NPM ломал Linux... Отзыв SSL сертификатов... Топ 5 IT новостей [26.02-04.03]

Привет, представляю вам очередные 5 новостей, за уходящую неделю, из мира высоких технологий, которые мне показались наиболее интересными.

В сегодняшнем выпуске:

Запрет на дизельные автомобили в Германии.

Резюме Стива Джобса продадут на аукционе, стартовая цена - $50000.

Карта памяти SD от WD читает со скорость 800 МБ/с.

NPM уничтожал Linux серверы.

Тысячи SSL сертификатов компании Trustico были отозваны из-за странной утечки.

Запрет на дизельные автомобили в Германии.

Многие из вас, наверняка слышали, про недавний скандал с участием крупнейших автопроизводителей, касающийся вреда от выхлопов дизельных двигателей.

После этой истории, многие экологи не на шутку озаботились проблемой. И вот на этой неделе прилетела новость из Германии, там экологам удалось выиграть суд, и теперь администрации городов Дюссельдорфа и Штутгарта имеют право запрещать езду по городу на дизельных автомобилях. Правда, как указывает источник, запрет не будет введен одним махом, а для начала, коснется автомобилей, у которых норма выхлопа – Евро 4 или ниже, позже запреты введут и для автомобилей с нормами Евро 5.

Как указывает источник, запреты не должны коснуться коммунальных, экстренных служб, а так же малых и средних предприятий.

]]>Источник]]>

Резюме Стива Джобса продадут на аукционе, стартовая цена - $50000.

В Бостноском аукционном доме, будут организованы торги, на которых планируется продать интересную вещицу – резюме Стива Джобса (надеюсь он не нуждается в представлении =) ). Лот был написан Стивом в далеком 1973 году от руки, для попытки получить работу в одной из технологических компаний.

Интересно оформлены особые умения, там Стив написал буквально следующее – «технический инженер или инженер-разработчик, связанный с цифровыми технологиями, родом из залива неподалёку от Hewlett-Packard».

Кроме того, в резюме было написано, что у него нет телефона, так же что есть права, но управление автомобилем возможно, но невероятно.

Начальная цена лота установлена на уровне $50000. По мимо резюме на торгах так же будут выставлены технический мануал для MacOS X, подписанный Джобсом в 2001 году, за $25000, а также кусок газеты, за $15000, который был подписан Джобсом в 2008, и на котором изображена фотография Стива, и написан заголовок – «Новый, более быстрый IPhone будет продаваться за 199 долларов».

Есть желающие принять участие? =) Торги будут проходить между 8 и 15 марта.

]]>Источник]]>

Карта памяти SD от WD читает со скорость 880 МБ/с.

Компания WD показала карту памяти формата SD, с колосальной скоростью чтения, для подобного класса карт – 880 МБ/с, скорость записи составила 430 МБ/с.

Достигнуть таких показателей компании удалось за счет того, что для обмена данными использовался интерфейс PCIe. На данный момент это исключительно экспериментальный образец, созданный скорее для пиара, нежели для производства, так что ждать таких карт в ближайшее время нет смысла.

Во время демонстрации карта памяти была подключена через специальный переходник к разъему M.2.

]]>Источник]]>

NPM уничтожал Linux серверы.

Очень серьёзный баг был обнаружен в свежей версии NPM, кто не в курсе – это такой популярный менеджер пакетов для JavaScript приложений. Из-за бага менялись владельцы практически всех критически важных системных папок в системе Linux, таких как /etc, /usr, /boot и т.д. после чего система переставала работать.

Примечательно, что баг репорты начали сыпаться еще до выхода финальной версии, приблизительно за неделю, но разработчики NPM, либо не заметили этих сообщений, либо забили на них. В итоге, после выхода релиза, практически моментально оказался забит баг репорт NPM, а также социальные сети, гневными сообщениями в адрес разработчиков, т.к. из-за ошибки, пострадало огромное количество production серверов.

Проблема затронула только *nix системы, пользователям систем Windows и Mac повезло – их баг никак не затронул.

На данный момент уже выпущена новая версия NPM, где вышеописанный баг исправлен.

]]>Источник]]>

Тысячи SSL сертификатов компании Trustico были отозваны из-за странной утечки.

Очень странный случай произошел из-за размолвки между компанией Trustico являющейся реселлером SSL сертификатов, и удостоверяющим центром – DigiCert.  

Как сообщается, размолвка случилась из-за отказа удостоверяющего центра отзывать 50000 SSL сертификатов по запросу Trustico. Как объяснили DigiCert – требовать отзыва сертификата может только владелец сертификата, коим реселлер не является. После отказа Trustico решили разорвать отношения с DigiCert, и начали сотрудничать с Comodo, но про попытки отозвать сертификаты – не забыли. В итоге, представители DigiCert в переписке сообщили, что единственно возможный вариант отзыва сертификатов – грубые нарушения безопасности, такие как компрометация закрытых ключей сертификатов.

А дальше произошел случай, как будто речь идет о детском садике «дружба», а не серьезных конторах, занимающихся информационной безопасностью – генеральный директор Trustico, собрал 23000 закрытых ключей, и отправил их открытым письмом представителю компании DigiCert, после чего, само собой 23000 сертификатов, пришлось экстренно отзывать.

Пока ошарашенные конечные пользователи разбирались с тем, что их сертификаты оказались недействительными, специалисты в области информационной безопасности дружно раскритиковали поведение Trustico, обвинив компанию в нарушении всех норм. Кроме того, возникли очень серьезные вопросы, о том, на каком вообще основании реселлер хранил у себя копии закрытых ключей клиентов.

Как позже выяснилось, у Trustico имелась веб страница, при помощи которой можно было автоматически получить или продлить сертификат, так вот при помощи этой системы, Trustico успешно оставляла копии закрытых ключей для себя, «на всякий случай», при этом так же, как удалось выяснить специалистам по информационной безопасности, хранились скопированные ключи, абсолютно ни как не защищенными, и любой человек, имеющий доступ к серверу, где находилась страница выдачи сертификатов, мог получить эти сертификаты.

Так же было выяснено, что на странице получения сертификата, находилось множество JavaSript скриптов, что делало получение сертификатов не безопасным в принципе, так еще ситуация усугублялась, тем, что часть этих скриптов были от рекламных компаний. Кроме того, было выяснено, что в настройке веб сервера, были допущены очень серьезные ошибки безопасности, в частности, любой желающий, без особых проблем мог запустить на сервере произвольный скрипт или команду от имени Root.

В свою очередь Trustico заявила, что пыталась отозвать 50000 сертификатов, которые ранее принадлежали компании Symantec, из за проблем с безопасностью. И после долгих попыток решить проблему безопасности, было принято решение, что проще отозвать сертификаты, чем пытаться решить накопленные проблемы.

Вот так вот, а, казалось бы, взрослые и серьезные дяди работают в подобных компаниях…

]]>Источник]]>