forum.opennet.ru - "Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки" (26)

"Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ к данным из удалённых и приватных репозиториев на GitHub, имеющих форки"	+/–
Сообщение от opennews (??), 25-Июл-24, 11:14
Компания Truffle Security опубликовала сценарии атак на несколько типовых приёмов работы с репозиториями на GitHub, позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки или которые были созданы как форки... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=61605
Ответить \| Правка \| Cообщить модератору

Оглавление

Дагестанские ученые открыли дверь Уже обсасывали эту новость, гитхаб уже давно , Аноним (1), 11:14 , 25-Июл-24, (1) –3

Опять новость до конца не дочитал , анон (?), 11:22 , 25-Июл-24, (2) +9
В апстринме этих АПИ коючей нет Ну а если серьезно, то не стоит тащить в лабу с, IdeaFix (ok), 11:23 , 25-Июл-24, (3) +1

Не надо пользоваться гитхабом, Аноним (5), 11:32 , 25-Июл-24, (5)

Не надо пользоваться интернетом, nume (ok), 11:51 , 25-Июл-24, (6) +2
Гитхаб самая популярная платформа Хостишься на других - автоматически снижаешь , Аноним (24), 16:09 , 25-Июл-24, (24) –2

Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да В, Аноним (35), 23:09 , 26-Июл-24, (35) +1

Так вроде сама концепция Гита это и подразумевает , Аноним (5), 11:32 , 25-Июл-24, (4) +1

Нет, Аноним (7), 12:07 , 25-Июл-24, (7) +2

Ну желаю им удачи извлечь что-то из 192 168 0 1 , pavlinux (ok), 12:07 , 25-Июл-24, (8) +3

Халявный интернет из него довольно неплохо извлекается, если что , Аноним (-), 12:29 , 25-Июл-24, (13) +2

Давай подробнее, скрипты, сценарии, ссылки, а то ж через dev astral каждый мо, pavlinux (ok), 12:40 , 25-Июл-24, (15)

Обломись, lease time уже протух, ищи рядом - 85 140 0 0 16 , pavlinux (ok), 13:04 , 25-Июл-24, (20)

Прямо очень халявный 8212 заплатил провайдеру и пользуешься , Аноним (16), 12:41 , 25-Июл-24, (16)

А, вс 235 таки на житхаб, а не удал 235 нно , pavlinux (ok), 12:09 , 25-Июл-24, (11)
Первый сценарий делаем временные API ключи Второй сценарий github должен добав, Соль земли (?), 12:54 , 25-Июл-24, (17) +1

В том то и дело, что даже он не помогает , Аноним (22), 13:18 , 25-Июл-24, (22) +1

Я только что проверил заменённые коммиты многолетней давности - на месте Если , Аноним (22), 13:04 , 25-Июл-24, (19)
Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не счит, Аноним (27), 21:25 , 25-Июл-24, (27) +2
А еще можно было просто склонировать репозиторий до того как удалили и да, там, Аноним (29), 23:15 , 25-Июл-24, (29)

После удаления в апстриме, вас вежливо попросят следовать тому же принципу Если, Микхаэль (?), 00:27 , 26-Июл-24, (30)

Уязвимость с выложенными паролями бредовая какая-то Если нечаяно выложили логи, Аноним (31), 00:40 , 26-Июл-24, (31) +1

А если кто-то в репозиторий по ошибке закоммитил секретную документацию, получен, Аноним (33), 16:42 , 26-Июл-24, (33)
Очень даже реальный случай с частного репозитория лилась потоком метаинформация, Электрон (?), 21:28 , 27-Июл-24, (38)

Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу ут, Аноним (32), 12:34 , 26-Июл-24, (32) +1

Для оптимизации хранения же Ты ещё скажи спасибо, что там глобальной дедупликац, Аноним (33), 16:44 , 26-Июл-24, (34)

Сообщения [Сортировка по времени | RSS]

1. "Доступ к данным из удалённых и приватных репозиториев на Git..." –3 +/–

Сообщение от Аноним (1), 25-Июл-24, 11:14

Дагестанские ученые открыли дверь. Уже обсасывали эту новость, гитхаб уже давно добавил плашку "вы смотрите изменения в форке!! в апстриме таких правок нет!!"

Ответить | Правка | Наверх | Cообщить модератору

2. "Доступ к данным из удалённых и приватных репозиториев на Git..." +9 +/–

Сообщение от анон (?), 25-Июл-24, 11:22

Опять новость до конца не дочитал?

Ответить | Правка | Наверх | Cообщить модератору

3. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от IdeaFix (ok), 25-Июл-24, 11:23

В апстринме этих АПИ коючей нет!

Ну а если серьезно, то не стоит тащить в "лабу с ключами" в гитхаб.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

5. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Аноним (5), 25-Июл-24, 11:32

Не надо пользоваться гитхабом

Ответить | Правка | Наверх | Cообщить модератору

6. "Доступ к данным из удалённых и приватных репозиториев на Git..." +2 +/–

Сообщение от nume (ok), 25-Июл-24, 11:51

Не надо пользоваться интернетом

Ответить | Правка | Наверх | Cообщить модератору

24. "Доступ к данным из удалённых и приватных репозиториев на Git..." –2 +/–

Сообщение от Аноним (24), 25-Июл-24, 16:09

Гитхаб самая популярная платформа. Хостишься на других - автоматически снижаешь количество потенциальных коммитеров. Если цель не работать, а скакать между хостингами - можно хоть в локальный гит класть.

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

35. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от Аноним (35), 26-Июл-24, 23:09

Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да.
В остальном всё с ног на голову: ценность не в коде, который ты собрался писать, а в чужой платформе, куда ты собрался все выкладывать.

Ответить | Правка | Наверх | Cообщить модератору

4. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от Аноним (5), 25-Июл-24, 11:32

Так вроде сама концепция Гита это и подразумевает.

Ответить | Правка | Наверх | Cообщить модератору

7. "Доступ к данным из удалённых и приватных репозиториев на Git..." +2 +/–

Сообщение от Аноним (7), 25-Июл-24, 12:07

Нет

Ответить | Правка | Наверх | Cообщить модератору

8. "Доступ к данным из удалённых и приватных репозиториев на Git..." +3 +/–

Сообщение от pavlinux (ok), 25-Июл-24, 12:07

>  позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки
Ну желаю им удачи извлечь что-то из 192.168.0.1

Ответить | Правка | Наверх | Cообщить модератору

13. "Доступ к данным из удалённых и приватных репозиториев на Git..." +2 +/–

Сообщение от Аноним (-), 25-Июл-24, 12:29

> Ну желаю им удачи извлечь что-то из 192.168.0.1
Халявный интернет из него довольно неплохо извлекается, если что :)

Ответить | Правка | Наверх | Cообщить модератору

15. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от pavlinux (ok), 25-Июл-24, 12:40

>> Ну желаю им удачи извлечь что-то из 192.168.0.1
> Халявный интернет из него довольно неплохо извлекается, если что :)
Давай подробнее, скрипты, сценарии, ссылки,  а то ж через /dev/astral  каждый может.
Внешний IPшник сейчас 85.140.171.130 - жду!

# netstat -tucln -p
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1725/dnsmasq
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1725/dnsmasq
udp        0      0 224.0.0.251:5353        0.0.0.0:*                           3728/chrome

Ответить | Правка | Наверх | Cообщить модератору

20. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от pavlinux (ok), 25-Июл-24, 13:04

> Внешний IPшник сейчас 85.140.171.130 - жду!
Обломись, lease time уже протух, ищи рядом  - 85.140.0.0/16

Ответить | Правка | Наверх | Cообщить модератору

16. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Аноним (16), 25-Июл-24, 12:41

Прямо очень халявный — заплатил провайдеру и пользуешься.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

11. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от pavlinux (ok), 25-Июл-24, 12:09

>  позволяющие получить полный доступ ко всем репозиториям  на GitHub.
А, всë таки на житхаб, а не удалëнно?!

Ответить | Правка | Наверх | Cообщить модератору

17. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от Соль земли (?), 25-Июл-24, 12:54

Первый сценарий: делаем временные API ключи.
Второй сценарий: github должен добавить purge. Потому что удалённые коммиты даже остаются доступны по хэшу. Помогает только полный снос репозитория.
А вообще github не подходит для приватной разработки. И мне кажется, что и gitlab тоже не стоит наружу выставлять.

Ответить | Правка | Наверх | Cообщить модератору

22. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от Аноним (22), 25-Июл-24, 13:18

>Помогает только полный снос репозитория.
В том то и дело, что даже он не помогает.

Ответить | Правка | Наверх | Cообщить модератору

19. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Аноним (22), 25-Июл-24, 13:04

Я только что проверил: заменённые коммиты многолетней давности - на месте. Если бы гитхаб чистил объекты без ссылок, то такого бы не было.

Ответить | Правка | Наверх | Cообщить модератору

27. "Доступ к данным из удалённых и приватных репозиториев на Git..." +2 +/–

Сообщение от Аноним (27), 25-Июл-24, 21:25

> Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками.
Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не считается что упала. Можно просто отряхнуть и вложить назад в бутер .. и подать клиенту на стол.

Ответить | Правка | Наверх | Cообщить модератору

29. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Аноним (29), 25-Июл-24, 23:15

А еще можно было просто склонировать репозиторий до того как удалили.. и да, там оно волшебным образом не удалится, когда у оригинальном репозитории чтото там удалят.
ахтунг, я открыл новую уязвимость!

Ответить | Правка | Наверх | Cообщить модератору

30. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Микхаэль (?), 26-Июл-24, 00:27

После удаления в апстриме, вас вежливо попросят следовать тому же принципу. Если вы не пойдёте на встречу, то вас будут судить. Только уже тролли))

Ответить | Правка | Наверх | Cообщить модератору

31. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от Аноним (31), 26-Июл-24, 00:40

Уязвимость с выложенными паролями бредовая какая-то.  Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.
Остальные "уязвимости" тоже уязвимости только в чьем-то воображении, кроме пожалуй доступа к приватной части репозитория, которая осталась закрытой после раскрытия другой части.

Ответить | Правка | Наверх | Cообщить модератору

33. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Аноним (33), 26-Июл-24, 16:42

>Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел.
А если кто-то в репозиторий по ошибке закоммитил секретную документацию, полученную от партнёров? Ждать, пока партнёр засудит, или всё же снести?

Ответить | Правка | Наверх | Cообщить модератору

38. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Электрон (?), 27-Июл-24, 21:28

Очень даже реальный случай: с частного репозитория лилась потоком метаинформация типа "новый коммит + заголовок" на радость публике в канал Discord. В один прекрасный день один из коммитов был тестово-пентестовым. "Немного" раскрыл удавшуюся шалость в отношении auth сервера одной из дочерних компаний Microsoft. На самом деле много раскрыл, правда кипишь поднялся не по этой причине.
А тут же получается бывший публичный проект + непубличный форк + коммит = раскрытие информации. Коммиты либо 6-12 хексов запечатываются как build id или, как они показали, перебором. А все почему? Не проверяется принадлежность коммита к репозиторию ему создавшему, потому что объектное хранилище значит одно, а их ПО не утруждает себя ведением состояния и прав, и проверкой доступа.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

32. "Доступ к данным из удалённых и приватных репозиториев на Git..." +1 +/–

Сообщение от Аноним (32), 26-Июл-24, 12:34

Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу "утечь"?
Лол.
Ну так все проблемы гита из за - "би дезигн".
Зачем они эти обязательные форки оригинального репа, перед моим коммитом внедрили?
Теперь пожинают плоды.

Ответить | Правка | Наверх | Cообщить модератору

34. "Доступ к данным из удалённых и приватных репозиториев на Git..." +/–

Сообщение от Аноним (33), 26-Июл-24, 16:44

Для оптимизации хранения же. Ты ещё скажи спасибо, что там глобальной дедупликации нет, что все репозитории не являются implicitly форком одного и того же репозитория и что любой файл нельзя получить просто по хэшу.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ к данным из удалённых и приватных репозиториев на Git..."	–3 +/–
Сообщение от Аноним (1), 25-Июл-24, 11:14
Дагестанские ученые открыли дверь. Уже обсасывали эту новость, гитхаб уже давно добавил плашку "вы смотрите изменения в форке!! в апстриме таких правок нет!!"
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+9 +/–
	Сообщение от анон (?), 25-Июл-24, 11:22
	Опять новость до конца не дочитал?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
	Сообщение от IdeaFix (ok), 25-Июл-24, 11:23
	В апстринме этих АПИ коючей нет! Ну а если серьезно, то не стоит тащить в "лабу с ключами" в гитхаб.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	5. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от Аноним (5), 25-Июл-24, 11:32
	Не надо пользоваться гитхабом
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+2 +/–
	Сообщение от nume (ok), 25-Июл-24, 11:51
	Не надо пользоваться интернетом
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Доступ к данным из удалённых и приватных репозиториев на Git..."	–2 +/–
	Сообщение от Аноним (24), 25-Июл-24, 16:09
	Гитхаб самая популярная платформа. Хостишься на других - автоматически снижаешь количество потенциальных коммитеров. Если цель не работать, а скакать между хостингами - можно хоть в локальный гит класть.
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	35. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
	Сообщение от Аноним (35), 26-Июл-24, 23:09
	Если цель не работать, а привлекать любых соблазнившизся коммитеров - тогда да. В остальном всё с ног на голову: ценность не в коде, который ты собрался писать, а в чужой платформе, куда ты собрался все выкладывать.
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
Сообщение от Аноним (5), 25-Июл-24, 11:32
Так вроде сама концепция Гита это и подразумевает.
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+2 +/–
	Сообщение от Аноним (7), 25-Июл-24, 12:07
	Нет
	Ответить \| Правка \| Наверх \| Cообщить модератору

8. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+3 +/–
Сообщение от pavlinux (ok), 25-Июл-24, 12:07
> позволяющие извлечь данные из удалённых репозиториев, у которых имеются публичные форки Ну желаю им удачи извлечь что-то из 192.168.0.1
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+2 +/–
	Сообщение от Аноним (-), 25-Июл-24, 12:29
	> Ну желаю им удачи извлечь что-то из 192.168.0.1 Халявный интернет из него довольно неплохо извлекается, если что :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от pavlinux (ok), 25-Июл-24, 12:40
	>> Ну желаю им удачи извлечь что-то из 192.168.0.1 > Халявный интернет из него довольно неплохо извлекается, если что :) Давай подробнее, скрипты, сценарии, ссылки, а то ж через /dev/astral каждый может. Внешний IPшник сейчас 85.140.171.130 - жду! # netstat -tucln -p Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 127.0.0.1:53 0.0.0.0:* LISTEN 1725/dnsmasq udp 0 0 127.0.0.1:53 0.0.0.0:* 1725/dnsmasq udp 0 0 224.0.0.251:5353 0.0.0.0:* 3728/chrome
	Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от pavlinux (ok), 25-Июл-24, 13:04
	> Внешний IPшник сейчас 85.140.171.130 - жду! Обломись, lease time уже протух, ищи рядом - 85.140.0.0/16
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от Аноним (16), 25-Июл-24, 12:41
	Прямо очень халявный — заплатил провайдеру и пользуешься.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору

11. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
Сообщение от pavlinux (ok), 25-Июл-24, 12:09
> позволяющие получить полный доступ ко всем репозиториям на GitHub. А, всë таки на житхаб, а не удалëнно?!
Ответить \| Правка \| Наверх \| Cообщить модератору

17. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
Сообщение от Соль земли (?), 25-Июл-24, 12:54
Первый сценарий: делаем временные API ключи. Второй сценарий: github должен добавить purge. Потому что удалённые коммиты даже остаются доступны по хэшу. Помогает только полный снос репозитория. А вообще github не подходит для приватной разработки. И мне кажется, что и gitlab тоже не стоит наружу выставлять.
Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
	Сообщение от Аноним (22), 25-Июл-24, 13:18
	>Помогает только полный снос репозитория. В том то и дело, что даже он не помогает.
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
Сообщение от Аноним (22), 25-Июл-24, 13:04
Я только что проверил: заменённые коммиты многолетней давности - на месте. Если бы гитхаб чистил объекты без ссылок, то такого бы не было.
Ответить \| Правка \| Наверх \| Cообщить модератору

27. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+2 +/–
Сообщение от Аноним (27), 25-Июл-24, 21:25
> Компания удалила репозиторий через который была утечка, но ключи по-прежнему остались доступны для извлечения через обращения по хэшу коммита в репозиториях с форками. Если колбоса из бутерброда упала на пол и её успели поднять за 5 сек, то не считается что упала. Можно просто отряхнуть и вложить назад в бутер .. и подать клиенту на стол.
Ответить \| Правка \| Наверх \| Cообщить модератору

29. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
Сообщение от Аноним (29), 25-Июл-24, 23:15
А еще можно было просто склонировать репозиторий до того как удалили.. и да, там оно волшебным образом не удалится, когда у оригинальном репозитории чтото там удалят. ахтунг, я открыл новую уязвимость!
Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от Микхаэль (?), 26-Июл-24, 00:27
	После удаления в апстриме, вас вежливо попросят следовать тому же принципу. Если вы не пойдёте на встречу, то вас будут судить. Только уже тролли))
	Ответить \| Правка \| Наверх \| Cообщить модератору

31. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
Сообщение от Аноним (31), 26-Июл-24, 00:40
Уязвимость с выложенными паролями бредовая какая-то. Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел. Остальные "уязвимости" тоже уязвимости только в чьем-то воображении, кроме пожалуй доступа к приватной части репозитория, которая осталась закрытой после раскрытия другой части.
Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от Аноним (33), 26-Июл-24, 16:42
	>Если нечаяно выложили логины/пароли, то их надо срочно менять, а не надеяться, что никто прочитать не успел. А если кто-то в репозиторий по ошибке закоммитил секретную документацию, полученную от партнёров? Ждать, пока партнёр засудит, или всё же снести?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	38. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от Электрон (?), 27-Июл-24, 21:28
	Очень даже реальный случай: с частного репозитория лилась потоком метаинформация типа "новый коммит + заголовок" на радость публике в канал Discord. В один прекрасный день один из коммитов был тестово-пентестовым. "Немного" раскрыл удавшуюся шалость в отношении auth сервера одной из дочерних компаний Microsoft. На самом деле много раскрыл, правда кипишь поднялся не по этой причине. А тут же получается бывший публичный проект + непубличный форк + коммит = раскрытие информации. Коммиты либо 6-12 хексов запечатываются как build id или, как они показали, перебором. А все почему? Не проверяется принадлежность коммита к репозиторию ему создавшему, потому что объектное хранилище значит одно, а их ПО не утруждает себя ведением состояния и прав, и проверкой доступа.
	Ответить \| Правка \| К родителю #31 \| Наверх \| Cообщить модератору

32. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+1 +/–
Сообщение от Аноним (32), 26-Июл-24, 12:34
Вы сами выложили данные на сервера гита, а теперь беспокоитесь, что они могу "утечь"? Лол. Ну так все проблемы гита из за - "би дезигн". Зачем они эти обязательные форки оригинального репа, перед моим коммитом внедрили? Теперь пожинают плоды.
Ответить \| Правка \| Наверх \| Cообщить модератору


	34. "Доступ к данным из удалённых и приватных репозиториев на Git..."	+/–
	Сообщение от Аноним (33), 26-Июл-24, 16:44
	Для оптимизации хранения же. Ты ещё скажи спасибо, что там глобальной дедупликации нет, что все репозитории не являются implicitly форком одного и того же репозитория и что любой файл нельзя получить просто по хэшу.
	Ответить \| Правка \| Наверх \| Cообщить модератору