Хакер #305. Многошаговые SQL-инъекции
Переименовать Black Hat?
Журналисты издания ZDNet обратили внимание, что в минувшие выходные в ИБ-сообществе развернулась жаркая дискуссия, начало которой положила серия твитов Дэвида Клейдермахера (David Kleidermacher), вице-президента по инженерным разработкам в Google, ответственного за безопасность Android и Google Play Store. Он заявил, что отменяет свое выступление на конференции Black Hat USA 2020 и сообщил, что термины «black/white hat», по его мнению недостаточно нейтральны и должны быть изменены.
These changes remove harmful associations, promote inclusion, and help us break down walls of unconscious bias. Not everyone agrees which terms to change, but I feel strongly our language needs to (this one in particular).
— David Kleidermacher (@DaveKSecure) July 3, 2020
В серии постов Клейдермахер предложил всем участникам индустрии задуматься о том, что такие понятия, как black hat, white hat и man-in-the-middle нуждаются в более в нейтральных альтернативах. И хотя специалист говорил о подобных изменениях в целом, в итоге его заявления прозвучали как призыв к изменению названия конференции Black Hat. Так как данная конференция – одно из крупнейших в мире мероприятий, посвященных кибербезопасности, заявление Клейдермахера вызвали большой резонанс.
Хотя некоторые поддержали Клейдермахера, оказалось, что подавляющее большинство членов ИБ-сообщества не разделяют его взглядов, а его заявления и вовсе были названы показушной добродетелью возведенной в абсолют. Также сотруднику Google указали на очевидное: термины «black hat» и «white hat» не имеют ничего общего с расизмом и цветом кожи, ведь они берут начало в классических вестернах, где злодей обычно носил черную шляпу, а герой — белую. Другие пользователи отмечали дуализм черного и белого, что обычно олицетворяет добро и зло, — концепции, которые существовали на заре цивилизации, задолго до появления расизма.
Little confused by this whole "Black Hat is racist" argument. The term came from hat colors in western movies, and has nothing to do with race. Coming up with racist connotations for non-racially charged terms, then trying to change them on those grounds just feels wrong.
— MalwareTech (@MalwareTechBlog) July 4, 2020
I'm confused, I thought black and white hats had their basis in old westerns where the goods guys wore the white hats and the villains wore the black. If I'm being ignorant I apologise https://t.co/220EbXzoft
— Fenrir (@semibogan) July 4, 2020
The term “Black Hat” comes from the depiction of a mysterious hacker that stays in the dark, wearing black to avoid drawing attention.
— Azeria (@Fox0x01) July 4, 2020
It refers to the color of a hat, not the hacker’s skin color. https://t.co/5F6bErwrlG pic.twitter.com/EF9F0CusrE
Другие компании
Клейдермахер далеко не первый, кто заговорил о данной проблеме. Совсем недавно мы рассказывали о том, что под влиянием протестов Black Lives Matter, прокатившихся по всей территории США, ИТ-сообщество вновь вернулось к обсуждению вопросов неуместной и оскорбительной терминологии, и в настоящее время многие разработчики прилагают усилия для удаления подобных терминов из своего исходного кода, приложений и онлайн-сервисов.
К примеру, о намерении подыскать альтернативы для whitelist/blacklist в последнее время сообщили разработчики Android, языка программирования Go, библиотеки PHPUnit и утилиты Curl. В свою очередь, авторы проекта OpenZFS уже работают над заменой терминов master/slave, использующихся для описания связей между средами хранения.
Подобные изменения обычно включают в себя отказ от использования терминов master и slave («хозяин» и «раб») в пользу таких альтернатив как main, default, primary и, соответственно, secondary. Также устоявшиеся понятия whitelist и blacklist, то есть «черный список» и «белый список», заменяют на нейтральные allow list и deny/exclude list («список разрешений» и «список запретов/исключений»).
Хотя многие проекты, которые не используют подобные термины напрямую в своем исходном коде или пользовательских интерфейсах, они обратили внимание на свои репозитории с исходниками. Дело в том, что большинство этих проектов управляют исходными кодами с помощью Git или GitHub, а Git и GitHub, в частности, используют обозначение master для дефолтного репозитория. Разработчики GitHub и Git пишут, что уже «работают над проблемой», а ряд опенсорсных проектов уже поддержали Black Lives Matter и сами изменили названия своих репозиториев с master по умолчанию на различные альтернативы (такие как main, default, primary, root и так далее). В их числе OpenSSL, Ansible, PowerShell, JavaScript-библиотека P5.js и многие другие.
После этого, в начале июля об изменениях такого рода также сообщили разработчики ядра Linux, компаний Microsoft, LinkedIn, Google и Twitter. Все они обещали изменить технический язык своих продуктов и инфраструктуры, и избавиться от таких терминов, как master, slave, blacklist, whitelist и так далее.
Even change logs ✊ pic.twitter.com/n9RiMGEPeU
— Mr.doob (@mrdoob) July 2, 2020
Стоит отдельно отметить, что компания Twitter пошла дальше других и сочла некорректным использование даже таких терминов, как man hours («человеко-часы»; предлагается заменить на «персоно-часы») или sanity check («проверка работоспособности» или, в другом контексте, «санитарная проверка»; предлагается заменить на «быструю проверку», так как слово sanity в английском языке может относиться и к психике, психическому здоровью, а термин может читаться как «проверка на вменяемость»).
We’re starting with a set of words we want to move away from using in favor of more inclusive language, such as: pic.twitter.com/6SMGd9celn
— Twitter Engineering (@TwitterEng) July 2, 2020