форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"GitHub инициирован процесс верификации всех SSH-ключей"	+/–
Сообщение от opennews (??) on 08-Мрт-12, 00:37
В связи с произошедшим (http://www.opennet.me/opennews/art.shtml?num=33268) на днях инцидентом, в результате которого была продемонстрирована уязвимость, позволяющая осуществить подстановку своего SSH-ключа для любого проекта, GitHub инициирован процесс верификации всех SSH-ключей. Всем пользователям сервиса отправлено уведомление, требующее подтвердить добавленные ранее SSH-ключи через специально созданный web-интерфейс (https://github.com/settings/ssh/audit). До момента подтверждения SSH-ключи считаются неактивными и не могут использоваться для выполнения операций clone/pull/push  с Git-репозиториями GitHub с использованием в качестве транспорта SSH. В уведомлении также сообщается, что никакой активности злоумышленников не было выявлено, но GitHub решил прибегнуть к дополнительным мерам предосторожности, вызванным повышенным вниманием к обеспечению безопасности сервиса. Кроме подтверждения всех ключей, проведён аудит кода GitHub, добавлены дополнительные проверки при добавлении новых ключей (дополнительно запрашивается пароль от аккаунта), после добавления ключа на email владельца аккаунта отправляется уведомление об операции, все манипуляции с ключами и аккаунтом отображаются в логе, доступном для просмотра в блоке настроек аккаунта. URL: http://github.com/ Новость: http://www.opennet.me/opennews/art.shtml?num=33295
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "GitHub инициирован процесс верификации всех SSH-ключей"	–13 +/–
Сообщение от Аноним (??) on 08-Мрт-12, 00:37
а если линуксовое ведро таким же образом сломать, станет ли торвальц уделять больше внимания безопасности?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "GitHub инициирован процесс верификации всех SSH-ключей"	+6 +/–
	Сообщение от ананим on 08-Мрт-12, 03:01
	А ещё бредовее коменты писать умеете?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	38. "GitHub инициирован процесс верификации всех SSH-ключей"	+/–
	Сообщение от Аноним (??) on 08-Мрт-12, 11:42
	> а если линуксовое ведро таким же образом сломать, Да, через дырявую рельсу... которой в ядре ни разу нет, хорошо придумано :)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Часть нити удалена модератором

	7. "GitHub инициирован процесс верификации всех SSH-ключей"	+4 +/–
	Сообщение от Ищавин (ok) on 08-Мрт-12, 01:29
	Троль, еще какой: >> At 8:49am Pacific Time... user exploited a security vulnerability in the public key update form... He was then able to push a new file to the project >> At 9:53am Pacific Time... we rolled out a fix to the vulnerability. Прошло не два дня, а чуть больше часа. Работу они сделали, проанализировали логи, выявили три эпизода подмены публичного ключа. А акция по смене ключей, это всего лишь PR-ход, мол какие, мы молодцы, как параноим по поводу вашей безопасности. Так что зря вы «фалломорфировали от наглости людей».
	Ответить | Правка | Наверх | Cообщить модератору

Часть нити удалена модератором

	9. "GitHub инициирован процесс верификации всех SSH-ключей"	+5 +/–
	Сообщение от Ищавин (ok) on 08-Мрт-12, 01:55
	Нужно немного прояснить что такое ГитХаб с технической стороны. Это более 30 rails и более 30 sinatra приложений. Каждое rails приложение нужно изучить на предмет данной уязвимости, устранить ее, а потом протестировать это приложение. Все эти дни этот процесс и происходил, причем в контакте с господином Хомяковым. Потом почему-то Хомякову захотелось то ли прославиться, то ли доказать инженерам rails (с которыми он спорил по поводу критичности уязвимости), что он очень серьезен. В следствии чего произошел «взлом». ГитХабовцы теперь считают Хомякова за падлу, Хомяков считает себя падлой (и пишет об этом у себя в блоге), всем остальным пофиг. Да, конечно, когда подменили ключи, брешь пришлось закрыть «грязно», а аудит оставить на потом. То как ГитХаб уведомляет своих пользователей, дело ГитХаба, и то что он заставил вас верифицировать ключи, вполне нормально. И да, вы действительно должны, точно так же как это было с LastPass'ом. Другое дело, что данный «приказ» носит исключительно PR-характер, так как гитхабовцы прекрасно знают, что подмена случилась только в 3 репах. Другое дело, что до Хомякова кто-то мог использовать эту уязвимость, но для настолько детального анализа нужна куча времени, так что принудительно сбросить ключи самый лучший вариант.
	Ответить | Правка | Наверх | Cообщить модератору

	10. "GitHub инициирован процесс верификации всех SSH-ключей"	–7 +/–
	Сообщение от arisu (ok) on 08-Мрт-12, 02:05
	какого дьявола после репорта гитхаб не был переведён в r/o? при наличии *такой* уязвимости сервера гасятся сразу, влёт. а не «мы тут чота колупаем и делаем вид, что всё пучком». сра-зу. с сообщением на главной, почему погасили и примерными сроками подъёма. всё остальное — пионерия и/или наплевательство на юзеров. гитхаб, всё-таки, достаточно технический сервис, чтобы основная масса его пользователей поняла величину дырени и поняла, почему на несколько дней всё замерло. к тому же насколько я понял, «приватные» репозитории не подвержены, ибо чтобы вломиться, надо видеть сам репозиторий. поэтому «приватов» (кои суть платники) можно было тоже успокоить («ваш процесс не поломан, всё ок»). если такой технической возможности нет в коде — это очередной факап гитхаба. далее. *я* не считаю такую форму обращения нормальной (а что было с lastpass и что это — я и вовсе не знаю). ещё раз: я не против того, чтобы подтвердить неверблюжесть, я против формы, в которой это было выражено. да, я им ничего не плачу, факт. если они считают, что поэтому ко мне можно относиться как к мальчику на побегушках и говорить соответствующим тоном — их право. я же за собой оставляю право этим публично возмутиться и уйти с гитхаба. это тоже пиар, которого они так хотели, чо.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	11. "GitHub инициирован процесс верификации всех SSH-ключей"	+3 +/–
	Сообщение от Ищавин (ok) on 08-Мрт-12, 02:13
	Это вопросы политики проекта. Переводить в ro, еще сложнее, чем пофиксить масс-асаймент. В ro не репы переводятся, а часть интерфейса ГитХаба. Опять же, написали код, протестировали, вывели в продакшн. В итоге это займет еще больше времени, чем фикс основной проблемы. «Гасить» весь сайт, это вообще какое-то школьничество. Я даже не припомню, когда кто-то так делал, разве что какие-то государственный структуры. Если это вас так задевает, напишите им письмо, можно даже открытое.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "GitHub инициирован процесс верификации всех SSH-ключей"	–6 +/–
	Сообщение от arisu (ok) on 08-Мрт-12, 02:18
	> Это вопросы политики проекта. Переводить в ro, еще сложнее, чем пофиксить масс-асаймент. внизапна, это опять личный факап гитхаба. стоило бы предусмотреть такую фичу. я не верю, что при проектировании подобного сервиса *никто* не задумался о том, что иногда надо будет делать какие-то очень срочные телодвижения, в течение которых сервис стоит держать в r/o. а если не подумали… привет, пионерия. > В ro не репы переводятся, а часть интерфейса ГитХаба. вообще-то, *всё*. *особенно* репы. just in case, и чтобы не мешали разбору полётов. > больше времени, чем фикс основной проблемы. «Гасить» весь сайт, это вообще > какое-то школьничество. Я даже не припомню, когда кто-то так делал, разве > что какие-то государственный структуры. если у них нет возможности быстро сделать r/o — то гасить, да. школьничество — это делать вид, что ничего не произошло и втихаря в чулане судорожно пилять фикс. ну, или корпорастничество, тем тоже плюй в глаза. > Если это вас так задевает, напишите им письмо, можно даже открытое. я, кагбэ, сразу после получения приказа бежать доказывать отсутствие горбов и написал. аккурат перед тем, как удалить следы своего пребывания на этом недосервисе. p.s. не открытое, конечно: я не собираюсь затевать движение «все скажем гитхабу нафиг», у каждого своя голова на плечах, пусть решает. но *для меня* неуход с гитхаба после этого письма — показатель того, что человек холуй. не люблю работать с холуями.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "GitHub инициирован процесс верификации всех SSH-ключей"	+2 +/–
	Сообщение от Ищавин (ok) on 08-Мрт-12, 02:23
	Фичу чего, ro в одной части админки?))) Всю админку в ro, опять же школьничество. То что вы называете ro, они называют мэйнтэйнс и он переводит в ro весь сайт. Предугадывать более сложные комбинации... Они вообще-то не софт для Шатла строят. Если бы они все в ro перевили, вот тогда бы их материть и стоило. Я бы был куда более рассержен, если бы они оставили только ro, чем наличие этой эфемерной уязвимости. Ваша позиция ясна, желаю адачи на других сервисах!
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "GitHub инициирован процесс верификации всех SSH-ключей"	–4 +/–
	Сообщение от arisu (ok) on 08-Мрт-12, 02:29
	> Фичу чего, ro в одной части админки?))) (вздыхает) весь, весь сайт. «савсэм бэлый!» (ц) > Они вообще-то не софт для Шатла строят. …поэтому проектировать его и не надо, это пусть репоголовые академики проектируют. > Если бы они все в ro перевили, вот тогда бы их материть > и стоило. Я бы был куда более рассержен, если бы они > оставили только ro, чем наличие этой эфемерной уязвимости. (пожимает плечами) подход к security ясен, спор был ни о чём. > Ваша позиция ясна, желаю адачи на других сервисах! tnx. я-то ничего особого не потерял: ну, одним местом бэкапа меньше. гитхаб тоже не потерял: ну, одним мной меньше. так и разошлись.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	34. "GitHub инициирован процесс верификации всех SSH-ключей"	–2 +/–
	Сообщение от Аноним (??) on 08-Мрт-12, 11:38
	> Предугадывать более сложные комбинации... Они > вообще-то не софт для Шатла строят. Вообще-то от них зависят тысячи и тысячи людей. Это подразумевает некоторую степень ответственности за свои деяния. Не настолько уж и меньше чем в софте для шаттла.
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	28. "GitHub инициирован процесс верификации всех SSH-ключей"	+1 +/–
	Сообщение от jesus (??) on 08-Мрт-12, 09:09
	ты не прав. понимаешь, если у тебя от чего-то засвербило пониже спины, ты лучше вставь свечку и к врачу сходи. не нужно свои причинные боли изливать публично
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	33. "GitHub инициирован процесс верификации всех SSH-ключей"	–2 +/–
	Сообщение от Аноним (??) on 08-Мрт-12, 11:36
	> ты не прав. понимаешь, если у тебя от чего-то засвербило пониже спины, А у вас пониже спины от возможности кого угодно закоммитить вам что угодно не свербит? А озвучьте названия проектов чтоли? Ну чтоб я знал какими проектами ни в коем разе не следует пользоваться по причине наплевательского отношения к собственной безопасности.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	23. "GitHub инициирован процесс верификации всех SSH-ключей"	+/–
	Сообщение от Xasd (ok) on 08-Мрт-12, 03:11
	> с омерзением удалился и внёс в «чёрный список». 1. какую программу использовали для организации "чёрного списка"? 2. если [предположим что] https нифига не защищает (так как [предположим] что протокол ущербен) -- то http более безопасен чем https ??? (или что Вы там хотите предложить в качестве замены https?)
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	25. "GitHub инициирован процесс верификации всех SSH-ключей"	–3 +/–
	Сообщение от arisu (ok) on 08-Мрт-12, 03:33
	> 1. какую программу использовали для организации «чёрного списка»? ferm. элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой. > 2. если [предположим что] https нифига не защищает (так как [предположим] что > протокол ущербен) — то http более безопасен чем https ??? (или > что Вы там хотите предложить в качестве замены https?) странно употреблять термин «более безопасен» по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще. при этом https однозначно вредней, потому что даёт *иллюзию* безопасности. алсо, я не предлагал «выкинуть https», я всего лишь предлагал «вернуть http» и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку «идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.»
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	39. "GitHub инициирован процесс верификации всех SSH-ключей"	+2 +/–
	Сообщение от myhand (ok) on 08-Мрт-12, 14:32
	> элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой. К доктору сходите, пожалуйста.  Это уже что-то с чем-то, мы тут все переживаем за ваше здоровье. > https однозначно вредней, потому что даёт *иллюзию* безопасности. Почему кто-то должен страдать от ваших иллюзий?  Просто не переносите свои фантазии на других, ни для кого кроме вас оные обязательными не являются. > странно употреблять термин «более безопасен» по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще. "Один из" - это который?  Используя HTTPS не приходится передавать реквизиты доступа в HTTP сеансе как plain-текст.  Наконец, попросту тарболл, который вы скачиваете с гитхаба - действительно окажется с него.  "Более безопасен" (по сравнению с простым HTTP), или вы действительно разницы не видите? > я всего лишь предлагал «вернуть http» и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку «идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.» Мало-ли что вы хотите.  Если бы этим вы создавали проблемы только себе - вам разрешили бы просто вход без вовсе авторизации.  Но есть и другие пользователи хостинга.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема