The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Возможность доступа к приватным репозиториям GitHub при помощи серии незначительных уязвимостей в OAuth

12.02.2014 13:22

Егор Хомяков, два года назад выявивший уязвимость в GitHub, которая позволяла внедрить код в любой репозиторий, сообщил об обнаружении новой проблемы. Воспользовавшись сочетанием пяти несущественных по отдельности проблем с безопасностью в реализации поддержки OAuth в сервисе Gist, ему удалось разработать технику получения доступа к приватным репозиториям пользователей GitHub. За выявление уязвимости GitHub выплатил Егору вознаграждение размером 4000 долларов.

  1. Главная ссылка к новости (http://threatpost.com/five-oau...)
  2. OpenNews: В GitHub устранена уязвимость, допускающая внедрение кода в любой репозиторий
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/39071-github
Ключевые слова: github
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.6, Пиу (ok), 14:58, 12/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "незначительных"
     
     
  • 2.16, Аноним (-), 20:03, 12/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Проблема всех сложных систем и протоколов.
    Уязвимости "незначительные", но им нет конца, и никто не знает чего ждать в следующий раз и в какой момент.

    Хотите реальную безопасность - используйте простые системы.

     
     
  • 3.17, arisu (ok), 20:21, 12/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > используйте простые системы.

    это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.

     
     
  • 4.18, Аноним (-), 20:40, 12/02/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> используйте простые системы.
    > это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.

    Вы практически все правильно поняли, кроме "сейчас" и "пока что".
    Так было всегда! Во все времена и эпохи.

    Тот кто реально что-то контроллирует - упрощает.
    Те, кого контроллируют - усложняют, потому что их специально так дрессируют, чтобы они все усложняли, и не могли проконтроллировать ситуацию.

    Периодически возникают новые системы, те кто их создавал, вначале их контроллируют, пока они достаточно просты. Потом их создали "отходят от дел" - либо осознанно и по плану, создавая что-то еще более новое и простое, о чем их "адепты" бывают не в курсе. Либо "отходят от дел" и теряют контроль по собственной недальновидности, позволив созданным им системам усложниться под влиянием этой самой "моды", про которую вы говорите.

    Только, повторюсь это никакая не "мода", так было всегда.
    Взгляните на историю развития государств, политических и общественных организаций.
    А потом на историю развития "компьтерных" информационных систем. Сначала проприетарных, а потом так называемых "открытых" и "свободных".

    Сейчас вы практически любой проприетарный софт можете "открыто" и "свободно" дизассемблировать. Только что вам это даст?

    А вот во времена когда "машинный" код был достаточно _простым_, вы бы вообще не могли просто так получить доступа ни к самому этому коду, ни даже к оборудованию, на котором этот код был способен выполняться.

    История имеет тенденцию повторяться.
    Разница лишь в том, что в современных условия все происходит гораздо быстрее, поэтому вам и кажется, что это "модно".

     
     
  • 5.20, Аноним (-), 20:44, 12/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Потом их создали "отходят от дел"

    *fix*
    Потом их созда*те*ли "отходят от дел"

     
  • 4.24, Аноним (-), 15:44, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > это сейчас немодно. на следующем витке дойдёт, конечно, но пока что модно усложнять.

    Спору нет, можно и на бричке ездить. Но почему-то самолеты с кучей компьютеров, без которых оно в принципе не взлетит даже (без того же FADEC например) - таки появились.

     
     
  • 5.25, Аноним (-), 02:14, 14/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    многие ноборот - отказываются от FADEC для цивильных применений.
    а другие, вроде РФ и ЕС - и для военных неслабо ограничивают(например управление движком, отложено по большинству направлений. а вертолетные аналоги в РФ - полностью).
    так что не все столь однозначно.
    с другого края - стоят Китайцы, известные "кавалеристы" и "криЭйторы" ;)
     
  • 4.27, Аноним (-), 11:53, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    До кого дойдет? С чего вы взяли что дойдет?
     
     
  • 5.28, arisu (ok), 13:09, 16/02/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > До кого дойдет? С чего вы взяли что дойдет?

    до тебя ничего не дойдёт, не перенапрягайся.

     
  • 3.22, anonymous (??), 13:18, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кто сказал systemd?
     

  • 1.19, Xasd (ok), 20:42, 12/02/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    когда я нащёл одну маленькую уязвимость на Github -- её просто поправили. ни новости не было, ни денег мне не дали. впрочем я доволен что её исправили (в моём случае.. этого я и хотел, ведь я тоже использую Github).
     
     
  • 2.23, Demo (??), 14:19, 13/02/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > когда я нащёл одну маленькую уязвимость на Github -- её просто поправили.
    > ни новости не было, ни денег мне не дали.

    Такая, брат, судьба у терпил, да...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру