ugrás a tartalomhoz

A github-ra költözik a PHP...

mind1 valami név · Már. 30. (K), 06.43
https://news-web.php.net/php.internals/113838

Úgy fest, gyakrabban kellene IT oldalakat néznem, erről most hallok először: két fejlesztő nevében rosszindulatú kódot küldtek ismeretlenek a PHP forráskódjába.
Ezért döntöttek úgy, hogy a jövőben inkább a githubon dolgoznak tovább a saját szerverük helyett.

Mondjuk az nem teljesen tiszta, hogy ha nem tudják, hogy került be az a két commit, akkor miért gondolják, hogy a github jobb, biztonságosabb lesz...
 
1

Talán mert a githubra nem

inf · Már. 30. (K), 08.17
Talán mert a githubra nem jellemző, hogy idegenek committolnak a jelszavad megszerzése nélkül. Valamit elcsesztek és megtörték a szerverüket. Ez is egy megoldás, de az is lehetne megoldás, hogy felfogadnak egy biztonsági szakembert, hogy vizsgálja ki az esetet.
2

Miért, a PHP git szerverére

mind1 valami név · Már. 30. (K), 08.33
Miért, a PHP git szerverére jellemző volt a jelszó nélküli commit? Ahhoz képest elég sokáig kihúzták...
Azért nem kicsit humoros, hogy az egyik legnépszerűbb programnyelv interpreterének forrása ennyire... Khm... Nembiztonságos szerveren volt tárolva.

Ui: egyébként csak arra céloztam, hogy ha nem tudják, mi történt, miért gondolják, hogy a szerver hibája és nem lopott jelszavak eredménye a garázdálkodás.
3

Szerinted ezt nekem honnan

inf · Már. 30. (K), 09.06
Szerinted ezt nekem honnan kéne tudni? Írják a cikkben, hogy szerintük így van, nem írják, hogy miért, és nagy valószínűséggel azért, mert egy csomó titkos információt közölnének vele együtt.
4

Talán mert a githubra nem

mind1 valami név · Már. 30. (K), 09.09
Talán mert a githubra nem jellemző, hogy idegenek committolnak a jelszavad megszerzése nélkül.

Azt hittem, ezt te írtad...
Gondoltam, volt valami alapja is, nem csak vagdalkozás.
5

Szerintem

Pepita · Már. 30. (K), 09.15
olyasmire gondolt, hogy a githubon nem tudni olyanról, hogy a jelszavad nélkül commitolnának a nevedben, ellenben a php-s szerveren megszerezhették akár a két fejlesztő jelszavait is - ezt nem árulják el.
A github-on szerintem is jobb lehet a felhasználók / storage védelme, mint egy 1-2 rendszergazda által üzemeltetett saját szerveré.
6

We don't yet know how exactly

inf · Már. 30. (K), 09.56
We don't yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).


Ezt írják, amiből elég világos, hogy szerintük más módon törték fel a szervert, nem a jelszavak megszerzésével.
7

Most nem tudom idézni, de

mind1 valami név · Már. 30. (K), 11.16
Most nem tudom idézni, de szerintem az ő posztjukban írták ugyanakkor, hogy teljesen a jelszólopást sem zárták ki.

Egyszerűen nem szeretem, ha valahol "kinyilatkoztatnak" ilyen dolgokat, mielőtt bármi biztosat tudnának.
Az, hogy minden jel arra mutat, szerintem kevés. Én biztosan vártam volna egy ilyen döntéssel addig, míg nem tudunk biztosat vagy nem jut olyan pontra a kutatás, hogy sosem derül ki, mi történt.
Addig meg simán lelőni a szervert. Hacsak nincs valami 0day a php-ben, akkor pár nap szünetet kibírt volna.
Szerintem.
8

Szerintem rájöttek, hogy nem

inf · Már. 30. (K), 11.30
Szerintem rájöttek, hogy nem értenek a biztonsághoz, és nem is annyira akarnak érteni hozzá, úgyhogy inkább kiszervezik.