Info: Jeder kann auf gelöschte und private Repository-Daten auf GitHub zugreifen

[jb_alvarado]

Bin gerade auf diesen Artikel gestoßen: anyone-can-access-deleted-and-private-repo-data-github

Ich zitiere die Einleitung (übersetzt mit Deepl):

Du kannst auf Daten von gelöschten Forks, gelöschten Repositories und sogar privaten Repositories auf GitHub zugreifen. Und sie sind für immer verfügbar. Das ist bei GitHub bekannt und absichtlich so konzipiert.

Dies ist ein so großer Angriffsvektor für alle Organisationen, die GitHub nutzen, dass wir einen neuen Begriff einführen: Cross Fork Object Reference (CFOR). Eine CFOR-Schwachstelle tritt auf, wenn ein Repository-Fork auf sensible Daten aus einem anderen Fork zugreifen kann (einschließlich Daten aus privaten und gelöschten Forks). Ähnlich wie bei einer unsicheren direkten Objektreferenz geben Benutzer bei CFOR Commit-Hashes an, um direkt auf Commit-Daten zuzugreifen, die sonst für sie nicht sichtbar wären.

Wie denkt ihr darüber? Ich hoffe, dass in Zukunft hier etwas, seitens Github, geändert wird.

 

[Pummeluff]

Wie denkt ihr darüber? Ich hoffe, dass in Zukunft hier etwas, seitens Github, geändert wird.

Warum? Passt doch zum Konzernkonzept.

Und damit ich mich immer und immer wieder wiederhole: Die Cloud ist public.

 

[Tornhoof]

Das ist schon seit Jahren so und angeblich working as intended.
Siehe die Diskussion https://news.ycombinator.com/item?id=41060102

Die Sichtbarkeit von Forks ist auch so dokumentiert:
https://docs.github.com/en/pull-req...visibility-of-forks#about-visibility-of-forks

Steht ja auch alles in deinem Link, oder ums anders auszudrücken: much ado about nothing.

 

[madmax2010]

joa. ist doof. Aber:
kritischer Kram auf internem gitea
weniger kritisches auf eigenem öffentlichen gitlab,
öffentliche Projekte bei gitlab

 

[jonderson]

Wenn etwas geforkt wird, dann braucht man eben die Historie.

¯\(ツ)/¯ Verstehe das Problem nicht

 

[jb_alvarado]

Wenn etwas geforkt wird, dann braucht man eben die Historie.

Und wozu? Wenn kein merge vom Fork stattgefunden hat. In den beschriebenen Szenarien braucht es ja gerade keine Historie.

 

[Pummeluff]

Manchmal hat man das Bedürfnis auf eine ältere Version einer Datei zurückgehen zu müssen. Das wäre ohne History etwas schwierig.

 

[jb_alvarado]

@Pummeluff Ja das ist klar, sonst bräuchte man ja das ganze Konzept von Git nicht. Aber wenn etwas geforkt wird, das Original anschließend verändert wird und dann gelöscht wird, ohne das je ein Abgleich zwischen Fork und Original stattgefunden hat, sollte die letzte Änderung vor dem löschen nicht mehr existieren. Der Fork dürfte davon nichts wissen.

Mit plain git lässt sich das auch nicht reproduzieren.

 

[SpamBot]

Also entweder veröffentlicht man seinen scheiß oder lässt es. Kenne das von diversen anderen Seiten (KI Kram) wo Leute ständig ihr Zeug Entfernen sobald es erfolgreich wird.

 

[wern001]

Tja, etwas auf einer Webseite löschen und vertrauen das es gelöscht ist und wirklich gelöscht ist ein kleiner unterschied

 

[netzgestaltung]

Wie denkt ihr darüber?

ich hab nur public repos, da ich den FOSS Gedanken verfolge. Private Repos erscheinen mir überflüssig.

 

[Micke]

@jb_alvarado hab ich vermutet, aber nicht weiter verfolgt. Danke für's ins Gedächtnis rufen.

 

[netzgestaltung]

also einmal hatte ich unabsichtlich einen api-key in einem repo, das ist dann natürlich nicht so schön, der wurde natürlich geändert. Das dies eine History-unsicherheit ist, war damals aber schon gleich klar.

für kritische oder interne netzwerkstruktur geschichten würde ich auch entsprechend, wie von @madmax2010 beschrieben, ein internes gitea nutzen.

insgesamt hätte ich gerne eine federation sowas wie activitypub-git, damit ich von meiner gitea instanz einen fork einer öffentlichen gitlab adresse machen kann und auch issues und pull-requests cross-instances wäre nice.

danke @jb_alvarado für die weiteren details, da war ich natürlich auch zu faul zu lesen. auf github würde ich dennoch keine privaten repos aufbauen. Noch dazu seit ich dank dem Verkauf an MS nun auch finaly ein MS Konto erhalten habe. Danke für nichts!

Am einfachsten und wenn es nur einen user gibt ist es, einfach ein git-repo lokal zu initialisieren und zb mit github desktop zu verwalten.