GitHub'ta güvenlik açığı mı var?

roser137

Kilopat
Katılım
25 Aralık 2015
Mesajlar
1.500
Makaleler
1
Çözümler
7
Daha fazla  
Cinsiyet
Erkek
GitHub Linux reposunda şöyle bir şeye denk geldim.


Linux'u sildim çünkü kötü falan diye son bir commit görünüyor. Bu nasıl olabiliyor ki? URL resmi repo URL'si gibi sadece dal Master değil farklı bir dal. Master da tabii ki böyle bir commit yok.


GitHub'tan kaynaklanan bir güvenlik açığı mı yoksa kernel.org'tan GitHub'a aynalayan sistem vs. mi hacklenmiş? Her türlü GitHub tarafında böyle bir açık varsa büyük bir sorun.
 
kernel.orgden dolayı düşünüyoruz sonuçta GitHub'un arkasında koskoca Microsoft var.
 
Anladığım kadarıyla pull Request'i oluştururken git maili vs. olarak istediğimiz kullanıcıyı taklit ederek commit oluşturabiliyoruz. PR'a ait tree linki verildiğinde sanki orijinal kişi commitlemiş gibi taklit edilmiş bir sayfa elde edilebiliyor. GitHub ile ilgili bir sorun diye anladım. Kernel.org'da Torvalds'a ait öyle bir branch ya da commit yok.
Reddit'te tartışılmış

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.

Hacker News'te de GitHub özelinde nasıl yapıldığı açıklanmış

Özetle sorumluluk Microsoft'ta gibi çünkü orijinal Git'te pull request diye bir mekanizma yok. Tabii şöyle bir gariplik de var orijinal Git'te de commit sahibini doğrulamak için gpg imza doğrulaması yapılmıyor. Git'in Core Dev'i Torvalds olunca sorumluluk boyutu iyice karışıyor :D. Bu örnekte yine de GitHub ve Microsoft daha sorumlu gibi çünkü GitHub doğrudan Commit'teki Email'i doğrulamadan web UI'da gösteriyor. Kendi içi mekanizmasıyla doğrulama yapabilirdi. Ya da PR üzerinden oluşan linklerde doğrulanmadı gibi bir uyarı gösterebilirdi.
 
Son düzenleme:
Anladığım kadarıyla pull Request'i oluştururken git maili vs. olarak istediğimiz kullanıcıyı taklit ederek commit oluşturabiliyoruz. PR'a ait tree linki verildiğinde sanki orijinal kişi commitlemiş gibi taklit edilmiş bir sayfa elde edilebiliyor. GitHub ile ilgili bir sorun diye anladım. Kernel.org'da Torvalds'a ait öyle bir branch ya da commit yok.
Reddit'te tartışılmış

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.

Hacker News'te de GitHub özelinde nasıl yapıldığı açıklanmış

Özetle sorumluluk Microsoft'ta gibi çünkü orijinal Git'te pull request diye bir mekanizma yok. Tabii şöyle bir gariplik de var orijinal Git'te de commit sahibini doğrulamak için gpg imza doğrulaması yapılmıyor. Git'in Core Dev'i Torvalds olunca sorumluluk boyutu iyice karışıyor :D. Bu örnekte yine de GitHub ve Microsoft daha sorumlu gibi çünkü GitHub doğrudan Commit'teki Email'i doğrulamadan web UI'da gösteriyor. Kendi içi mekanizmasıyla doğrulama yapabilirdi. Ya da PR üzerinden oluşan linklerde doğrulanmadı gibi bir uyarı gösterebilirdi.

kernel.org Üzerinde repoyla obje paylaşımı olduğundan aynı şekilde commit atmak mümkün. Burada direkt olarak bir açık yok Git bu şekilde çalışıyor zaten.

Commit sahibini doğrulamak için bahsettiğiniz gibi imzalamak mümkün ancak bu durumda sadece imzaladığınız commitlerin size ait olduğunu doğruluyorsunuz. İmzalamadıklarınız için kesin bir doğrulama yöntemi yok.

Projenin asıl reposuna herhangi bir yazma işlemi uygulanmadığından GitHub bu durumu açık olarak değerlendirmiyor.

Commit atılan sözler linusun kendi sözleri bu arada. Geriye uyumlulukla ilgili yaptığı konuşmada bahsetmişti. Aynı şekilde GitHub üzerinde bu şekilde yapılabilen commitlerin güvenliğiyle ilgili söylemleri var.

Bu içeriği görüntülemek için üçüncü taraf çerezlerini yerleştirmek için izninize ihtiyacımız olacak.
Daha detaylı bilgi için, çerezler sayfamıza bakınız.
 

Yeni konular

Geri
Yukarı