The hacker supposedly combed through the internet for Git config files, then extracted credentials listed in plain text to gain access.
Ну то есть ты думаешь, что с тобой такого не случится, и что хакеры не придумают со временем чего-то другого. Это, конечно, не запрещено, но мне всегда казалось, что если можно не совать пальцы в розетку, то и не нужно их туда совать.
Здравствуйте, Sharowarsheg, Вы писали:
ltc>>Ох, какой плохой гитхаб: ltc>>
The hacker supposedly combed through the internet for Git config files, then extracted credentials listed in plain text to gain access.
S>Ну то есть ты думаешь, что с тобой такого не случится, и что хакеры не придумают со временем чего-то другого. Это, конечно, не запрещено, но мне всегда казалось, что если можно не совать пальцы в розетку, то и не нужно их туда совать.
Гитхаб не был взломан. Значит, безопасность там на достаточно хорошем уровне.
А скомпрометировать креды можно точно так же от своего рабочего окружения и все потерять. Не ты так кто-то другой из сотрудников.
Здравствуйте, wantus, Вы писали:
W>>>Это должно решать некую проблему, которую сложно решить другими способами. W>>>У вас такая проблема есть? У нас — нет.
Pzz>>У вас, наверное, есть специально обученный человек, а то и не один, который отвечает за ваши собственные сервера.
W>Нет, нету. Git как бы распределенный протокол, ему сервер в принципе не нужен... если его правильно готовить W>Все фичи — в бранчах. В мастере — стабильный билд. Каждый свою копию repo бэкапит + то же самое на build machine. W>Делов то. Мы ж не Микрософт.
У гитхаба куча плюшек, включая ревью, багтрекер, билд интеграция с трэвисом и тд.
Здравствуйте, ltc, Вы писали:
S>>Ну то есть ты думаешь, что с тобой такого не случится, и что хакеры не придумают со временем чего-то другого. Это, конечно, не запрещено, но мне всегда казалось, что если можно не совать пальцы в розетку, то и не нужно их туда совать.
ltc>Гитхаб не был взломан. Значит, безопасность там на достаточно хорошем уровне.
Или был, но нам пока не сообщили. Или не был, но ещё будет. Для команды из одного человека, которые обычны для шаровары, преимущества, которые даёт гитхаб, мне представляется, не перевешивают рисков.
ltc>А скомпрометировать креды можно точно так же от своего рабочего окружения и все потерять. Не ты так кто-то другой из сотрудников.
Нет, не точно так же. Внутренние системы по крайней мере не попадают в массовые утечки. В смысле, вряд-ли кто-то будет ломать меня конкретно, чтобы упереть конкретно мои исходники. А вот если пробежит новость о дампе гитхаба, по крайней мере пара человек посмотрит, а нет ли там случайно моих.
Здравствуйте, Sharowarsheg, Вы писали:
S>>>Ну то есть ты думаешь, что с тобой такого не случится, и что хакеры не придумают со временем чего-то другого. Это, конечно, не запрещено, но мне всегда казалось, что если можно не совать пальцы в розетку, то и не нужно их туда совать.
ltc>>Гитхаб не был взломан. Значит, безопасность там на достаточно хорошем уровне.
S>Или был, но нам пока не сообщили. Или не был, но ещё будет. Для команды из одного человека, которые обычны для шаровары, преимущества, которые даёт гитхаб, мне представляется, не перевешивают рисков.
Обязаны сообщать. У них в ToS все прописано, иначе их покарают жестко.
Для одного человека, понятно, смысла не много. Некоторые до сих пор винраром пользуются вместо VCS.
ltc>>А скомпрометировать креды можно точно так же от своего рабочего окружения и все потерять. Не ты так кто-то другой из сотрудников.
S>Нет, не точно так же. Внутренние системы по крайней мере не попадают в массовые утечки. В смысле, вряд-ли кто-то будет ломать меня конкретно, чтобы упереть конкретно мои исходники. А вот если пробежит новость о дампе гитхаба, по крайней мере пара человек посмотрит, а нет ли там случайно моих.
Пока утечек у гитхаба не было, а чисто гипотетически — да, риски есть. Но сломать тебя вполне может оказаться гораздо проще, чем гитхаб.
Кстати, какой почтой пользуешься?
Update
May 23, 2019
Git data encryption at rest
Source code stored on GitHub.com will be encrypted at rest, by default. Any source code previously stored on GitHub.com has been converted over to hosts with encrypted disks. For GitHub Enterprise Server customers, encryption at rest is dependent on the host in which Enterprise Server is running, not a function of the Server software itself.
То есть просто сдампить все исходники возможности нет. А для аккаунтов там есть 2FA.
Здравствуйте, ltc, Вы писали:
S>>Или был, но нам пока не сообщили. Или не был, но ещё будет. Для команды из одного человека, которые обычны для шаровары, преимущества, которые даёт гитхаб, мне представляется, не перевешивают рисков.
ltc>Обязаны сообщать. У них в ToS все прописано, иначе их покарают жестко.
У хакеров нет ToS. У фейсбука с твиттером ToS вроде есть, а скандалы, тем не менее, раз в неделю.
ltc>Для одного человека, понятно, смысла не много. Некоторые до сих пор винраром пользуются вместо VCS.
Я, например.
ltc>>>А скомпрометировать креды можно точно так же от своего рабочего окружения и все потерять. Не ты так кто-то другой из сотрудников.
S>>Нет, не точно так же. Внутренние системы по крайней мере не попадают в массовые утечки. В смысле, вряд-ли кто-то будет ломать меня конкретно, чтобы упереть конкретно мои исходники. А вот если пробежит новость о дампе гитхаба, по крайней мере пара человек посмотрит, а нет ли там случайно моих.
ltc>Пока утечек у гитхаба не было, а чисто гипотетически — да, риски есть. Но сломать тебя вполне может оказаться гораздо проще, чем гитхаб.
Ломать меня — у конкурентов не подходящая специализация. А вот если случайно утечёт, то посмотреть желающих найдётся.
ltc>Кстати, какой почтой пользуешься?
Пятью примерно разными, смотря для чего. А для важных вещей — бумажной.
1. Что-то мало- и среднезначительное хранить на ГХ можно и нужно. Проекты высокой ценности, или опасные для здоровья (то, за что спецслужбы или AAPL голову оторвут) — вряд ли.
2. Если ты не платишь за продукт, то продукт — это ты. Попробуйте задуматься, как именно ГХ/MS монетизирует орды бесплатных пользователей. Это ж экзабайты трафла и хранилища, что чисто физически весьма недешево. Проскакивали, например, исследовательские работы по построению fingerprint'ов разработчиков, чтобы даже по бинарю определять состав писавших. Понятное дело, если ты пишешь только стартапчики и опердни, то и черт бы с ним. А если что-то поинтереснее, в стиле покойного Мыщьха? Запилишь работодателю какой-нибудь какой-нибудь "код двойного назначения", а потом совсем не связанные с тобой негодяи сунутся с ним куда не следовало, а ты под подозрением.
Здравствуйте, Sharowarsheg, Вы писали:
S>Ломать меня — у конкурентов не подходящая специализация. А вот если случайно утечёт, то посмотреть желающих найдётся.
откуда кому-то знать что вот этот конкретный репоз — это твой проект?
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, marcopolo, Вы писали:
M>>В чем удобство? Что мешает купить 2 внешних диска?
Pzz>Ну, допустим, купил я 2 внешних диска. Как мне из них сделать github?
Вставить в компьютер ?
Установить GitLab ?
”Жить стало лучше... но противнее. Люди которые ставят точку после слова лучше становятся сторонниками Путина, наши же сторонники делают акцент на слове противнее ( ложь, воровство, лицемерие, вражда )." (с) Борис Немцов
Здравствуйте, okon, Вы писали:
Pzz>>Ну, допустим, купил я 2 внешних диска. Как мне из них сделать github?
O>Вставить в компьютер ? O>Установить GitLab ?
А к интернету надо подключать? И зачем, кстати, 2 диска в этой истории, и почему внешних?