Исследователи из Truffle Security обнаружили значительный риск безопасности, связанный с удаленными репозиториями GitHub. Несмотря на удаление, будь то публичный или приватный репозиторий, его данные, включая конфиденциальную информацию, например ключи API, по-прежнему могут быть доступны через форки.
Исследователь безопасности Джо Леон назвал эту проблему «Cross Fork Object Reference» (CFOR). CFOR возникает, когда данные из одного форка остаются доступными через другой форк, даже если оригинальный удален.
Truffle Security продемонстрировала это, создав форк хранилища, зафиксировав в нем конфиденциальные данные, удалив форк, а затем получив доступ к якобы удаленным данным через оригинальное хранилище. Далее была продемонстрирована демонстрация того, как несинхронизированные данные из форка могут быть доступны после удаления оригинального хранилища.
GitHub, однако, рассматривает эту ситуацию как особенность, а не ошибку, заявляя, что это задокументированное поведение, присущее сетям форков. Truffle Security утверждает, что GitHub следует пересмотреть свою позицию.
Столичные росгвардейцы задержали мужчину, подозреваемого в грабеже
Более 40 тысяч семей в Москве и области получают ежемесячные выплаты из средств материнского капитала
Филиал № 4 ОСФР по Москве и Московской области информирует:
Более 12 тысяч жителей Москвы и Московской области получают повышенную пенсию за работу в сельском хозяйстве
Филиал № 4 ОСФР по Москве и Московской области информирует:
С 1 августа Соцфонд увеличит страховые пенсии россиян
Blankspot: Арест Игбала Абилова очередное преступление бакинского диктатора Алиева. После войны в Нагорном Карабахе положение талышей в Азербайджане ухудшилось
В СЛД «Брянск-Льговский» филиала «Московский» ООО «ЛокоТех-Сервис» сформирован студенческий отряд
В Севастополе подведены итоги работы военных следственных органов Следственного комитета России по Черноморскому флоту в первом полугодии текущего года
Гора Нос
Портативный ТСД корпоративного класса Saotron RT-T70
Беспроводной сканер штрих-кодов SAOTRON P05i промышленного класса
Arena Breakout празднует 1 годовщину новой картой, игровым режимом и наградами
Приключение-головоломка Arranger вышла на смартфоны и PC
A Google Doodle animator is my new favorite Elden Ring lore theorist thanks to this cartoon retelling of Shadow of the Erdtree set to a Taylor Swift song
Activision secretly experimented on 50% of Call of Duty players by 'decreasing' skill-based matchmaking, and determined players like SBMM even if they don't know it
«Кричал от боли и шока»: Кудрявцева впервые рассказала о страшной аварии
Как ВТБ и Газпром. Путин объявил о переезде госкорпораций в регионы России
24 июля директор филиала «Северный» ООО «ЛокоТех-Сервис» Андрей Дружков провёл встречу с участниками ключевого кадрового резерва на управленческие должности.
Щедрая душа: стало известно, сколько денег россиянки тратят на мужские украшения
