Názory k článku Postřehy z bezpečnosti: DeepSeek přenáší citlivá data nešifrovaně na servery v ČLR

ViewState je metoda používaná ve frameworku ASP.NET k uchování hodnot stránek a ovládacích prvků mezi zpětnými zálohami.

Co to jsou zpetne zalohy?

Nemel ViewState jen uchovavat stav aplikace napric HTTP pozadavky? Tj. obchazet bezestavovost HTTP?

Strojový překlad slova postback. Tedy že stránka udělá celkový POST a v hidden poli viewstate byla uložená data o stavu, aby se použil pro nové vykreslení.

Ale to RCE není obecná vlastnost mechanismu viewstate. To je jen chyba nějaké konkrétní webové aplikace, že se ta data na straně serveru zpracovávala nevhodným způsobem, že slepě věřili, že se jim vrátí jen to co tam vložili.

Musím se opravit, RCE je opakovaně se vyskytující chyba mechanismu, kterým .net deserializuje data...
https://github.com/pwntester/ysoserial.net

To bude asi něco podobného, jako pickle v pythonu, případně unserialialize v PHP. Všechny tyto podobné funkce se dají zneužít, pokud se do nich předá uživatelský vstup, protože dovolují vytvořit instanci jakékoliv třídy a nastavit jakékoliv její atributy (vč. private).

Je to všeobecný problém serializujúcich knižníc. Mal som na Githube zopár cvičných príkladov
s Java Jackson knižnicou, spolu s Maven konfiguráciou a verziou Jacksonu. Zavalil ma nekončiaci prúd bezpečnostných warningov, že si mám upgradovať verziu na novšiu, lebo v tej starej je bug.

Ad DeepSeek: on snad někdo čekal že to bude jinak?

souhlas. mě by spíš překvapilo, kdyby ne. čekal jsem, že to bude něco posílat šifrovaně a llm nadšenci se budou hádat co to vlastně je...

a co vam vlastne vadi?
cinania sa spravaju uplne transparentne :) nic nezatajuju ako zapadne firmy ktore prenasaju zasifrovane data medzi aplikaciami a ich servermi a nikto nevie co vsetko vlastne na tie servery posielaju
cinania to robia podla pravidiel transparentnosti, kazdy si moze pozriet ake data o nom ta apka posiela :)

ak by to prenasali sifrovane tak zas kricite, ze neviete co vsetko sa posiela na cinske servery, tak to cinania spravili tak aby ste vedeli co tam posielaju :)

ja chvalim cinanov za tu transparentnost :)

Nikdo normální ne. O to hloupější je, jak se IT bulvár snaží tu věc dokolečka nafouknout a zatajit zbytek obrázku (např. že na těch serverech běží taky běžně používaná analytika, apod. a je to naprosto normální, protože bytedance NENÍ jen tiktok).
Jako "bezpečnostní" :D problém označují dokonce nedostatečnou cenzuru. To už je opravdu roztomilé, jak se snaží hejtovat a poškodit full open-source model, který si každý může provozovat kde chce (a podle své neocenzury, jak je teď v módě).

Čína, naprosto běžná praxe.

Stejně jako v EU, nebo si snad budeme hrát na to, že žádné cookie lišty a gdpr popupy neexistují?
Např. na tomto webu tady na stránce, kde píšu komentář je 13 externích sledovacích scriptů (uBlock) a zřejmě něco předtím už zablokoval privacy badger. Ve zdrojovém kódu této stránky jsem ale neobjevil ani jediný integrity hash, všechny ty externí javascripty lze tedy spolehlivě považovat za velmi rizikové a nebezpečné.

Na co že si to máme hrát s GDPR a consentem?

MS se prestehoval do ciny?

https://borncity.com/win/2025/02/13/microsoft-office-tries-to-connect-and-block-aprimocdn-net/

MS zatím ne, ale očividně jeden z jeho partnerů, pro který má nativní konektor v officech.

MS aplikace jsou v posledních letech neskutečný bordel, vidím 3500 pravidel na komunikaci po síti.

Je mi vlastně úplně jedno zda vše co do DeepSeeku napíšu může videt celý internet. Do žádné z těch služeb bych nikdy neposlal data, která nejsem ochoten zveřejnit. Takže klidně ať si moje dotazy na tvoření dashboardu v home assistantu přečte čínská vlada...

Ty cinsky je to jedno, ale ta emericka si pro tebe prijde protoze si "neopranene spolupracoval s cizi moci".