GitHub инициирован процесс верификации всех SSH-ключей

07.03.2012 23:08

В связи с произошедшим на днях инцидентом, в результате которого была продемонстрирована уязвимость, позволяющая осуществить подстановку своего SSH-ключа для любого проекта, GitHub инициирован процесс верификации всех SSH-ключей. Всем пользователям сервиса отправлено уведомление, требующее подтвердить добавленные ранее SSH-ключи через специально созданный web-интерфейс. До момента подтверждения SSH-ключи считаются неактивными и не могут использоваться для выполнения операций clone/pull/push с Git-репозиториями GitHub с использованием в качестве транспорта SSH.

В уведомлении также сообщается, что никакой активности злоумышленников не было выявлено, но GitHub решил прибегнуть к дополнительным мерам предосторожности, вызванным повышенным вниманием к обеспечению безопасности сервиса. Кроме подтверждения всех ключей, проведён аудит кода GitHub, добавлены дополнительные проверки при добавлении новых ключей (дополнительно запрашивается пароль от аккаунта), после добавления ключа на email владельца аккаунта отправляется уведомление об операции, все манипуляции с ключами и аккаунтом отображаются в логе, доступном для просмотра в блоке настроек аккаунта.

исправить +8 +/–

Лицензия: CC BY 3.0

Источник: email

Короткая ссылка: https://opennet.ru/33295-github

Ключевые слова: github, security

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.1, Аноним (-), 00:37, 08/03/2012 [ответить] [﹢﹢﹢] [ · · · ]	–13 +/–
а если линуксовое ведро таким же образом сломать, станет ли торвальц уделять больше внимания безопасности?

2.22, ананим (?), 03:01, 08/03/2012 [^] [^^] [^^^] [ответить]	+6 +/–
А ещё бредовее коменты писать умеете?

2.38, Аноним (-), 11:42, 08/03/2012 [^] [^^] [^^^] [ответить]	+/–
> а если линуксовое ведро таким же образом сломать, Да, через дырявую рельсу... которой в ядре ни разу нет, хорошо придумано :)

Часть нити удалена модератором

5.7, Ищавин (ok), 01:29, 08/03/2012 [ответить]

+4 +/–

Троль, еще какой:

>> At 8:49am Pacific Time... user exploited a security vulnerability in the public key update form... He was then able to push a new file to the project
>> At 9:53am Pacific Time... we rolled out a fix to the vulnerability.

Прошло не два дня, а чуть больше часа. Работу они сделали, проанализировали логи, выявили три эпизода подмены публичного ключа.

А акция по смене ключей, это всего лишь PR-ход, мол какие, мы молодцы, как параноим по поводу вашей безопасности. Так что зря вы «фалломорфировали от наглости людей».

Часть нити удалена модератором

7.9, Ищавин (ok), 01:55, 08/03/2012 [ответить]	+5 +/–
Нужно немного прояснить что такое ГитХаб с технической стороны. Это более 30 rails и более 30 sinatra приложений. Каждое rails приложение нужно изучить на предмет данной уязвимости, устранить ее, а потом протестировать это приложение. Все эти дни этот процесс и происходил, причем в контакте с господином Хомяковым. Потом почему-то Хомякову захотелось то ли прославиться, то ли доказать инженерам rails (с которыми он спорил по поводу критичности уязвимости), что он очень серьезен. В следствии чего произошел «взлом». ГитХабовцы теперь считают Хомякова за падлу, Хомяков считает себя падлой (и пишет об этом у себя в блоге), всем остальным пофиг. Да, конечно, когда подменили ключи, брешь пришлось закрыть «грязно», а аудит оставить на потом. То как ГитХаб уведомляет своих пользователей, дело ГитХаба, и то что он заставил вас верифицировать ключи, вполне нормально. И да, вы действительно должны, точно так же как это было с LastPass'ом. Другое дело, что данный «приказ» носит исключительно PR-характер, так как гитхабовцы прекрасно знают, что подмена случилась только в 3 репах. Другое дело, что до Хомякова кто-то мог использовать эту уязвимость, но для настолько детального анализа нужна куча времени, так что принудительно сбросить ключи самый лучший вариант.

8.10, arisu (ok), 02:05, 08/03/2012 [^] [^^] [^^^] [ответить]	–7 +/–
какого дьявола после репорта гитхаб не был переведён в r o при наличии такой ... большой текст свёрнут, показать

9.11, Ищавин (ok), 02:13, 08/03/2012 [^] [^^] [^^^] [ответить]	+3 +/–
Это вопросы политики проекта Переводить в ro, еще сложнее, чем пофиксить масс-а... текст свёрнут, показать

10.12, arisu (ok), 02:18, 08/03/2012 [^] [^^] [^^^] [ответить]	–6 +/–
внизапна, это опять личный факап гитхаба стоило бы предусмотреть такую фичу я ... большой текст свёрнут, показать

11.14, Ищавин (ok), 02:23, 08/03/2012 [^] [^^] [^^^] [ответить]	+2 +/–
Фичу чего, ro в одной части админки Всю админку в ro, опять же школьничество... текст свёрнут, показать

12.16, arisu (ok), 02:29, 08/03/2012 [^] [^^] [^^^] [ответить]	–4 +/–
вздыхает весь, весь сайт 171 савсэм бэлый 187 ц 8230 поэтому проекти... текст свёрнут, показать

12.34, Аноним (-), 11:38, 08/03/2012 [^] [^^] [^^^] [ответить]	–2 +/–
Вообще-то от них зависят тысячи и тысячи людей Это подразумевает некоторую степ... текст свёрнут, показать

9.28, jesus (??), 09:09, 08/03/2012 [^] [^^] [^^^] [ответить]	+1 +/–
ты не прав понимаешь, если у тебя от чего-то засвербило пониже спины, ты лучше ... текст свёрнут, показать

10.33, Аноним (-), 11:36, 08/03/2012 [^] [^^] [^^^] [ответить]	–2 +/–
А у вас пониже спины от возможности кого угодно закоммитить вам что угодно не св... текст свёрнут, показать

2.23, Xasd (ok), 03:11, 08/03/2012 [^] [^^] [^^^] [ответить]

+/–

> с омерзением удалился и внёс в «чёрный список».

1. какую программу использовали для организации "чёрного списка"?

2. если [предположим что] https нифига не защищает (так как [предположим] что протокол ущербен) -- то http более безопасен чем https ??? (или что Вы там хотите предложить в качестве замены https?)

3.25, arisu (ok), 03:33, 08/03/2012 [^] [^^] [^^^] [ответить]

–3 +/–

> 1. какую программу использовали для организации «чёрного списка»?

ferm. элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой.

> 2. если [предположим что] https нифига не защищает (так как [предположим] что
> протокол ущербен) — то http более безопасен чем https ??? (или
> что Вы там хотите предложить в качестве замены https?)

странно употреблять термин «более безопасен» по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще. при этом https однозначно вредней, потому что даёт *иллюзию* безопасности.

алсо, я не предлагал «выкинуть https», я всего лишь предлагал «вернуть http» и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку «идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.»

4.39, myhand (ok), 14:32, 08/03/2012 [^] [^^] [^^^] [ответить]

+2 +/–

> элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой.

К доктору сходите, пожалуйста. Это уже что-то с чем-то, мы тут все переживаем за ваше здоровье.

> https однозначно вредней, потому что даёт *иллюзию* безопасности.

Почему кто-то должен страдать от ваших иллюзий? Просто не переносите свои фантазии на других, ни для кого кроме вас оные обязательными не являются.

> странно употреблять термин «более безопасен» по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще.

"Один из" - это который? Используя HTTPS не приходится передавать реквизиты доступа в HTTP сеансе как plain-текст. Наконец, попросту тарболл, который вы скачиваете с гитхаба - действительно окажется с него. "Более безопасен" (по сравнению с простым HTTP), или вы действительно разницы не видите?

> я всего лишь предлагал «вернуть http» и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку «идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.»

Мало-ли что вы хотите. Если бы этим вы создавали проблемы только себе - вам разрешили бы просто вход без вовсе авторизации. Но есть и другие пользователи хостинга.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: