优惠论坛

标题: 慢雾余弦：虽然Ledger npmjs被投毒版本已删除，但目前jsDelivr上还有带毒js文件（转） [打印本页]

作者: ppp 时间: 2023-12-15 10:59
标题: 慢雾余弦：虽然Ledger npmjs被投毒版本已删除，但目前jsDelivr上还有带毒js文件（转）
金色财经报道，慢雾创始人余弦在社交媒体就Ledger漏洞发文表示，项目方目前需要注意：
1.Ledger被投毒的模块在npmjs平台上，前员工的npmjs账号被钓鱼劫持走后，攻击者就可以任意发布带毒的模块版本。
2.发布后的模块会自动更新到jsDelivr CDN下。
3.Ledger的Connect Kit直接引入了jsDelivr CDN js文件，非常粗暴，没有文件哈希绑定，没有严格限制引入版本。
4.前员工居然还遗留这么重要的权限，内部安全管理机制得好好增强了，最坏原则，如果内部作恶，是否可以有效避免并及时发现。
5.需要注意下，虽然Ledger npmjs被投毒的版本已经删除，但目前在jsDelivr上还有带毒js文件。
这些安全建议供其他项目方借鉴，别偷懒，每一次安全事件都是复盘自身的好机会。

作者: 22301 时间: 2023-12-15 11:23
有毒的也是需要去处理掉了啊。

作者: 越前龙马 时间: 2023-12-15 14:49
这样的建议我都是一律没有兴趣了，做其它东西更好

作者: 一帆风顺发 时间: 2023-12-15 14:49
建议不要一股脑全采纳，这只会看起来很呆头呆脑

作者: wodezhuanyong 时间: 2023-12-15 14:50
建议什么的与我关系不大，一概没有兴趣了

作者: drogan 时间: 2023-12-15 14:50
这么的建议我也是要来瞧瞧看，学学点东西了

作者: 不洗脸都帅 时间: 2023-12-15 15:05
给建议还是需要沉着冷静的人啊，我也是来学习了

作者: wuzhaoshichao 时间: 2023-12-15 15:10
建议需要冷静的人，否则的话倒不如不给更好。

作者: linxiaoshan888 时间: 2023-12-15 15:13
建议不要一揽子全接纳，这只会变得很蠢

作者: 小希哥 时间: 2023-12-15 15:16
建议还是需要理智的给，否则是适得其反

作者: 我的花园 时间: 2023-12-15 15:21
建议还是需要适可而止的给，否则是拔苗助长

作者: wuzhaoshichao 时间: 2023-12-15 15:24
给建议还是需要冷静的人啊，我也是来学学了

作者: xiaoyi 时间: 2023-12-15 15:27
给建议什么的都是牛逼的人，我只是来学习一下而已

作者: bishao 时间: 2023-12-15 15:37
这些的建议我也是要来看看，学习点东西了

作者: 心随你动 时间: 2023-12-15 15:38
建议需要理性的人，不然的话倒不如不给更好。

作者: 心随你动 时间: 2023-12-15 15:38
建议的还是分人的，不一定一切都好

作者: 不洗脸都帅 时间: 2023-12-15 15:39
建议的还是看人的，不肯定一切都好

作者: 我的花园 时间: 2023-12-15 15:47
给建议什么的都是牛逼的人，我只是来凑热闹一下而已

作者: wodezhuanyong 时间: 2023-12-15 15:54
建议什么的与我无关，全部没有兴趣了

作者: 星星知我心 时间: 2023-12-15 16:00
这样的建议我都是根本兴致缺缺了，做别的东西更好

作者: rainwang 时间: 2023-12-15 19:11
这里所以说的投毒，就是指的黑客吧

作者: 赚钱小样 时间: 2023-12-16 17:43
最怕的就是有病毒的这个了

作者: 爱美的女人 时间: 2023-12-18 00:16
不管是什么也是要早早的看

作者: 爬格子的瘦书生 时间: 2023-12-18 16:55
这些版本怎么都是带上了病毒的

作者: 舞出精彩 时间: 2023-12-18 19:12
慢雾余弦还是要在看哪个意思

作者: 小小主 时间: 2023-12-20 21:26
还是有带病毒，看最后怎么办的

作者: yubuluowang 时间: 2023-12-21 21:12
这样带病毒的文件很危险了吧

欢迎光临优惠论坛 (https://www.tcelue.cc/)