Luciddream Δημοσ. 21 Αυγούστου 2015 Δημοσ. 21 Αυγούστου 2015 Ήθελα την γνώμη σας για το αν είναι το παρακάτω σενάριο security risk. Έστω και στην θεωρία. Ας πούμε ότι έχω βρεί έναν τρόπο στο Github ώστε να κάνω κάποιες συγκεκριμένες αλλαγές σε ένα repository και να φαίνονται ότι τις έχει κάνει κάποιος άλλος user. Στο δικό του το profile φαίνεται ότι τις έχει κάνει αυτός τις αλλαγές, και το Github στέλνει και notification emails ότι τις έχει κάνει αυτός τις αλλαγές. Το έστειλα στο Github και μου λένε ευχαριστούμε για την καταχώρηση αλλά δεν είναι security risk. Θα το προωθήσουν στους developers μήπως θέλουν να αλλάξουν αυτήν την συμπεριφορά. Εγώ πιστεύω ότι απλά θέλουν να γλυτώσουν να μου δώσουν το bounty, το οποίο δεν με ενδιαφέρει κιόλας (αν και θα μου άρεσε να με γράψουν στους contributors ) . Τους έστειλα και δεύτερο e-mail με ένα απλό σενάριο πως θα μπορούσε να το εκμεταλλευτεί κάποιος και περιμένω. Απλά μου φαίνεται περίεργο που δεν το θεωρούν security risk. Μήπως εγώ έχω λάθος αντίληψη? p.s Με βλέπω να τρώω και ban στο τέλος Rules Do not impact other users with your testing, this includes testing for vulnerabilities in repositories you do not own. We may suspend your GitHub account and ban your IP address if you do so.
defacer Δημοσ. 22 Αυγούστου 2015 Δημοσ. 22 Αυγούστου 2015 Έχεις λάθος αντίληψη. Με ποιο τρόπο θα μπορούσε αυτό να είναι security risk? Πέραν τούτου, η συμπεριφορά αυτή είναι by design και είναι γνωστή εδώ και χρόνια -- δεν είσαι ο πρώτος που το συναντάει η το κάνει blog, more like ο 100000ος. https://help.github.com/articles/why-are-my-commits-linked-to-the-wrong-user/
Luciddream Δημοσ. 22 Αυγούστου 2015 Μέλος Δημοσ. 22 Αυγούστου 2015 Έχεις λάθος αντίληψη. Με ποιο τρόπο θα μπορούσε αυτό να είναι security risk? Πέραν τούτου, η συμπεριφορά αυτή είναι by design και είναι γνωστή εδώ και χρόνια -- δεν είσαι ο πρώτος που το συναντάει η το κάνει blog, more like ο 100000ος. https://help.github.com/articles/why-are-my-commits-linked-to-the-wrong-user/ Δεν έχει να κάνει με τα commits. Αφού δεν το θεωρούν πάντως πρόβλημα δεν υπάρχει θέμα να το γράψω. Έχει να κάνει με τα releases. Αν είμαστε commiters σε έναν οργανισμό και έχουμε push access σε ένα repository, μπορώ να πάρω εγώ ένα δικό σου release, και να πειράξω αυτά που έχεις μέσα, να αλλάξω το tag name, τα αρχεία, τα comments, και να το κάνω update. Το Github θα το πάρει σαν να έκανες εσύ τις αλλαγές, καθώς κρατάει μόνο το όνομα αυτού που πρωτοέφτιαξε το release, και θα στείλει email σε όσους είναι subscribed στο repository ότι εσύ έκανες το update. Στο δικό σου το timeline θα δείχνει οτι εσύ έκανες τις αλλαγές. Θα μπορούσε π.χ κάποιος να βάλει έναν ιο μέσα στο binary του release και να μην καταλάβει κανένας τίποτα. Μπορεί άμεσα να μην είναι security issue αλλά έμμεσα μπορούν να γίνουν διάφορα περίεργα με τις κατάλληλες προυποθέσεις.. Η τελική απάντηση πάντως ηταν But, thanks for the feedback, as we may consider changing some aspects of how this works in the future.
defacer Δημοσ. 22 Αυγούστου 2015 Δημοσ. 22 Αυγούστου 2015 Ούτε αυτό είναι. Με τον ίδιο τρόπο, αν εμείς οι δύο έχουμε root σ' ένα σύστημα μπορώ εγώ να μπω να κάνω ο,τι αλλαγές θέλω και μαζί μ' αυτές να το κάνω να φαίνεται πως τις έκανες εσύ. Είναι security risk? Γενικά σε οποιοδήποτε σύστημα ασφαλείας υπάρχει ή έννοια του trusted user, ο ορισμός της οποίας είναι "το σύστημα είναι έτσι σχεδιασμένο που δε μπορεί (και δεν προσπαθεί βέβαια καν) να σε προστατέψει από αυτόν". Google "airtight hatchway" για να μπεις στο νόημα καλύτερα.
imitheos Δημοσ. 22 Αυγούστου 2015 Δημοσ. 22 Αυγούστου 2015 Δεν έχει να κάνει με τα commits. Αφού δεν το θεωρούν πάντως πρόβλημα δεν υπάρχει θέμα να το γράψω. Έχει να κάνει με τα releases. Αν είμαστε commiters σε έναν οργανισμό και έχουμε push access σε ένα repository, μπορώ να πάρω εγώ ένα δικό σου release, και να πειράξω αυτά που έχεις μέσα, να αλλάξω το tag name, τα αρχεία, τα comments, και να το κάνω update. Το Github θα το πάρει σαν να έκανες εσύ τις αλλαγές, καθώς κρατάει μόνο το όνομα αυτού που πρωτοέφτιαξε το release, και θα στείλει email σε όσους είναι subscribed στο repository ότι εσύ έκανες το update. Στο δικό σου το timeline θα δείχνει οτι εσύ έκανες τις αλλαγές. Θα μπορούσε π.χ κάποιος να βάλει έναν ιο μέσα στο binary του release και να μην καταλάβει κανένας τίποτα. Μπορεί άμεσα να μην είναι security issue αλλά έμμεσα μπορούν να γίνουν διάφορα περίεργα με τις κατάλληλες προυποθέσεις.. Η τελική απάντηση πάντως ηταν Δυστυχώς υπάρχουν πολλά τέτοια θέματα στο github. Και ο torvalds έχει γράψει διάφορα rants πάνω σε αυτό αλλά και άλλοι. Σε κάποια από αυτά δεν φταίει το github αλλά προκύπτουν από την σχεδίαση του ίδιου του git αλλά πολλά είναι από το github. Όπως λέει και ο defacer είναι σαν να είναι πολλοί admins σε ένα σύστημα. Αν δεν υλοποιήσεις εσύ νέους ρόλους, από τη μάνα τους όλοι έχουν την ίδια δύναμη. Το gitlab περιορίζει κάπως το πρόβλημα ακριβώς με το να έχει περισσότερους ρόλους. Αν θυμάμαι καλά, ένας απλός developer δεν μπορεί να κάνει rebase, να αλλάξει ένα tag ώστε να δείχνει αλλού, κτλ. Μόνο ο integration manager (master κατά το gitlab) μπορεί να τα κάνει. Έτσι μπορώ εγώ να είμαι developer ενός branch, ο defacer ενός άλλου branch και εσύ να είσαι ο integration manager που μπορείς να κάνεις rebase τα branch μας ώστε να παίζουν μεταξύ τους και να γίνονται pull στο master. Εγώ όμως δεν μπορώ να πειράξω τα commits του defacer. Όχι φυσικά ότι δεν μπορεί να το υλοποιήσει και το github αυτό ή και να το λύσει ακόμη καλύτερα αλλά η ασφάλεια είναι πάντα αντιστρόφως ανάλογη της ευκολίας. Το github έχει τη φήμη της πιο εύκολης πλατφόρμας για συνεργασία και διακίνηση κώδικα οπότε είναι λίγο δύσκολο για αυτούς να πάρουν ένα μέτρο που θα μειώσει την ευκολία.
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα