https://www.opennet.ru/openforum/vsluhforumID3/104047.html Filippo Valsorda из компании CloudFlare подготовил (https://blog.filippo.io/ssh-whoami-filippo-io/) заслуживающий внимания сервис, выдающий персональные данные пользователя (ФИО, email и т.п.) при выполнении команды "ssh whoami.filippo.io", без проведения какой-либо аутентификации. Некоторые восприняли данный сервис как демонстрацию неизвестной ранее уязвимости в OpenSSH, но на самом деле в реализации сервиса используются штатные особенности работы. <br><br><br><br>В частности, при попытке соединения с сервером, ssh-клиент автоматически последовательно отправляет все имеющиеся открытые ключи пользователя - если очередной ключ не подошёл, отправляется следующий и т.д. В том числе отправляются открытые ключи, используемые для GitHub. Так как GitHub предоставляет доступ к открытым ключам пользователей, в сервисе whoami.filippo.io используется данная возможность и осуществляется сверка переданных в рамках текущего сеанса ключей с содержимым базы ключей GitHub. В случае совпадения ключа, загружаются и выводятся данные из п https://www.opennet.ru/openforum/vsluhforumID3/104047.html#73 Wed, 21 Jun 2017 05:51:32 GMT &gt; В этот момент у пользователя есть выбор, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил.<br><br>А почему меня как пользователя вообще должно волновать, что я передаю кому-то свои публичные ключи? На то они ведь они и публичные.<br><br>&gt;&gt; Но ведь это yes/no совсем про другое. <br><br>А y/n тут про то, что ssh предлагает Вам удостовериться, что Вы подключаетесь именно к тому хосту, к которому хотите, а не к хитрожопому посреднеку.<br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#72 Thu, 13 Aug 2015 19:07:45 GMT &gt; Нет, меня вполне устраивает быть дураком. Беда в том, что таких, как <br>&gt; я, -- полная планета.<br><br>это опять ваша личная беда. продолжайте жаловаться и крепчать, пока вас сношают.<br><br>&gt;&gt; &#171;Человек &#8212; мера всех вещей&#187; &#8212; редкостный идиотизм.<br>&gt; Иди скажи это Протагору. Хотя ему, я думаю, пофиг. У него своя <br>&gt; мера.<br><br>если кого&#8208;то угораздило родиться во времена античности &#8212; это не делает его автоматически умным, а его высказывания истинными. такие дела.<br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#71 Thu, 13 Aug 2015 18:54:54 GMT &gt; а вот это пока всё ещё только ваши влажные мечты.<br><br>А кто, по-твоему, сидит в интернетах? И чем они, по-твоему, там занимаются? Именно безмозглые дебилы и именно жалобами.<br><br>&gt; я понимаю, что тебе не хочется быть дураком, и ты предпочитаешь называть <br>&gt; это &#171;средний&#187;. но ты всё равно дурак, это факт.<br><br>Нет, меня вполне устраивает быть дураком. Беда в том, что таких, как я, -- полная планета. Уже который раз пытаюсь тебе это объяснить, но ты слишком умный, чтобы понять. <br><br>&gt; &#171;Человек &#8212; мера всех вещей&#187; &#8212; редкостный идиотизм.<br><br>Иди скажи это Протагору. Хотя ему, я думаю, пофиг. У него своя мера.<br><br>&gt; вот поэтому я вас, людей, и не люблю. <br><br>О, господи, только твоей любви мне не хватало...<br><br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#70 Wed, 12 Aug 2015 13:31:36 GMT &gt;&gt; ну, устраивайте кружки безмозглых дебилов и там жалуйтесь друг другу.<br>&gt; Давно&#12288;устроили. Интернетом называется.<br><br>а вот это пока всё ещё только ваши влажные мечты.<br><br>&gt;&gt; нет. потому что ты опять наврал. не надо &#171;выше среднего&#187; достаточно &#171;умнее <br>&gt;&gt; улитки&#187;. но я могу понять, почему для тебя это &#171;выше среднего&#187;.<br>&gt; Перечитай новость. Уйма людей, использующих авторизацию по ключу, отправляет все свои ключи. <br>&gt; Это и есть "среднее".<br><br>я понимаю, что тебе не хочется быть дураком, и ты предпочитаешь называть это &#171;средний&#187;. но ты всё равно дурак, это факт.<br><br>&gt;&gt; спасибо. ты такой дурак, что даже почти эталон.<br>&gt; Можно без "почти". Человек -- мера всех вещей.<br><br>нет, на эталон не дотягиваешь. и да, &#171;Человек &#8212; мера всех вещей&#187; &#8212; редкостный идиотизм. вот поэтому я вас, людей, и не люблю.<br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#69 Wed, 12 Aug 2015 10:05:43 GMT &gt; ну, устраивайте кружки безмозглых дебилов и там жалуйтесь друг другу.<br><br>Давно&#12288;устроили. Интернетом называется.<br><br>&gt; нет. потому что ты опять наврал. не надо &#171;выше среднего&#187; достаточно &#171;умнее <br>&gt; улитки&#187;. но я могу понять, почему для тебя это &#171;выше среднего&#187;. <br><br>Перечитай новость. Уйма людей, использующих авторизацию по ключу, отправляет все свои ключи. Это и есть "среднее". <br><br>&gt; спасибо. ты такой дурак, что даже почти эталон.<br><br>Можно без "почти". Человек -- мера всех вещей.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#68 Tue, 11 Aug 2015 16:18:11 GMT &gt; Поясняю специально для тебя: если у миллиардов юзеров одна и та же <br>&gt; проблемя, она уже не является личной.<br><br>ну, устраивайте кружки безмозглых дебилов и там жалуйтесь друг другу.<br><br>&gt;&gt; зачем ты полез туда, где наличие рабочих, невыключеных мозгов &#8212; prerequisite <br>&gt; А ты не находишь "немножко дэбильным" тот факт, что для безопасного пользования <br>&gt; таким массовым ПО требуются мозги/знания выше среднего?<br><br>нет. потому что ты опять наврал. не надо &#171;выше среднего&#187; достаточно &#171;умнее улитки&#187;. но я могу понять, почему для тебя это &#171;выше среднего&#187;.<br><br>&gt;&gt; мне за решение твоих проблем не платят.<br>&gt; За комментарии на опеннете тебе тоже не платят, но тем не менее <br>&gt; ты убиваешь на них своё время. Правда ведь не платят, а?<br><br>спасибо. ты такой дурак, что даже почти эталон.<br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#67 Tue, 11 Aug 2015 16:14:04 GMT &gt;&gt; Я среднестатистический человек. Таких как я -- миллиарды. Наличие включенных мозгов у <br>&gt;&gt; меня не предполагается.<br>&gt; это твои личные проблемы.<br><br>Поясняю специально для тебя: если у миллиардов юзеров одна и та же проблемя, она уже не является личной.<br><br>&gt; зачем ты полез туда, где наличие рабочих, невыключеных мозгов &#8212; prerequisite<br><br>А ты не находишь "немножко дэбильным" тот факт, что для безопасного пользования таким массовым ПО требуются мозги/знания выше среднего?<br><br>&gt; мне за решение твоих проблем не платят.<br><br>За комментарии на опеннете тебе тоже не платят, но тем не менее ты убиваешь на них своё время. Правда ведь не платят, а?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#66 Mon, 10 Aug 2015 09:28:28 GMT Зашибись ты специалист. Если не знал об этом, значит никогда не запускал ссш-клиента в дебаге.<br> https://www.opennet.ru/openforum/vsluhforumID3/104047.html#65 Sat, 08 Aug 2015 19:01:52 GMT Ну только низкий %% пользователей с персональными ключами SSL в веб браузерах не даст такого фифекта как с SSH. А так да, все тоже самое (даже хуже, я не помню чтото опций в браузерах по привязке ключей из стора к серерам, т.е. сливаться будут всем, по их запросу.).<br>