Если вдруг кто-то думает, что Apple и другие корпорации справедливо наезжают только на сторонников варварского режима, а, пока ты правильный человек, который вёдет себя как нужно, то никаких проблем, то вот ещё история из сети.
Есть такой альтернативный клиент для Инстаграма The OG App. Он убирает всякий мусор вроде рекламы и тупых рекомендаций от алгоритмов, зато позволяет, например, создавать кастомные ленты с нужным тебе содержимым. Если вы думаете, что это что-то незаконное, то нет: до недавнего времени клиент распространялся через AppStore и Google Play. Причём, этот клиент не один такой, их даже в топе популярных несколько штук.
И вот разработчики The OG App пишут, что почти одновременно произошли два события:
- Apple удалила их клиент из AppStore
- Facebook забанил личные аккаунты (!!!) всей команды
На второе особенно стоит обратить внимание. Чисто формально американская капиталистическая модель разделяет ответственность компании и личную ответственность кого-либо из её сотрудников. Если условный Сбер получает бан от Гитхаба, то нет такого закона, который позволил бы Гитхабу забанить личные аккаунты сотрудников Сбера, если только на них как на отдельные лица не был наложен запрет.
Члены команды OG App пишут, что для такого действия сотрудники Фейсбука должны были вручную искать каждого из них лично на LinkedIn или в Google, потому что никакой более явной связи между ними и приложением не было.
Что касается удаления из AppStore, то, опять же, судя по всему, об этом просто попросил Фейсбук. Там у приложения, как пишут, был всплеск популярности, оно стало заметнее, и его забанили.
Авторы предлагают переходить на андроид, лол :) И это не в какой-то варварской стране под банами.
#web
👨💻 Attacking Policy.
• Open Policy Agent — это open-source-инструмент контроля доступа, основанный на политиках, который создан в 2016 году и с тех пор стабильно развивается. Сейчас он входит в каталог дипломированных проектов Cloud Native Computing Foundation (CNCF). Его используют Netflix, Pinterest, TripAdvisor и другие компании.
• В этой статье перечислены определенные векторы атак, которые могут быть вызваны неправильной конфигурацией Open Policy Agent:
• Allowed Repositories;
• Automount Service Account Token for Pod;
• Block Endpoint Edit Default Role;
• Block Services with type LoadBalancer;
• Block NodePort;
• Block Wildcard Ingress;
• Disallow Interactive TTY Containers;
• Step-by-Step Instructions;
• Allow Privilege Escalation in Container;
• Step-by-Step Instructions;
• Privileged Container;
• Read Only Root Filesystem;
• Host Networking Ports;
• App Armor;
• SELinux V2;
• Resources.
#devsecops
👩💻 Attacking NodeJS Application.
- Use flat Promise chains;
- Set request size limits;
- Do not block the event loop;
- Perform input validation;
- Perform output escaping;
- Perform application activity logging;
- Monitor the event loop;
- Take precautions against brute-forcing;
- Use Anti-CSRF tokens;
- Prevent HTTP Parameter Pollution;
- Do not use dangerous functions;
- Use appropriate security headers;
- Listen to errors when using EventEmitter;
- Set cookie flags appropriately;
- Avoid eval(), setTimeout(), and setInterval();
- Avoid new Function();
- Avoid code serialization in JavaScript;
- Use a Node.js security linter;
- References.
#devsecops
👨💻 Attacking APIs \ Атаки на API.
• Программный интерфейс приложений (API) - фундаментальный элемент инноваций в современном, движимом приложениями мире. API - важная составляющая современных мобильных, SaaS и веб приложений, используемая в клиентских, партнерских и внутренних приложениях от банковской сферы, сфер розничных продаж и логистики до интернета вещей, автономных автомобилей и умных городов.
• По своей природе API раскрывают логику приложения и критичные данные, например, персональные данные, именно поэтому API все чаще становятся целью злоумышленников. Стремительные инновации невозможны без безопасных API. В этой статье рассматриваются общие векторы атак на API и приводятся примеры безопасной разработки.
➡️https://blog.devsecopsguides.com/attacking-apis
#devsecops
👨💻 Attacking Pipeline.
• DevOps resources compromise;
• Control of common registry;
• Direct PPE (d-PPE);
• Indirect PPE (i-PPE);
• Public PPE;
• Changes in repository;
• Inject in Artifacts;
• User/Services credentials;
• Typosquatting docker registry image;
• Resources.
#DevOps#DevSecOps