В связи с произошедшим (http://www.opennet.me/opennews/art.shtml?num=33268) на днях инцидентом, в результате которого была продемонстрирована уязвимость, позволяющая осуществить подстановку своего SSH-ключа для любого проекта, GitHub инициирован процесс верификации всех SSH-ключей. Всем пользователям сервиса отправлено уведомление, требующее подтвердить добавленные ранее SSH-ключи через специально созданный web-интерфейс (https://github.com/settings/ssh/audit). До момента подтверждения SSH-ключи считаются неактивными и не могут использоваться для выполнения операций clone/pull/push с Git-репозиториями GitHub с использованием в качестве транспорта SSH.
В уведомлении также сообщается, что никакой активности злоумышленников не было выявлено, но GitHub решил прибегнуть к дополнительным мерам предосторожности, вызванным повышенным вниманием к обеспечению безопасности сервиса. Кроме подтверждения всех ключей, проведён аудит кода GitHub, добавлены дополнительные проверки при добавлении новых ключей (дополнительно запрашивается пароль от аккаунта), после добавления ключа на email владельца аккаунта отправляется уведомление об операции, все манипуляции с ключами и аккаунтом отображаются в логе, доступном для просмотра в блоке настроек аккаунта.
URL: http://github.com/
Новость: http://www.opennet.me/opennews/art.shtml?num=33295
а если линуксовое ведро таким же образом сломать, станет ли торвальц уделять больше внимания безопасности?
А ещё бредовее коменты писать умеете?
> а если линуксовое ведро таким же образом сломать,Да, через дырявую рельсу... которой в ядре ни разу нет, хорошо придумано :)
Троль, еще какой:>> At 8:49am Pacific Time... user exploited a security vulnerability in the public key update form... He was then able to push a new file to the project
>> At 9:53am Pacific Time... we rolled out a fix to the vulnerability.Прошло не два дня, а чуть больше часа. Работу они сделали, проанализировали логи, выявили три эпизода подмены публичного ключа.
А акция по смене ключей, это всего лишь PR-ход, мол какие, мы молодцы, как параноим по поводу вашей безопасности. Так что зря вы «фалломорфировали от наглости людей».
Нужно немного прояснить что такое ГитХаб с технической стороны. Это более 30 rails и более 30 sinatra приложений. Каждое rails приложение нужно изучить на предмет данной уязвимости, устранить ее, а потом протестировать это приложение. Все эти дни этот процесс и происходил, причем в контакте с господином Хомяковым. Потом почему-то Хомякову захотелось то ли прославиться, то ли доказать инженерам rails (с которыми он спорил по поводу критичности уязвимости), что он очень серьезен. В следствии чего произошел «взлом». ГитХабовцы теперь считают Хомякова за падлу, Хомяков считает себя падлой (и пишет об этом у себя в блоге), всем остальным пофиг. Да, конечно, когда подменили ключи, брешь пришлось закрыть «грязно», а аудит оставить на потом.То как ГитХаб уведомляет своих пользователей, дело ГитХаба, и то что он заставил вас верифицировать ключи, вполне нормально. И да, вы действительно должны, точно так же как это было с LastPass'ом. Другое дело, что данный «приказ» носит исключительно PR-характер, так как гитхабовцы прекрасно знают, что подмена случилась только в 3 репах. Другое дело, что до Хомякова кто-то мог использовать эту уязвимость, но для настолько детального анализа нужна куча времени, так что принудительно сбросить ключи самый лучший вариант.
какого дьявола после репорта гитхаб не был переведён в r/o? при наличии *такой* уязвимости сервера гасятся сразу, влёт. а не «мы тут чота колупаем и делаем вид, что всё пучком». сра-зу. с сообщением на главной, почему погасили и примерными сроками подъёма. всё остальное — пионерия и/или наплевательство на юзеров.гитхаб, всё-таки, достаточно технический сервис, чтобы основная масса его пользователей поняла величину дырени и поняла, почему на несколько дней всё замерло.
к тому же насколько я понял, «приватные» репозитории не подвержены, ибо чтобы вломиться, надо видеть сам репозиторий. поэтому «приватов» (кои суть платники) можно было тоже успокоить («ваш процесс не поломан, всё ок»).
если такой технической возможности нет в коде — это очередной факап гитхаба.
далее. *я* не считаю такую форму обращения нормальной (а что было с lastpass и что это — я и вовсе не знаю). ещё раз: я не против того, чтобы подтвердить неверблюжесть, я против формы, в которой это было выражено. да, я им ничего не плачу, факт. если они считают, что поэтому ко мне можно относиться как к мальчику на побегушках и говорить соответствующим тоном — их право. я же за собой оставляю право этим публично возмутиться и уйти с гитхаба. это тоже пиар, которого они так хотели, чо.
Это вопросы политики проекта. Переводить в ro, еще сложнее, чем пофиксить масс-асаймент. В ro не репы переводятся, а часть интерфейса ГитХаба. Опять же, написали код, протестировали, вывели в продакшн. В итоге это займет еще больше времени, чем фикс основной проблемы. «Гасить» весь сайт, это вообще какое-то школьничество. Я даже не припомню, когда кто-то так делал, разве что какие-то государственный структуры.Если это вас так задевает, напишите им письмо, можно даже открытое.
> Это вопросы политики проекта. Переводить в ro, еще сложнее, чем пофиксить масс-асаймент.внизапна, это опять личный факап гитхаба. стоило бы предусмотреть такую фичу. я не верю, что при проектировании подобного сервиса *никто* не задумался о том, что иногда надо будет делать какие-то очень срочные телодвижения, в течение которых сервис стоит держать в r/o. а если не подумали… привет, пионерия.
> В ro не репы переводятся, а часть интерфейса ГитХаба.
вообще-то, *всё*. *особенно* репы. just in case, и чтобы не мешали разбору полётов.
> больше времени, чем фикс основной проблемы. «Гасить» весь сайт, это вообще
> какое-то школьничество. Я даже не припомню, когда кто-то так делал, разве
> что какие-то государственный структуры.если у них нет возможности быстро сделать r/o — то гасить, да. школьничество — это делать вид, что ничего не произошло и втихаря в чулане судорожно пилять фикс. ну, или корпорастничество, тем тоже плюй в глаза.
> Если это вас так задевает, напишите им письмо, можно даже открытое.
я, кагбэ, сразу после получения приказа бежать доказывать отсутствие горбов и написал. аккурат перед тем, как удалить следы своего пребывания на этом недосервисе.
p.s. не открытое, конечно: я не собираюсь затевать движение «все скажем гитхабу нафиг», у каждого своя голова на плечах, пусть решает. но *для меня* неуход с гитхаба после этого письма — показатель того, что человек холуй. не люблю работать с холуями.
Фичу чего, ro в одной части админки?))) Всю админку в ro, опять же школьничество. То что вы называете ro, они называют мэйнтэйнс и он переводит в ro весь сайт. Предугадывать более сложные комбинации... Они вообще-то не софт для Шатла строят.Если бы они все в ro перевили, вот тогда бы их материть и стоило. Я бы был куда более рассержен, если бы они оставили только ro, чем наличие этой эфемерной уязвимости.
Ваша позиция ясна, желаю адачи на других сервисах!
> Фичу чего, ro в одной части админки?)))(вздыхает) весь, весь сайт. «савсэм бэлый!» (ц)
> Они вообще-то не софт для Шатла строят.
…поэтому проектировать его и не надо, это пусть репоголовые академики проектируют.
> Если бы они все в ro перевили, вот тогда бы их материть
> и стоило. Я бы был куда более рассержен, если бы они
> оставили только ro, чем наличие этой эфемерной уязвимости.(пожимает плечами) подход к security ясен, спор был ни о чём.
> Ваша позиция ясна, желаю адачи на других сервисах!
tnx. я-то ничего особого не потерял: ну, одним местом бэкапа меньше. гитхаб тоже не потерял: ну, одним мной меньше. так и разошлись.
> Предугадывать более сложные комбинации... Они
> вообще-то не софт для Шатла строят.Вообще-то от них зависят тысячи и тысячи людей. Это подразумевает некоторую степень ответственности за свои деяния. Не настолько уж и меньше чем в софте для шаттла.
ты не прав. понимаешь, если у тебя от чего-то засвербило пониже спины, ты лучше вставь свечку и к врачу сходи. не нужно свои причинные боли изливать публично
> ты не прав. понимаешь, если у тебя от чего-то засвербило пониже спины,А у вас пониже спины от возможности кого угодно закоммитить вам что угодно не свербит? А озвучьте названия проектов чтоли? Ну чтоб я знал какими проектами ни в коем разе не следует пользоваться по причине наплевательского отношения к собственной безопасности.
> с омерзением удалился и внёс в «чёрный список».1. какую программу использовали для организации "чёрного списка"?
2. если [предположим что] https нифига не защищает (так как [предположим] что протокол ущербен) -- то http более безопасен чем https ??? (или что Вы там хотите предложить в качестве замены https?)
> 1. какую программу использовали для организации «чёрного списка»?ferm. элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой.
> 2. если [предположим что] https нифига не защищает (так как [предположим] что
> протокол ущербен) — то http более безопасен чем https ??? (или
> что Вы там хотите предложить в качестве замены https?)странно употреблять термин «более безопасен» по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще. при этом https однозначно вредней, потому что даёт *иллюзию* безопасности.
алсо, я не предлагал «выкинуть https», я всего лишь предлагал «вернуть http» и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку «идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.»
> элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой.К доктору сходите, пожалуйста. Это уже что-то с чем-то, мы тут все переживаем за ваше здоровье.
> https однозначно вредней, потому что даёт *иллюзию* безопасности.
Почему кто-то должен страдать от ваших иллюзий? Просто не переносите свои фантазии на других, ни для кого кроме вас оные обязательными не являются.
> странно употреблять термин «более безопасен» по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще.
"Один из" - это который? Используя HTTPS не приходится передавать реквизиты доступа в HTTP сеансе как plain-текст. Наконец, попросту тарболл, который вы скачиваете с гитхаба - действительно окажется с него. "Более безопасен" (по сравнению с простым HTTP), или вы действительно разницы не видите?
> я всего лишь предлагал «вернуть http» и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку «идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.»
Мало-ли что вы хотите. Если бы этим вы создавали проблемы только себе - вам разрешили бы просто вход без вовсе авторизации. Но есть и другие пользователи хостинга.