GitHub'ta güvenlik açığı mı var?

roser137

Kilopat
Katılım
25 Aralık 2015
Mesajlar
324
Çözümler
1
GitHub Linux reposunda şöyle bir şeye denk geldim.


Linux'u sildim çünkü kötü falan diye son bir commit görünüyor. Bu nasıl olabiliyor ki? URL resmi repo URL'si gibi sadece dal Master değil farklı bir dal. Master da tabii ki böyle bir commit yok.


GitHub'tan kaynaklanan bir güvenlik açığı mı yoksa kernel.org'tan GitHub'a aynalayan sistem vs. mi hacklenmiş? Her türlü GitHub tarafında böyle bir açık varsa büyük bir sorun.
 
KS
KS
roser137

roser137

Kilopat
Katılım
25 Aralık 2015
Mesajlar
324
Çözümler
1
Anladığım kadarıyla pull Request'i oluştururken git maili vs. olarak istediğimiz kullanıcıyı taklit ederek commit oluşturabiliyoruz. PR'a ait tree linki verildiğinde sanki orijinal kişi commitlemiş gibi taklit edilmiş bir sayfa elde edilebiliyor. GitHub ile ilgili bir sorun diye anladım. Kernel.org'da Torvalds'a ait öyle bir branch ya da commit yok.
Reddit'te tartışılmış

https://www.reddit.com/r/archlinux/comments/sdlg8a
Hacker News'te de GitHub özelinde nasıl yapıldığı açıklanmış

Özetle sorumluluk Microsoft'ta gibi çünkü orijinal Git'te pull request diye bir mekanizma yok. Tabii şöyle bir gariplik de var orijinal Git'te de commit sahibini doğrulamak için gpg imza doğrulaması yapılmıyor. Git'in Core Dev'i Torvalds olunca sorumluluk boyutu iyice karışıyor :D. Bu örnekte yine de GitHub ve Microsoft daha sorumlu gibi çünkü GitHub doğrudan Commit'teki Email'i doğrulamadan web UI'da gösteriyor. Kendi içi mekanizmasıyla doğrulama yapabilirdi. Ya da PR üzerinden oluşan linklerde doğrulanmadı gibi bir uyarı gösterebilirdi.
 
Son düzenleme:

ring0

Decapat
Katılım
16 Eylül 2019
Mesajlar
554
Makaleler
1
Çözümler
5
Anladığım kadarıyla pull Request'i oluştururken git maili vs. olarak istediğimiz kullanıcıyı taklit ederek commit oluşturabiliyoruz. PR'a ait tree linki verildiğinde sanki orijinal kişi commitlemiş gibi taklit edilmiş bir sayfa elde edilebiliyor. GitHub ile ilgili bir sorun diye anladım. Kernel.org'da Torvalds'a ait öyle bir branch ya da commit yok.
Reddit'te tartışılmış

https://www.reddit.com/r/archlinux/comments/sdlg8a
Hacker News'te de GitHub özelinde nasıl yapıldığı açıklanmış

Özetle sorumluluk Microsoft'ta gibi çünkü orijinal Git'te pull request diye bir mekanizma yok. Tabii şöyle bir gariplik de var orijinal Git'te de commit sahibini doğrulamak için gpg imza doğrulaması yapılmıyor. Git'in Core Dev'i Torvalds olunca sorumluluk boyutu iyice karışıyor :D. Bu örnekte yine de GitHub ve Microsoft daha sorumlu gibi çünkü GitHub doğrudan Commit'teki Email'i doğrulamadan web UI'da gösteriyor. Kendi içi mekanizmasıyla doğrulama yapabilirdi. Ya da PR üzerinden oluşan linklerde doğrulanmadı gibi bir uyarı gösterebilirdi.

kernel.org Üzerinde repoyla obje paylaşımı olduğundan aynı şekilde commit atmak mümkün. Burada direkt olarak bir açık yok Git bu şekilde çalışıyor zaten.

Commit sahibini doğrulamak için bahsettiğiniz gibi imzalamak mümkün ancak bu durumda sadece imzaladığınız commitlerin size ait olduğunu doğruluyorsunuz. İmzalamadıklarınız için kesin bir doğrulama yöntemi yok.

Projenin asıl reposuna herhangi bir yazma işlemi uygulanmadığından GitHub bu durumu açık olarak değerlendirmiyor.

Commit atılan sözler linusun kendi sözleri bu arada. Geriye uyumlulukla ilgili yaptığı konuşmada bahsetmişti. Aynı şekilde GitHub üzerinde bu şekilde yapılabilen commitlerin güvenliğiyle ilgili söylemleri var.

 
Yukarı