AIGC动态欢迎阅读
原标题:私有数据
、删掉的内容可以永久访问,GitHub官方:故意设计的
关键字:数据,密钥,代码,存在,用户文章来源:机器之心
内容字数:0字内容摘要:
选自trufflesecurity.com
机器之心编译
机器之心编辑部最近,一个消息震惊开源社区:在 GitHub 上删掉的内容、私有存储库的数据都是可以永久访问的,而且这是官方故意设计的。
开源安全软件公司 Truffle Security 在一篇博客中详细描述了这个问题。Truffle Security 引入了一个新术语:CFOR(Cross Fork Object Reference):当一个存储库 fork 可以访问另一个 fork 中的敏感数据(包括来自私有和已删除 fork 的数据)时,就会出现 CFOR 漏洞。
与不安全的直接对象引用类似,在 CFOR 中,用户提供提交(commit)哈希值就可以直接访问提交数据,否则这些数据是不可见的。
以下是 Truffle Security 博客原文内容。
访问已删除 fork 存储库的数据
想象如下工作流程:
在 GitHub 上 fork 一个公共存储库;
将代码提交到你的 fork 存储库中;
你删除你的 fork 存储库。那么,你提交给 fork 的代码应该是不能访问了对吧,因为你把 fork 存储库删除了。然而它却永久可原文链接:私有数据、删掉的内容可以永久访问,GitHub官方:故意设计的
联系作者
文章来源:机器之心
作者微信:
作者简介:
