Wpis z mikrobloga

@szmichal dorzucam jeszcze film z YT o tym.

Dotyczy praktycznie większości firmowych apek wiodacych producentów portfeli sprzętowych i hotwalletow uzywajacych JavaScript/Npm - Trezor, Ledger, Bitkey, Jade itd. (ale np. Coldcard czy Sparrow są bezpieczne).

Przy hot walletach polecam na razie w ogóle wstrzymać się z transakcjami, przy sprzętowych można używać Sparrow zamiast apki od producenta lub bardzo dokładnie sprawdzać adres na ekraniku portfela sprzętowego.

Z tego co rozumiem, to może podmieniaćPokaż całość

@szmichal: bezpieczny bienadz lewaku hehe

@OnNieMaJajek magiczny internetowy pieniążek jest bezpieczny, ale JavaScript to już całkiem inna bajka ( ͡º ͜ʖ͡º)

@szmichal: Generalnie ten atak potwierdza, jak gownianym ekosystem jest Nodejs i brak Std lib. Jedna z paczek która ma podatność jest metoda is-arrayish, która składa się z 3 linii kodu i sprawdza czy obiekt może być użyty jako tablica. I to ma 73mln pobrań tygodniowo xD

@szmichal @CzulyTomaszw C++ też idzie napisać trojana

@szmichal: kwintesencja współczesnego internetu, jakiś wklejony obrazek, nie da się kliknąć linka, szukać trzeba informacji na własną rękę, w źródle z obrazka nie ma informacji o przejętych paczkach, jakiś ciulaty filmik w komentarzu gdzie w opisie też oczywiście brak źródeł. Tragedia.

@PopeLeon: Tak, ale przeważająca większość programów napisanych w C/Cpp jest pisana z użyciem standardowych bibliotek dostarczanych z toolchainem i niewielkiej liczby paczek które w 99% przypadków pobierane są z repozytoriów dystrybucji systemu jakiego używasz.

Raz pisałem na rekrutację fullstackową aplikację w Cpp. Proste gui które zrobi DNS resolution z adresu podanego przez użytkownika i zapisze IP/IPki w bazie SQLowej.
Potrzebne mi do tego było gcc dostarczone z systemem, QT, SQLite3Pokaż całość

@pietryna123: a te standardowe biblioteki kto dostarcza? sw Mikołaj? Czasem to zapomnianie projekty z niezałatanymi dziurami od lat

@PopeLeon standardowe biblioteki? Deweloperzy kompilatora zwykle. To jest monolit, nie, że bez błędów, ale nie ma tam wstrzykniętych takich bzdur jakie widziałem pod linkiem który OP wstawił, bo to by się nawet pewnie nie skompilowało bo od razu by wyszło.

@pietryna123: pewnie dlatego przez wiele lat openssl miał heart bleed (╭☞σ ͜ʖσ)╭☞