forum.opennet.ru - "Возможность доступа к приватным репозиториям GitHub при помо..." (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Возможность доступа к приватным репозиториям GitHub при помо..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Возможность доступа к приватным репозиториям GitHub при помо..."	+/–
Сообщение от opennews (ok) on 12-Фев-14, 13:54
Егор Хомяков, два года назад выявивший уязвимость (http://www.opennet.ru/opennews/art.shtml?num=33268) в GitHub, которая позволяла внедрить код в любой репозиторий, сообщил (http://homakov.blogspot.ru/2014/02/how-i-hacked-github-again...) об обнаружении новой проблемы. Воспользовавшись сочетанием пяти несущественных по отдельности проблем с безопасностью в реализации поддержки OAuth в сервисе Gist (https://gist.github.com/), удалось разработать технику получения доступа к приватным репозиториям пользователей GitHub. За выявление уязвимости, GitHub выплатил Егору вознаграждение, размером 4 тысячи долларов. URL: http://threatpost.com/five-oauth-bugs-lead-to-github-hack/10... Новость: http://www.opennet.ru/opennews/art.shtml?num=39071
Ответить \| Правка \| Cообщить модератору

Оглавление

Возможность доступа к приватным репозиториям GitHub при помо..., Пиу, 14:58 , 12-Фев-14, (6) +1

Возможность доступа к приватным репозиториям GitHub при помо..., Аноним, 20:03 , 12-Фев-14, (16) +2

Возможность доступа к приватным репозиториям GitHub при..., arisu, 20:21 , 12-Фев-14, (17) +1

Возможность доступа к приватным репозиториям GitHub при..., Аноним, 20:40 , 12-Фев-14, (18) +3

Возможность доступа к приватным репозиториям GitHub при..., Аноним, 20:44 , 12-Фев-14, (20)

Возможность доступа к приватным репозиториям GitHub при..., Аноним, 15:44 , 13-Фев-14, (24)

Возможность доступа к приватным репозиториям GitHub при..., Аноним, 02:14 , 14-Фев-14, (25)

Возможность доступа к приватным репозиториям GitHub при..., Аноним, 11:53 , 16-Фев-14, (27)

Возможность доступа к приватным репозиториям GitHub при..., arisu, 13:09 , 16-Фев-14, (28)

Возможность доступа к приватным репозиториям GitHub при помо..., anonymous, 13:18 , 13-Фев-14, (22) +2

Возможность доступа к приватным репозиториям GitHub при помо..., Xasd, 20:42 , 12-Фев-14, (19) +4

Возможность доступа к приватным репозиториям GitHub при помо..., Demo, 14:19 , 13-Фев-14, (23) –3

Сообщения по теме [Сортировка по ответам | RSS]

6. "Возможность доступа к приватным репозиториям GitHub при помо..." +1 +/–

Сообщение от Пиу (ok) on 12-Фев-14, 14:58

"незначительных"

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Возможность доступа к приватным репозиториям GitHub при помо..." +2 +/–

Сообщение от Аноним (??) on 12-Фев-14, 20:03

Проблема всех сложных систем и протоколов.
Уязвимости "незначительные", но им нет конца, и никто не знает чего ждать в следующий раз и в какой момент.
Хотите реальную безопасность - используйте простые системы.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Возможность доступа к приватным репозиториям GitHub при..." +1 +/–

Сообщение от arisu (ok) on 12-Фев-14, 20:21

> используйте простые системы.
это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Возможность доступа к приватным репозиториям GitHub при..." +3 +/–

Сообщение от Аноним (??) on 12-Фев-14, 20:40

>> используйте простые системы.
> это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.
Вы практически все правильно поняли, кроме "сейчас" и "пока что".
Так было всегда! Во все времена и эпохи.
Тот кто реально что-то контроллирует - упрощает.
Те, кого контроллируют - усложняют, потому что их специально так дрессируют, чтобы они все усложняли, и не могли проконтроллировать ситуацию.
Периодически возникают новые системы, те кто их создавал, вначале их контроллируют, пока они достаточно просты. Потом их создали "отходят от дел" - либо осознанно и по плану, создавая что-то еще более новое и простое, о чем их "адепты" бывают не в курсе. Либо "отходят от дел" и теряют контроль по собственной недальновидности, позволив созданным им системам усложниться под влиянием этой самой "моды", про которую вы говорите.
Только, повторюсь это никакая не "мода", так было всегда.
Взгляните на историю развития государств, политических и общественных организаций.
А потом на историю развития "компьтерных" информационных систем. Сначала проприетарных, а потом так называемых "открытых" и "свободных".
Сейчас вы практически любой проприетарный софт можете "открыто" и "свободно" дизассемблировать. Только что вам это даст?
А вот во времена когда "машинный" код был достаточно _простым_, вы бы вообще не могли просто так получить доступа ни к самому этому коду, ни даже к оборудованию, на котором этот код был способен выполняться.
История имеет тенденцию повторяться.
Разница лишь в том, что в современных условия все происходит гораздо быстрее, поэтому вам и кажется, что это "модно".

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Возможность доступа к приватным репозиториям GitHub при помо..." +4 +/–

Сообщение от Xasd (ok) on 12-Фев-14, 20:42

когда я нащёл одну маленькую уязвимость на Github -- её просто поправили. ни новости не было, ни денег мне не дали. впрочем я доволен что её исправили (в моём случае.. этого я и хотел, ведь я тоже использую Github).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Возможность доступа к приватным репозиториям GitHub при..." +/–

Сообщение от Аноним (??) on 12-Фев-14, 20:44

>> Потом их создали "отходят от дел"
*fix*
Потом их созда*те*ли "отходят от дел"

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Возможность доступа к приватным репозиториям GitHub при помо..." +2 +/–

Сообщение от anonymous (??) on 13-Фев-14, 13:18

Кто сказал systemd?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Возможность доступа к приватным репозиториям GitHub при помо..." –3 +/–

Сообщение от Demo (??) on 13-Фев-14, 14:19

> когда я нащёл одну маленькую уязвимость на Github -- её просто поправили.
> ни новости не было, ни денег мне не дали.
Такая, брат, судьба у терпил, да...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Возможность доступа к приватным репозиториям GitHub при..." +/–

Сообщение от Аноним (??) on 13-Фев-14, 15:44

> это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.
Спору нет, можно и на бричке ездить. Но почему-то самолеты с кучей компьютеров, без которых оно в принципе не взлетит даже (без того же FADEC например) - таки появились.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Возможность доступа к приватным репозиториям GitHub при..." +/–

Сообщение от Аноним (??) on 14-Фев-14, 02:14

многие ноборот - отказываются от FADEC для цивильных применений.
а другие, вроде РФ и ЕС - и для военных неслабо ограничивают(например управление движком, отложено по большинству направлений. а вертолетные аналоги в РФ - полностью).
так что не все столь однозначно.
с другого края - стоят Китайцы, известные "кавалеристы" и "криЭйторы" ;)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Возможность доступа к приватным репозиториям GitHub при..." +/–

Сообщение от Аноним (??) on 16-Фев-14, 11:53

До кого дойдет? С чего вы взяли что дойдет?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

28. "Возможность доступа к приватным репозиториям GitHub при..." +/–

Сообщение от arisu (ok) on 16-Фев-14, 13:09

> До кого дойдет? С чего вы взяли что дойдет?
до тебя ничего не дойдёт, не перенапрягайся.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	6. "Возможность доступа к приватным репозиториям GitHub при помо..."	+1 +/–
	Сообщение от Пиу (ok) on 12-Фев-14, 14:58
	"незначительных"
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	16. "Возможность доступа к приватным репозиториям GitHub при помо..."	+2 +/–
	Сообщение от Аноним (??) on 12-Фев-14, 20:03
	Проблема всех сложных систем и протоколов. Уязвимости "незначительные", но им нет конца, и никто не знает чего ждать в следующий раз и в какой момент. Хотите реальную безопасность - используйте простые системы.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	17. "Возможность доступа к приватным репозиториям GitHub при..."	+1 +/–
	Сообщение от arisu (ok) on 12-Фев-14, 20:21
	> используйте простые системы. это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Возможность доступа к приватным репозиториям GitHub при..."	+3 +/–
	Сообщение от Аноним (??) on 12-Фев-14, 20:40
	>> используйте простые системы. > это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять. Вы практически все правильно поняли, кроме "сейчас" и "пока что". Так было всегда! Во все времена и эпохи. Тот кто реально что-то контроллирует - упрощает. Те, кого контроллируют - усложняют, потому что их специально так дрессируют, чтобы они все усложняли, и не могли проконтроллировать ситуацию. Периодически возникают новые системы, те кто их создавал, вначале их контроллируют, пока они достаточно просты. Потом их создали "отходят от дел" - либо осознанно и по плану, создавая что-то еще более новое и простое, о чем их "адепты" бывают не в курсе. Либо "отходят от дел" и теряют контроль по собственной недальновидности, позволив созданным им системам усложниться под влиянием этой самой "моды", про которую вы говорите. Только, повторюсь это никакая не "мода", так было всегда. Взгляните на историю развития государств, политических и общественных организаций. А потом на историю развития "компьтерных" информационных систем. Сначала проприетарных, а потом так называемых "открытых" и "свободных". Сейчас вы практически любой проприетарный софт можете "открыто" и "свободно" дизассемблировать. Только что вам это даст? А вот во времена когда "машинный" код был достаточно _простым_, вы бы вообще не могли просто так получить доступа ни к самому этому коду, ни даже к оборудованию, на котором этот код был способен выполняться. История имеет тенденцию повторяться. Разница лишь в том, что в современных условия все происходит гораздо быстрее, поэтому вам и кажется, что это "модно".
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Возможность доступа к приватным репозиториям GitHub при помо..."	+4 +/–
	Сообщение от Xasd (ok) on 12-Фев-14, 20:42
	когда я нащёл одну маленькую уязвимость на Github -- её просто поправили. ни новости не было, ни денег мне не дали. впрочем я доволен что её исправили (в моём случае.. этого я и хотел, ведь я тоже использую Github).
	Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	20. "Возможность доступа к приватным репозиториям GitHub при..."	+/–
	Сообщение от Аноним (??) on 12-Фев-14, 20:44
	>> Потом их создали "отходят от дел" fix Потом их создатели "отходят от дел"
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	22. "Возможность доступа к приватным репозиториям GitHub при помо..."	+2 +/–
	Сообщение от anonymous (??) on 13-Фев-14, 13:18
	Кто сказал systemd?
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	23. "Возможность доступа к приватным репозиториям GitHub при помо..."	–3 +/–
	Сообщение от Demo (??) on 13-Фев-14, 14:19
	> когда я нащёл одну маленькую уязвимость на Github -- её просто поправили. > ни новости не было, ни денег мне не дали. Такая, брат, судьба у терпил, да...
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	24. "Возможность доступа к приватным репозиториям GitHub при..."	+/–
	Сообщение от Аноним (??) on 13-Фев-14, 15:44
	> это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять. Спору нет, можно и на бричке ездить. Но почему-то самолеты с кучей компьютеров, без которых оно в принципе не взлетит даже (без того же FADEC например) - таки появились.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	25. "Возможность доступа к приватным репозиториям GitHub при..."	+/–
	Сообщение от Аноним (??) on 14-Фев-14, 02:14
	многие ноборот - отказываются от FADEC для цивильных применений. а другие, вроде РФ и ЕС - и для военных неслабо ограничивают(например управление движком, отложено по большинству направлений. а вертолетные аналоги в РФ - полностью). так что не все столь однозначно. с другого края - стоят Китайцы, известные "кавалеристы" и "криЭйторы" ;)
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	27. "Возможность доступа к приватным репозиториям GitHub при..."	+/–
	Сообщение от Аноним (??) on 16-Фев-14, 11:53
	До кого дойдет? С чего вы взяли что дойдет?
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	28. "Возможность доступа к приватным репозиториям GitHub при..."	+/–
	Сообщение от arisu (ok) on 16-Фев-14, 13:09
	> До кого дойдет? С чего вы взяли что дойдет? до тебя ничего не дойдёт, не перенапрягайся.
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору