Правильный подход к проблемам безопасности на github

в 17:31, , рубрики: Новости, метки:

Некоторое время назад github разослал следующее письмо (привожу в выборочном цитировании):

A security vulnerability was recently discovered that made it possible for an attacker to add new SSH keys to arbitrary GitHub user accounts.

While no known malicious activity has been reported, we are taking additional precautions by forcing an audit of all existing SSH keys.

По сути — дырка, позволяющая посторонним добавить свои ключи в авторизованные.

Ну дырка и дырка. Я для себя отметил, что нужно проверить, и забыл. Сейчас делал git push и обнаружил вот такое сообщение:

ERROR: Hi amarao, it's GitHub. We're doing an SSH key audit.
Please visit github.com/settings/ssh/audit/xxxxxx
to approve this key so we know it's safe.
Fingerprint: f7:aa:27:bb:97:cc:6d:dd:32:51:ee:26:8d:ff:ac:f9
fatal: The remote end hung up unexpectedly

Другими словами, без аудита ключики приняты не будут. Неудобно? Да. Правильно? Да!

Автор: amarao


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js