https://www.opennet.me/openforum/vsluhforumID3/83479.html В связи с произошедшим (http://www.opennet.ru/opennews/art.shtml?num=33268) на днях инцидентом, в результате которого была продемонстрирована уязвимость, позволяющая осуществить подстановку своего SSH-ключа для любого проекта, GitHub инициирован процесс верификации всех SSH-ключей. Всем пользователям сервиса отправлено уведомление, требующее подтвердить добавленные ранее SSH-ключи через специально созданный web-интерфейс (https://github.com/settings/ssh/audit). До момента подтверждения SSH-ключи считаются неактивными и не могут использоваться для выполнения операций clone/pull/push с Git-репозиториями GitHub с использованием в качестве транспорта SSH.<br><br><br>В уведомлении также сообщается, что никакой активности злоумышленников не было выявлено, но GitHub решил прибегнуть к дополнительным мерам предосторожности, вызванным повышенным вниманием к обеспечению безопасности сервиса. Кроме подтверждения всех ключей, проведён аудит кода GitHub, добавлены дополнительные проверки при добавлении новых ключей (дополнитель https://www.opennet.me/openforum/vsluhforumID3/83479.html#39 Thu, 08 Mar 2012 10:32:03 GMT &gt; элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой.<br><br>К доктору сходите, пожалуйста. Это уже что-то с чем-то, мы тут все переживаем за ваше здоровье.<br><br>&gt; https однозначно вредней, потому что даёт *иллюзию* безопасности.<br><br>Почему кто-то должен страдать от ваших иллюзий? Просто не переносите свои фантазии на других, ни для кого кроме вас оные обязательными не являются.<br><br>&gt; странно употреблять термин &#171;более безопасен&#187; по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще.<br><br>"Один из" - это который? Используя HTTPS не приходится передавать реквизиты доступа в HTTP сеансе как plain-текст. Наконец, попросту тарболл, который вы скачиваете с гитхаба - действительно окажется с него. "Более безопасен" (по сравнению с простым HTTP), или вы действительно разницы не видите?<br><br>&gt; я всего лишь предлагал &#171;вернуть http&#187; и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку https://www.opennet.me/openforum/vsluhforumID3/83479.html#38 Thu, 08 Mar 2012 07:42:47 GMT &gt; а если линуксовое ведро таким же образом сломать, <br><br>Да, через дырявую рельсу... которой в ядре ни разу нет, хорошо придумано :)<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#34 Thu, 08 Mar 2012 07:38:50 GMT &gt; Предугадывать более сложные комбинации... Они <br>&gt; вообще-то не софт для Шатла строят.<br><br>Вообще-то от них зависят тысячи и тысячи людей. Это подразумевает некоторую степень ответственности за свои деяния. Не настолько уж и меньше чем в софте для шаттла.<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#33 Thu, 08 Mar 2012 07:36:07 GMT &gt; ты не прав. понимаешь, если у тебя от чего-то засвербило пониже спины, <br><br>А у вас пониже спины от возможности кого угодно закоммитить вам что угодно не свербит? А озвучьте названия проектов чтоли? Ну чтоб я знал какими проектами ни в коем разе не следует пользоваться по причине наплевательского отношения к собственной безопасности.<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#28 Thu, 08 Mar 2012 05:09:03 GMT ты не прав. понимаешь, если у тебя от чего-то засвербило пониже спины, ты лучше вставь свечку и к врачу сходи. не нужно свои причинные боли изливать публично<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#25 Wed, 07 Mar 2012 23:33:42 GMT &gt; 1. какую программу использовали для организации &#171;чёрного списка&#187;?<br><br>ferm. элементарно заблочил выходные адреса, да и всё. так, исключительно жест выпендрёжа перед самим собой.<br><br>&gt; 2. если [предположим что] https нифига не защищает (так как [предположим] что <br>&gt; протокол ущербен) &#8212; то http более безопасен чем https ??? (или <br>&gt; что Вы там хотите предложить в качестве замены https?) <br><br>странно употреблять термин &#171;более безопасен&#187; по отношению к двум протоколам, которые никакой безопасности не обеспечивают вообще. при этом https однозначно вредней, потому что даёт *иллюзию* безопасности.<br><br>алсо, я не предлагал &#171;выкинуть https&#187;, я всего лишь предлагал &#171;вернуть http&#187; и прекратить за меня решать, что мне будет лучше. хотя бы возможностью после логина поставить галку &#171;идите нафиг вместе со своим принудительным https, я в курсе и осознаю, чем мне грозит http, и всё равно его хочу.&#187;<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#23 Wed, 07 Mar 2012 23:11:10 GMT &gt; с омерзением удалился и внёс в &#171;чёрный список&#187;.<br><br>1. какую программу использовали для организации "чёрного списка"?<br><br>2. если [предположим что] https нифига не защищает (так как [предположим] что протокол ущербен) -- то http более безопасен чем https ??? (или что Вы там хотите предложить в качестве замены https?)<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#22 Wed, 07 Mar 2012 23:01:56 GMT А ещё бредовее коменты писать умеете?<br> https://www.opennet.me/openforum/vsluhforumID3/83479.html#16 Wed, 07 Mar 2012 22:29:36 GMT &gt; Фичу чего, ro в одной части админки?)))<br><br>(вздыхает) весь, весь сайт. &#171;савсэм бэлый!&#187; (ц)<br><br>&gt; Они вообще-то не софт для Шатла строят.<br><br>&#8230;поэтому проектировать его и не надо, это пусть репоголовые академики проектируют.<br><br>&gt; Если бы они все в ro перевили, вот тогда бы их материть <br>&gt; и стоило. Я бы был куда более рассержен, если бы они <br>&gt; оставили только ro, чем наличие этой эфемерной уязвимости.<br><br>(пожимает плечами) подход к security ясен, спор был ни о чём.<br><br>&gt; Ваша позиция ясна, желаю адачи на других сервисах!<br><br>tnx. я-то ничего особого не потерял: ну, одним местом бэкапа меньше. гитхаб тоже не потерял: ну, одним мной меньше. так и разошлись.<br>