Nem lehetnek titkaid a GitHub-on. Törölt repó, privát repó mind elérhető publikusan

Security-all

Anyone can Access Deleted and Private Repository Data on GitHub

Secrets in Source Code Are Not A Code Security Problem

Egy példa ahol ki lehet próbálni

GHarchive ahonnan minden visszakereshető

Trusted by millions of developers
"We protect and defend the most trustworthy platform for developers everywhere to create and build software." - ROTFL! :-D

Felcsapott a Microsoft opensource talibánnak. Az is opensource lesz amit nem szántál annak! :-) Imádják az ilyet az enterspájzban. 

  • 511 megtekintés

( sz332 v | 2024. 08. 18., v – 13:35 )

Ez kicsit likevadász lett. A privát repó nem érhető el mások számára. Egy bizonyos esetben érhető el:
 

  • You create a private repo 

  • You create a private, internal version of that repo (via forking) and commit additional code for features that you’re not going to make public.

  • You make your “upstream” repository public and keep your fork private.

Are your private features and related code (from step 2) viewable by the public?

Yes. Any code committed between the time you created an internal fork of your tool and when you open-sourced the tool, those commits are accessible on the public repository. 

Any commits made to your private fork after you make the “upstream” repository public are not viewable. That’s because changing the visibility of a private “upstream” repository results in two repository networks - one for the private version, and one for the public version. 

A logika érthető, attól még nem szép.

Életszerű példa, hogy fejleszt a cég egy alkalmazást, amit nyílt forráskódúnak szánnak, de lesznek fizetős zárt kódú kiegészítő elemei. Amikor már készen van, vagy legalább beta állapotba került az opensourcenak szánt alap program kódja publikká válik. Ezzel a nem nyíltnak szánt zárt rész is. 

“Az ellenség keze betette a lábát”

( solt87 | 2024. 08. 18., v – 14:11 )

Én a kipróbálható példát nem értem. Van egy ojjektum (jelen esetben egy commit), és bár nem része sem egy aktuális branchnek, sem tag nem mutat rá, de jelen van. (Ha jól rémlik, erre is való a `git gc`, hogy az ilyen "elérhetetlen" dolgokat törölje.) Szóval: ott van a repóban, létezik; ha valaki tudja a hash-ét, akkor miért ne kellene látnia? Ugyanígy a benne lévő "secret!!!!!"-tel: ha valaki láthatja a commitot, magától értetődik, hogy a "secret!!!!!"-et is látni fogja. Ebben mi a meglepő? Ez ilyen, így működik a dolog.

A linkelt github oldal url-jéből töröld ki az utolsó két hexa 13-as számjegyet. Továbbra is elérhető marad az oldal. Ha a 4-es számjegyet is törlöd akkor már nem lesz elérhető. Ezzel az a probléma, hogy 6 hegyű hexa szám 16 millió és még egy kicsi lehetőség, ami brute force-al simán felnyomható. Állítólag vannak esetek amikor 4 hexa számjegy is elég. Az már csak 65ezervalamennyi lehetőség. Az eredeti link nem 8 jegyű hexa szám hanem sokkal hosszabb. Viszont így semmi értelme ha elég az első 6 számjegy is a oldalhoz való hozzáféréshez. 

“Az ellenség keze betette a lábát”

( Raynes v | 2024. 08. 18., v – 16:27 )

Félre ne érts, elég kínos, tipikus MS színvonal, nincs rá mentségük, de akinek tényleg olyan titkos a projektje, az eleve ne is bízza rá magát a MS-ra, meg a GH-ra. A git FOSS, az infrastruktúra működtethető helyi gépről is, amit nem engedsz ki a netre, akkor az tuti titkos marad.

Ha még valakinek nincs is erre dedikálható vasa, akkor is van a GitHub-on kívül egy rakat másik git-es oldal, Gitlab, Bitbucket, Gitea, stb.., ahol ingyenesen is regisztrálható repó. Sokan úgy tesznek, mintha a MS-on meg a GitHub-on kívül nem lenne élet, csak légüres tér, meg világűr.

The world runs on Excel spreadsheets. (Dylan Beattie)