The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Атака на GitHub, приведшая к утечке приватных репозиториев и доступу к инфраструктуре NPM"  +/
Сообщение от opennews (??), 16-Апр-22, 11:42 
GitHub предупредил пользователей об атаке, нацеленной на загрузку данных из приватных репозиториев с использованием скомпрометированных токенов OAuth, сгенерированных для сервисов Heroku и Travis-CI. Сообщается, что в ходе атаки произошла утечка данных из приватных репозиториев некоторых организаций,  открывших доступ к репозиториям  для PaaS-платформы Heroku и системы непрерывной интеграции Travis-CI. В числе пострадавших оказалась  компания GitHub и проект NPM...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=57025

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


11. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +13 +/
Сообщение от Аноним (11), 16-Апр-22, 12:26 
Есть божественный https://sourcehut.org/

Зачем эта галимая проприетарщина в лице github, которая завтра тебя забанит, потому что ты не белый?

Ответить | Правка | Наверх | Cообщить модератору

14. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +27 +/
Сообщение от Аноним (14), 16-Апр-22, 12:40 
Вот как раз, потому что белый, и забанят. Сейчас такая повесточка.
Ответить | Правка | Наверх | Cообщить модератору

21. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +9 +/
Сообщение от Аноним (21), 16-Апр-22, 13:05 
Если белый, потребуется предоставить справку, что трансгендер.
Ответить | Правка | Наверх | Cообщить модератору

64. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Dnina (ok), 17-Апр-22, 08:51 
Трансбелый
Ответить | Правка | Наверх | Cообщить модератору

24. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –14 +/
Сообщение от пох. (?), 16-Апр-22, 13:16 
> Есть божественный https://sourcehut.org/

https://sr.ht/projects
- ну если ты ЭТО собираешься "разрабатывать", то можно считать что есть.


> Зачем эта галимая проприетарщина в лице github, которая завтра тебя забанит, потому что ты не
> белый?

затем, небелый, что разработка человечеством ведется почему-то там где для нее есть инструмент.

А в твоих скрепах человечество не нуждается, так что если тебя и забанят (что, увы, вряд ли) - ничего не потеряет.


  

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

33. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Vacu923ek (ok), 16-Апр-22, 15:14 
Это _платформа_, какая разница, какие там проекты?? Заливай свой и пили! Тем более, что бесплатно.
Ответить | Правка | Наверх | Cообщить модератору

35. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –1 +/
Сообщение от пох. (?), 16-Апр-22, 15:45 
Вот в непонимании этого момента и все твои проблемы.

Свой пилить я бы (и ты бы) могли на локалхосте. "тем более что бесплатно" лично мне нафиг не уперлось.


Ответить | Правка | Наверх | Cообщить модератору

44. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –5 +/
Сообщение от Смузихлёб (?), 16-Апр-22, 17:04 
Свои проекты соло-программисты хранят локально вообще без всяких сторонних костылей типа git'а, просто распихав файлы по директориям. Это быстрее, прозрачнее, понятнее. Git это сугубо для командной разработки, одиночкам оно нафиг не надо, лишь только усложняет и забирает время.
Ответить | Правка | К родителю #33 | Наверх | Cообщить модератору

68. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (68), 17-Апр-22, 15:08 
Ну вот это ты зря. То есть я верю что солообезьянки так и делают, поскольку не-не-слышали и на работе их уже кнутователь замучал этим гитом (который они дальше pull/commit/push/ой сломалось тоже никогда не осиливали). Но адекватные люди в курсе что вообще-то бывают другие vcs.

Ага, им при этом необязательно быть distributed. Для командной разработки, кстати, тоже.

dvcs архиполезны только в одном случае - когда ты пытаешься сохранить свои правки чужого большого проекта, которые никогда не будут вмержены. Но это опять не гит.

Ответить | Правка | Наверх | Cообщить модератору

70. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (-), 17-Апр-22, 17:45 
> одиночкам оно нафиг не надо, лишь только усложняет и забирает время.

Так и скажи что не научился vcs пользоваться. Даже для своего проекта - git позволяет провернуть стремный эксперимент с неочевидным выхлопом. По стадиям. Может быть откатив половину взад. Или весь. А может быть - вот тут баг всплыл. Но я не знаю когда и где его влепил. Делаем bisect, через полчаса багу крышка если я вообще могу отличить "good" от "bad" (я же понял что в проекте баг, значит могу). А как ты это без vcs'а будешь вообще, если без понятия когда и где баг влез?

А когда он до коммита локализован, особенно если приучиться к небольшим, атомарным коммитам сохраняющим консистентность и приносящие небольшие фичи/рефакторы - там уже понятно что и как. В лучшем случае - "опа, те 5 строк все испортили". Одно дело 5 строк под микроскопом, другое - 20 кило кода и хз что и где отпало.

Без vcs'а это не то что нереализуемо но - ведет к переизобретению VCS. Но хренового и кривого.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

81. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –1 +/
Сообщение от Аноним (81), 18-Апр-22, 11:50 
Что сказать-то хотел? Непонятно написано
Ответить | Правка | Наверх | Cообщить модератору

82. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –1 +/
Сообщение от InuYasha (??), 18-Апр-22, 12:15 
Только
а) гит надо изучать и понимать, а ещё в нём миллион неочевидных команд со стрёмными названиями
б) свои проекты ты и так можешь каждый час снапшотить (хоть в zip-архивы) и откатываться куда угодно
Ответить | Правка | К родителю #70 | Наверх | Cообщить модератору

83. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от ДаНуНафиг (?), 18-Апр-22, 12:37 
Тут я вижу откат сразу в 2000-е. Файлик descript.ion надо не забыть еще приложить с псевдографикой внутри, чтобы уж совсем по-старинке было.
Ответить | Правка | Наверх | Cообщить модератору

75. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Клыкастый (ok), 17-Апр-22, 18:59 
> Свои проекты соло-программисты хранят локально вообще без всяких сторонних костылей типа git'а, просто распихав файлы по директориям. Это быстрее, прозрачнее, понятнее.

Хорошее питание, надёжная изоляция от общества, грамотный психиатр и время. Впрочем, раз эти "программисты" - "соло", о чём-то они догадываются и изолируются, как могут.

Ответить | Правка | К родителю #44 | Наверх | Cообщить модератору

69. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (-), 17-Апр-22, 17:38 
> - ну если ты ЭТО собираешься "разрабатывать", то можно считать что есть.

sr.ht сейчас довольно популярный и там зеркала многих проектов есть. Еще народу нравится notabug и codeberg - эти на открытом движке с мордой как у гитхаба. Там тоже зеркала изрядного числа проектов попадались.

Ну, понимаешь, если моя цель перекинуться кодом с вон теми - мне очень не в кассу что мерзкософт вместо того чтобы обеспечить это начнет вонять что у меня браузер не тот или какая там еще фигня, так что введите номер телефона и отсканируйте справку что не верблюд. А вон те - обеспечивают просто работу, над просто проектами. Без отчетов мелкософту на тему почему я сменил браузер.

Ответить | Правка | К родителю #24 | Наверх | Cообщить модератору

26. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –8 +/
Сообщение от Аноним (26), 16-Апр-22, 13:19 
Давай больше треша и угара https://gitflic.ru/ вот где максимально пробитое дно.  
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

31. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –7 +/
Сообщение от пох. (?), 16-Апр-22, 14:55 
Шо не так? Ну кроме https://gitflic.ru/public/project конечно.

Скрепно, православно, надежно, никому конечно же нахрен не вперлось.


Чего они не назвали его gitfreak? Постеснялись?


Ответить | Правка | Наверх | Cообщить модератору

39. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –1 +/
Сообщение от Аноним (39), 16-Апр-22, 16:50 
Сервис сервисит, исходники открыты, написан на java. Один фиг это лучше, чем github :)
Ответить | Правка | К родителю #26 | Наверх | Cообщить модератору

27. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от h4Xx0r (?), 16-Апр-22, 13:32 
выложу исходники за 100 BTC

ваш Anonymous

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

72. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +1 +/
Сообщение от Аноним (-), 17-Апр-22, 17:49 
Издеваешься? Вебмакаки с одеска за десятку накодят вдвое круче.
Ответить | Правка | Наверх | Cообщить модератору

32. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +1 +/
Сообщение от Vacu923ek (ok), 16-Апр-22, 15:11 
+сто сердечек за то, что без у6людского JS и.... ЕСТЬ ПОДДЕРЖКА MERCURIAL!! Wow!
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

40. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +3 +/
Сообщение от Смузихлёб (?), 16-Апр-22, 16:51 
> Есть божественный

https://rocketgit.com

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

50. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (50), 16-Апр-22, 17:42 
Тогда уж radicle.xyz
Ответить | Правка | Наверх | Cообщить модератору

42. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +7 +/
Сообщение от Смузихлёб (?), 16-Апр-22, 16:56 
> завтра тебя забанит

Меня забанили за букву Z на аватаре, причем эта стилизованная буква у меня была загружена в 2014 году, задолго до всем известных событий.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

46. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (46), 16-Апр-22, 17:10 
Там даже Galaxy Z лишился буквы...
Ответить | Правка | Наверх | Cообщить модератору

53. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от КО (?), 16-Апр-22, 18:52 
Регистрация нужна для поиска.
Галиматья какая-то.
Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

54. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +1 +/
Сообщение от КО (?), 16-Апр-22, 18:52 
А, нашел.
Вбил uBlock нет результатов - не нужон
Ответить | Правка | Наверх | Cообщить модератору

61. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +1 +/
Сообщение от Аноним (61), 17-Апр-22, 03:45 
> Есть божественный https://sourcehut.org/

Который однажды станет платным. Спасибо, не надо.

> From the beta onwards, unpaid accounts will be limited to read-only access to their own projects.

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

76. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +2 +/
Сообщение от Аноним (-), 17-Апр-22, 19:09 
> Который однажды станет платным. Спасибо, не надо.

С дуба упал? Это откуда взято? На https://sourcehut.org/ этого нет. Sourcehut содержится фаном опенсорса, GPLщиком, нелюбителем всяких дискордов и васапов - этот врядли в такое скатится. Во всяком случае, выбирая между ним и микрософтом с атласианом...

Ответить | Правка | Наверх | Cообщить модератору

16. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +4 +/
Сообщение от Аноним (16), 16-Апр-22, 12:45 
Заходишь такой на гитхаб, а он прогружается частями, тормозит...  зажабаскриптован?
Ответить | Правка | Наверх | Cообщить модератору

56. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +1 +/
Сообщение от Аноним (11), 16-Апр-22, 19:35 
Это фича
Ответить | Правка | Наверх | Cообщить модератору

62. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (39), 17-Апр-22, 04:05 
а CONNECT 19200/V34 не говорит?
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

17. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (17), 16-Апр-22, 12:46 
> и доступу к инфраструктуре NPM

шо, опять?

Ответить | Правка | Наверх | Cообщить модератору

22. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +1 +/
Сообщение от Аноним (22), 16-Апр-22, 13:06 
Это было монументально Ничтожно )
Ответить | Правка | Наверх | Cообщить модератору

23. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +3 +/
Сообщение от пох. (?), 16-Апр-22, 13:13 
Но как же так? Ведь oauth безопастен!

Ответить | Правка | Наверх | Cообщить модератору

25. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +3 +/
Сообщение от Аноним (26), 16-Апр-22, 13:18 
Не на расте же. Вот и весь ответ.
Ответить | Правка | Наверх | Cообщить модератору

30. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (46), 16-Апр-22, 13:52 
> Каким образом токены попали в руки атакующих пока не ясно

Раст умеет в детектива?

Ответить | Правка | Наверх | Cообщить модератору

38. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +2 +/
Сообщение от Аноним (38), 16-Апр-22, 16:40 
У них он должен ФСЁ! Даже на балалайке играть и порванные струны перетягивать.
Ответить | Правка | Наверх | Cообщить модератору

45. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +2 +/
Сообщение от Аноним (46), 16-Апр-22, 17:08 
> на балалайке играть

За балалайки забанили местную музыкальную группу в Швеции.

Ответить | Правка | Наверх | Cообщить модератору

29. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +2 +/
Сообщение от Аноним (46), 16-Апр-22, 13:50 
> GitHub ... утечка приватных репозиториев

В общем, ничего нового и удивительного.

Ответить | Правка | Наверх | Cообщить модератору

34. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от name (??), 16-Апр-22, 15:33 
Вся суть использования токенов. Енджой.
Ответить | Правка | Наверх | Cообщить модератору

37. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  –2 +/
Сообщение от Аноним (37), 16-Апр-22, 16:36 
ИМХО, это не так фатально как утечка паролей. Токен проще и быстрее отозвать без последствий. С паролем сложнее - потребуется либо пароль менять, либо аккаунт лочить/восстанавливать.

На практике возни с токенами больше (с точки зрения софта), но небольшие профиты всё же есть.

Ответить | Правка | Наверх | Cообщить модератору

55. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от КО (?), 16-Апр-22, 18:58 
Что мешает подключить TOTP, привязанный к устройству на который закидывается определенный идентификатор?
Без телефона.
Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

63. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +2 +/
Сообщение от Аноним (63), 17-Апр-22, 07:54 
Зачем это здесь? И второе - сабжем еще кто-то пользуется?
Ответить | Правка | Наверх | Cообщить модератору

65. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Аноним (46), 17-Апр-22, 09:53 
Большой вопрос... Зачем вообще кто-то _приватные_ репы хранит на _внешнем_ проприетарном серваке.
Ответить | Правка | Наверх | Cообщить модератору

78. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от Z (??), 17-Апр-22, 20:26 
> GitHub

Одиночкам (нормальные программы пишутся как раз одиночками) гит не нужен, new folder, new folder1, new folder > old наше всё. А гит это смузиподелка, усложнение ради усложнения, чтобы содрать побольше денег с заказчиков.

Ответить | Правка | Наверх | Cообщить модератору

84. "Атака на GitHub, приведшая к утечке приватных репозиториев и..."  +/
Сообщение от ivanpetrov (ok), 24-Апр-22, 11:11 
Так Git или GitHub?
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру