GitHub zaktualizował swoje klucze SSH po przypadkowym opublikowaniu części prywatnej na całym świecie. Przepraszam.
A Poczta Na blogu dotyczącym bezpieczeństwa Github firma ujawnia, że zmieniła klucze hosta RSA SSH. Spowoduje to błędy połączenia i kilka przerażających komunikatów ostrzegawczych dla wielu programistów, ale wszystko jest w porządku: to nie jest straszna aktywność crackingu, tylko zwykły stary błąd ludzki.
GitHub firmy Microsoft to największy stos kodu źródłowego na świecie, z szacunkową liczbą 100 milionów aktywnych użytkowników użytkownicy. Więc to zdenerwuje A.J bardzo ludzi. od publiczności. To nie koniec świata: jeśli zwykle pchasz i ciągniesz do GitHub przez SSH – co robi większość ludzi – będziesz musiał usunąć lokalny klucz GitHub SSH i pobrać nowe.
Jak opisuje post na blogu, pierwszym objawem jest alarmujący komunikat ostrzegawczy:
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Dla prawie wszystkich to ostrzeżenie jest fałszywe. Nie to, że jesteś atakowany – chociaż prawie zawsze tak jest daleko (Ha ha, po prostu poważnie) Możliwość – jest taka, że GitHub unieważnił swoje stare klucze i opublikował nowe. Obowiązuje Kodeks Brzytwy Hanlona, tak jak najczęściej:
(Słowo głupota Często jest zastępowany przez niekompetencjaale wtedy jedno prowadzi do drugiego).
Tym razem przyczyną był — jak zwykle — zwykły ludzki błąd. Ktoś opublikował GitHub prywatny Klucze RSA znajdują się w repozytorium w samym GitHub. Jeśli nie masz pewności, jak działa szyfrowanie SSH, co do kluczy publicznych i prywatnych lub różnych algorytmów szyfrowania używanych przez SSH, jest kilka dobrych. wyjaśnienia poza.
W skrócie i nie tylko rej Czytelnicy wiedzą, że dobrze jest ujawniać, publikować i udostępniać ogólny klucze, ale twoje prywatny Klucze muszą być trzymane w tajemnicy. Jeśli się wydostaną — na przykład, jeśli ktoś przypadkowo opublikuje je w głośnej witrynie internetowej — każdy, kto je ma, może udawać, że jest tobą. To jest złe.
SSH obsługuje alternatywne szyfrowanie Algorytmy do RSA w celu uzyskania kluczy i GitHub Również Posiada również klucze ECDSA i Ed25519. Nie zostały one opublikowane, więc nie uległy zmianie.
GitHub nie mówi, kto i gdzie opublikował klucze, co jest całkowicie w porządku, ale podejrzewamy, że informacje mogą później wycieknąć. W każdym razie dzisiaj o godzinie 0500 UTC RSA zmienił się na nowy, więc powinieneś postępować zgodnie z instrukcjami w poście na blogu, usunąć stary klucz i jak najszybciej dodać nowy. ®
botnot
Sam kod Hanlona jest następstwem Prawo Fingle’a: Cokolwiek może pójść źle, pójdzie źle. Jako cyniczny, ale dość dobry tego przykład, Robert J. Hanlon może być trochę snobem mylnie cytować Robert A. Heinlein, podobnie jak Heinlein Razor.
„Nieuleczalny myśliciel. Miłośnik jedzenia. Subtelnie czarujący badacz alkoholu. Zwolennik popkultury”.
More Stories
Kamery Google Nest będą teraz ostrzegać Cię, jeśli zostawisz otwartą bramę garażową
Anthropic, start-up zajmujący się sztuczną inteligencją, zostaje oskarżony o „rażącą eksplorację danych”.
Humble Games ogłosiło restrukturyzację, zwalniając cały zespół wydawniczy