github有一个许可问题

2021-03-17 09:39:58

TL;博士:成千上万的开发人员给第3派对写入他们的github repos。由于您的Gyithub Repos通常使用,因此这比放弃您的电子邮件密码或计算机'密码更不负责任。到第3派对的令牌代表就像密码一样。一个黑客那个拥有这个信息的公司突然将突然写入违规公司的令人畏缩的公司。

我真的很想在很多前面尖叫安全,但是今天谈论github。

这不是2000年关于HN和GitHub的评论主题,没有羞辱Intofixing这个?

很多网站让您通过GitHub注册。盖茨比是一个。当您通过GitHub帐户尝试注册时,您获得的屏幕&#39。

真的,WTF和#34;代表你的行为和#34;意思是?这是否意味着盖茨比可以有人代表我暗杀?他们可以代表我拿出抵押贷款吗?他们可以代表我为和平军团自愿吗?更认真的是他们代表我扫描我所有的私人呼气吗?我代表我在我的代码中插入特洛伊木马?打开拉申请其他人和#39;我代表我的项目?登录我的每隔一位服务我和我的github账户我代表我的账户?我代表我删除了所有的回购?我代表我的项目添加用户?代表我更改我的密码?

我用github买了这个,他们基本上扔掉他们的手和说"好吧,至少我们'重新告诉你一些东西"。你"重复。你'重新有效地告诉我,除了你和#39;如果我点击你,那么重申那家公司的许可做任何事情。那个有用的信息怎么样?

但是,只是告诉我是真的很重要。关键是每项服务应该需要使用,因为绝对必要。如果我报名参加服务,则默认值不应除了获取我的电子邮件数据库之外,不应该是任何权限。如果一个服务应该使用repo(如gatsby),那么github应该提供一个接口,盖茨比告诉github"给我一个repos列表,用户希望我使用"并且github呈现UI以选择AightsOne或创建新的,并且完成后,只有这些repos可访问,只有最小权限需要。

这是' t完全github' s故障,但大多数发展社区也似乎睡着了。

让&#39想象一下您的银行可以以类似的方式登录第三方服务。有多少人可以点击"让Acme Corp代表您的花旗银行账户"我认为大多数人都会超级害怕那样的人。相反,他们想要非常具体的许可,只能允许存钱,Oronly允许阅读余额,或只有读取交易的许可等......

Github为这么多公司提供毯子权限是灾难刚刚等待的巨大食谱。如果这些公司中的任何一个都被黑客攻击,或者有内幕帮助,或者有一个不满的员工,突然间秘密被盗,你的未发布的应用程序被盗了,您的软件被特洛伊木马攻击,所有客户都起诉您的应用程序造成的工作丢失。可能更糟糕,您可以通过黑客攻击Acme Corp来运行一个开源库,Bad Guys可以通过使用您的图书馆的每个人都通过那张Hack来解决您的图书馆。

我得到了为什么Github作出它和/或为什么应用程序。例如,签出林业。他们可以询问最小的权限,并善于提供路径,以便提供该路径.They要求更大的权限,以便他们可以为您完成所有步骤。我明白了。但如果您允许他们允许覆盖Github(或Gitlab),则应可以可以说是从作为软件开发人员提供的资格!

事实上,你信任一些随机的第三方与毯子权限来编辑你的所有Repos和ChangeAll的权限是证明你不知道WTF你和#39;再做,你可以' t' t' t' t' t' t被信任。如果有人要求您输入计算机的密码,则为#39;如果你把它放出你'重复没有计算机识字!

首先让&#39解释一下林业是什么。它'通过git编辑博客帖子的UI,因此您可以为基于Git的静态站点生成器带来一个很好的友好界面。那个'很棒!但是,大多数情况下,它只需要访问单个回购。不是所有的公共呼气!如果你点击并挑选"授权"那个'没有什么不同,然后将密码给您的计算机。至少你的黑客电脑可能只会影响你。

此外,像林业这样的公司甚至要求这应该是可耻的!记住各自的公司习惯于Facebook,yelp,当您注册时' d询问您的电子邮件帐户的用户名和密码?记得地球上每个技术人员都知道的几乎不负责任,甚至问道?好吧没有什么不同。它完全不负责任林业,要求这些毯子权限!它与任何用户完全不负责任,给他们这些权限!科技领导人似乎在呼唤这件事时如何睡着了?

就像上面提到的那样,其中一部分可以说是在github' s脚。林业这样做是因为GitHub提供了Nogood流量,因此林业留下了2个选项(1)完全不负责任,但使USERTO使用他们的服务很容易,(2)负责,而是人们可以丢失销售T轻松获得设置。

相反,它应该是他们'重新举行一个不负责任的和不值得信任的公司,他们一直询问各种权限。此外,GitHub应该是应该为他们的系统感到羞耻,鼓励这些毯子权限。

以这种方式想到它。有数百万个开源库。 NPM拥有超过一百万的纤维纤维,而且只是JavaScript。添加在Python,C ++,Java,C#,Ruby以及GitHub上的所有其他项目。成千上万的开发人员写了这些图书馆。这些开发人员中有多少人放弃了他们的回购所以随机的第三方可以破解他们的图书馆?也许他们向某些代码暗示网站提供了Toobroad权限。也许他们对某些项目监控网站提供了太广泛的权限。也许他们给出了太广泛的权限,只是为了加入使用Their Github帐户的论坛。 ISN' t那个超级不负责任吗?他们' ve用里纤维和他们打开了一扇门,他们'让更多的人在门口。那可以' t是好的。

我不作为github有效地制作这个共同点的陈旧开发。 github需要安全地携手,这意味着努力使这个问题是例外,而不是规则。它应该是最容易做的事情,以允许第三方对你的repo的最小访问。它应该更加困难地给予它们使用权。应该有巨大的警告,你' Re aboutto做一些超级不负责任的事情,你可能不应该信任这些权限的公司阵列。

通过向他们的回购提供钥匙来呼唤您有效地将您带到冒险的业指示灯!

我不算在林里挑选林业。其他100多个其他Github(和Gitlab?)集成具有相同的问题.Forestry只是我看待的最新问题。我看到各种公司多年来几年来,我已经认真对待这一问题,这是一个更大的话题。

在GitHub权限上看上面。甚至不应该列出阅读公共信息!它已经明显地列出了您的所有公共信息,可以由应用程序读取。 '公众的定义!没有理由告诉我它可能会读它。它不需要这样做。