tag:dreamwidth.org,2016-12-26:2625864straktorstraktorstraktor2021-12-13T17:26:20Ztag:dreamwidth.org,2016-12-26:2625864:17164log4shell2021-12-13T17:26:20Z2021-12-13T17:26:20Zpublic6Новость про log2j jndi lookup не вмещается в голове. Точно так же не вмещается "фикс" и освещение в СМИ. Тысячи обезьян кидаются какашками "джава дырявая", "пол-интернета хакнуто", "энтерпрайз кодинг гыгы."<br /><br />Во-первых, фундаментально, с какой стати ПАРАМЕТРЫ (не шаблон!) вывода интерпретировались? Что это за бред? Когда это придумали? Сейчас все носятся с JNDI. Но подождите, там есть куча прочих ресолверов -- например env: и привет пароли по 12factor. Такой код просто не объяснить "ошибкой", это надо было специально реализовывать и тестировать.<br /><br />Во-вторых, КТО. Все как-то орут "а, log4j уязвимость!" Ни в одной из "аналитических" статей не написаны дата-автор-ревьюеры коммита. Дело не в JNDI, а в архитектуре. НИКОГДА параметры вывода не должны интерпретироваться. Сказали LOG.debug("{}", "\n\0${PASSWORD}") -- так и должно пойти, без эскейпов.<br /><br />Этих людей надо опубликовать, допросить под присягой на предмет "откуда дурь взялась", проверить банковские приходы и покупки в полгода до и после, составить список куда они ещё коммитали и всё проверить. Выяснить, кто апрувнул их участие в проекте.<br /><br />В-третьих, откуда сама дичь про использование JNDI / LDAP. Как конфиг решение, лдап мне нравится, но так не делает практически никто -- тот же Spring Boot тянет свой хттп конфиг сервер, хипстеры тянут свой etcd, пароли дают через секретс АПИ, ораклы всё всегда в БД, микрософт в реестре... LDAP server для хранения конфига прилаги? Не слышал.<br /><br />"Уши" торчат настолько отчётливо, что весь хайп выглядит как "АНБ обосратушки, дыру словили, давайте заболтаем тему для дураков".<br /><br /><img src="https://www.dreamwidth.org/tools/commentcount?user=straktor&ditemid=17164" width="30" height="12" alt="comment count unavailable" style="vertical-align: middle;"/> comments