin servicio (como digo, el ataque es una denegación de servicio). No hay que confundir con por ejemplo un Cache Poisoning (o DNS cache poisoning), en cuyo caso sí daría lugar a que los usuarios descargaran contenido malicioso.
ya no se puede confiar en nadie
jajaja 500$ el que encontro la vulnerabilidad le convenia venderlo en el mercado negro y ganar mas ya entiendo porque cada vez existen mas hackers de sombrero negro
500 dolares por eso xddd
Vine por el bait
Cada día estamos mas vende humo eh
Bueno che, es el título del artículo jaja
😂😂😂😂😂
Pero si es cierto, que no entiendas lo que significa la vulnerabilidad no significa que rompa npm y varios proyectos que estan dependiendo de modulos externos.
Te falla no che?
@@braianadriangil-gk3ed Ojala te vaya bien en la vida!
Sinonimo de vulnerabilidad = JavaScript
Sinónimo de vulnerabilidad = noob
@@Renzo-of3ynes verdad, aunque js es medio jodido así a cara pelada
@@anashe5417 sí, muy cierto. Por su misma facilidad de aprender existe gran cantidad de desarrolladores que lo conocen, pero muy pocos que lo dominen
Todo el software es pasible a ser vulnerable, nada tiene que ver el lenguaje.
No sè si se menciona pero le pagaron 500 dolaricos por hacer eso, no es una pasta pero si andas al pedo free X
Si quieren ser verdaderos desarrolladores, no usen librerías ni frameworks de ningún repositorio, creen sus propias librerías y frameworks. Es como aquel que dice ser diseñador web pero usa WordPress.
Usted si habla mi idioma
JAJAJAJJA no digas pendejadas, ponte a chambear!
@@JosepCrespoSantacreu Mientras hagas dinero, no importa
@@JosepCrespoSantacreu en este mes de Junio se cumplen 24 años de trabajar como desarrollador, y 17 años que fundamos nuestra empresa, no sé si será decente o indecente, pero a mí, en este mundillo del software, ya no me engaña nadie. Somos de la vieja guardia, sin ayuda ni firuletes.
"Si quieren ser verdaderos desarrolladores, háganse su propio lenguaje de programación, su propio sistema operativo y ya que están su propio Internet"