Git-сервер РНР [не]был скомпрометирован

вот и я говорю, доколе мучиться с этими паролями?!

надо сделать как: заходишь на сайт, вводишь e-mail, на него приходит одноразовая ссылка с уникальным токеном для авторизации. переходишь по ней и ты авторизован на сайте, сервисе и т.д.

всё, не надо никаких паролей. сохранность аккаунта ложится целиком на плечи сервиса авторизации, будь то почта, которую можно держать в кладовке у себя дома, или ещё какой жаббер.

а то понапридумывают пароли, которые надо сгенерировать, надо запомнить, записать, а потом ещё костыли к этому прикручивают 3д-секюр через смс или ещё какую ерунду. блин.

сколько можно-то, а!

Мыло — нет. Джаббер или матрикс — возможно, но пароль таки удобней да и надёжней.

которые надо сгенерировать, надо запомнить, записать

Менеджер паролей.

Мыло — нет. Джаббер или матрикс — возможно

на усмотрение разработчика сайта, прикрутить отправку токена на мыло самое элементарное и делается зачастую нативными средствами ЯПа.

Менеджер паролей.

нет, нет и нет, когда устройств дофига. знаешь какой у меня сейчас менеджер паролей? фотография на смартфоне: монитор, на котором вывод # cat пароли.txt

ведь переключаясь между различными девайсами, то там, то сям надо вводить пароль. как эти пароли таскать между девайсами, используя менеджер паролей? да и зачем.

а так ввёл свою почту, перешёл по ссылке, и ты авторизован по этому токену на любом устройстве.

А пароль от почты?) Взломали ее и усё.

знаешь какой у меня сейчас менеджер паролей?

У меня, например, это Microsoft Edge и мне норм.

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

ну или @gmail.com если домохозяйка. при таком раскладе сохранность учётной записи уже ложится на плечи Google, а не васянского сайта, хранящего пароли в sqlite3 в открытом виде.

к этому был весь посыл.

разработчики PHP приняли решение доверить сохранность проекта Github, а не каким-то своим серверам, на которые они давно клали болт. вот.

А пароль от почты?)

2FA завязанный на Microsoft Authenticator который не открыть без Face ID решает и эту проблему.

Слишком много слов Microsoft, кстати.

нет, нет и нет, когда устройств дофига. знаешь какой у меня сейчас менеджер паролей? фотография на смартфоне: монитор, на котором вывод # cat пароли.txt

Ну так кто вам виноват, что вы нормальным-то не пользуетесь? Советую bitwarden.

как эти пароли таскать между девайсами, используя менеджер паролей

Синхронизация.

почта в кладовке у тебя дома.

Ню ню, возиться еще с настройкой почты

Давно уже придумана двухфакторная аутентификация, для нее даже связь не нужна

While previously write access to repositories was handled through our home-grown karma system, you will now need to be part of the php organization on GitHub.

Обколются своим php, потом карму чистят.

ведь переключаясь между различными девайсами, то там, то сям надо вводить пароль. как эти пароли таскать между девайсами, используя менеджер паролей? да и зачем.

Современные менеджеры паролей прекрасно умеют в синхронизацию на всех актуальных платформах. Как проприетарные в облаке, так и opensource self-hosted.

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

Ну удачи.
https://en.wikipedia.org/wiki/Hillary_Clinton_email_controversy

заходишь на сайт, вводишь e-mail, на него приходит одноразовая ссылка с уникальным токеном для авторизации

Ты спек на email читал? перечитай кусок про интервалы между попытками доставки

ведь переключаясь между различными девайсами, то там, то сям надо вводить пароль. как эти пароли таскать между девайсами, используя менеджер паролей? да и зачем.

KeepassXC + syncthing. Синхронизирую базу паролей между своими компами (включая рабочие), телефоном и VPS, брат жив.

While investigation is still underway, we have decided that maintaining our own git infrastructure is an unnecessary security risk, and that we will discontinue the git.php.net server. Instead, the repositories on GitHub, which were previously only mirrors, will become canonical

Странно, что местные сумашедние ещё не увидели тут теории заговора.

Пока петух не клюнет, люди не начнут шевелиться и переводить проекты в места, которые администрируются профессионалами. Вот ещё одни наконец пришли к верному решению.

Интересно, а есть ли публично доступные Git сервисы, которые поддерживаются не корпорациями вроде Microsoft, Atlassian, RedHat, а не публичной компанией, которая на этом деньги зарабатывает?

Так кем поддерживаются?

Ну вот ты и подал им идею.

Гитлаб вроде.

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

Подломили домашний сервачок через дырявый роутер и всё. Всё, что нажито непосильным трудом.

LMAO от этой PHP-помойки.

так как поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

Ну правильно, своя инфра-то на PHP.

https://savannah.gnu.org/

Ну правильно, своя архитектура-то на PHP.

А опенджк перешла на гитхаб, потому что джава?

Потому что Mercurial/Hg подох.

какой может быть «пароль от почты», если почта в кладовке у тебя дома.

Эх, как жаль, что ты не совсем понимаешь как работает почта. Твое письмо может идти и идет по нешифрованным каналам. В чем сложности его прочитать?

надо сделать как: заходишь на сайт, вводишь e-mail

А емайл только по паспорту на госуслугах, да Спуф? Совсем работы у тебя нету?

ЗЫ

И не будет, потому что ты не знаешь как email работает.

А чего на гитхаб перешли, а не на свой сервер? Меркуриал поддерживали же, в чём проблема?

Ага, а в гугле ангелы работают...

Ну давай почитаем, аргументацию Oracle почему они переходят на GitHub:

https://www.opennet.ru/opennews/art.shtml?num=53815

Ожидается, что миграция позволит повысить производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозитории изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих процессов. Кроме того, применение Git и GitHub сделает проект более привлекательным для новичков и разработчиков, привыкших к Git.

Ни слова о том, что:

поддержание полностью своей инфраструктуры может добавлять потенциальные риски.

TL;DR: Java выбирает GitHub из-за бесплатных галерщиков и бетатестеров, PHP выбирает GitHub потому что не может привести свою PHP-инфраструктуру в порядок и очистить её от дыр.

Как говорится две большие разницы.

Кстати, кто еще остался из значимых на hg?

Когда хоронить?

Твое письмо может идти и идет по нешифрованным каналам.

Всё ждал, кто же первый напишет об этом Спуфу.

Mozilla вроде?

Пал один из последних оплотов Mercurial (Hg)

Из значимых кажется только Firefox да Nginx остались.

SDL2 недавно тоже на GitHub перешли, отправив Mercurial/Hg на помойку.

А почта у тебя абсолютно непробиваема, да?

Но, вообще, поздравляю, ты изобрел федерацию и радиус. Они хорошие, но тоже не панацея.

производительность операций с репозиторием, увеличить эффективность хранения, обеспечить доступность в репозитории изменений за всю историю проекта, улучшить поддержку рецензирования кода и задействовать API для автоматизации рабочих процессов. Кроме того, применение Git и GitHub сделает проект более привлекательным для новичков и разработчиков, привыкших к Git

Ну и что из этого нельзя достичь своим гитлаб-сервером?

PHP-инфраструктуру в порядок и очистить её от дыр

Мимо.

but everything points towards a compromise of the git.php.net server

Это гитвеб, он написан на перле.

Ну и что из этого нельзя достичь своим гитлаб-сервером?

Я же написал: на бесплатном GitLab-сервере у тебя не будет бесплатных галерщиков и бетатестеров, с удовольствием ковыряющихся в Issue и отправляющих кучу PRs просто чтобы быть в списках коммитеров таких крупных и именитых проектов.

Мимо. Это гитвеб, он написан на перле.

По твоей ссылке я вижу:

We don’t yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).

Так что где у них была дырень, в GitWeb или в каком-то рядом хостящимся PHP-проекте вроде https://www.php.net/docs.php, через который похакали репозиторий – неизвестно.

Теперь даже если разработчики PHP сделают официальное заявление, к нему тоже следует отнестись скептически. А ещё неизвестно к чему именно получили доступ злоумышленники и ЕДИНСТВЕННЫЙ раз ли они действовали подобным образом. Может быть уже куча коммитов вроде этих в кодовой базе существует, но которые вовремя не заметили. Или публичная кодовая база чиста, а сервер лет 5 подряд отдавал всем репозиторий со встроенным backdoor’ом.

В любом случае, это ещё один гвоздь в гроб PHP-помойки. Теперь чтобы доверять запуску php на своём сервере требуется проводить аудит всего исходного кода.

С другой стороны – хорошо что разработчки PHP не скрыли этот инцидент, а во всеуслышание заявили о том как жидко обосрались.

Я же написал: на бесплатном GitLab-сервере у тебя не будет бесплатных галерщиков и бетатестеров, с удовольствием ковыряющихся в Issue и отправляющих кучу PRs просто чтобы быть в списках коммитеров таких крупных и именитых проектов

Будут. В гномовском гитлабе можно спокойно войти через гитхаб/гитлаб, вот и всё.

А ещё неизвестно к чему именно получили доступ злоумышленники и ЕДИНСТВЕННЫЙ раз ли они действовали подобным образом. Может быть уже куча коммитов вроде этих в кодовой базе существует, но которые вовремя не заметили. Или публичная кодовая база чиста, а сервер лет 5 подряд отдавал всем репозиторий со встроенным backdoor’ом.

Как хорошо, что код открыт.

We’re reviewing the repositories for any corruption beyond the two referenced commits. Please contact security@php.net if you notice anything.

В любом случае, это ещё один гвоздь в гроб PHP-помойки

Какой ещё гроб? Пиэйчпи далеко до красивого языка, но гроба пока нет.

Теперь чтобы доверять запуску php на своём сервере требуется проводить аудит всего исходного кода.

А когда кернел.орг взломали, вы проводили аудит всего ядра?

Давайте посмотрим на ситуацию объективно: как взломщикам удалось протолкнуть коммиты? У коммитов не было подписи?

А когда кернел.орг взломали, вы проводили аудит всего ядра?

Это про случай 10-летней давности? Сколько воды с тех пор утекло и сколько аудитов действительно было проведено.

Давайте посмотрим на ситуацию объективно: как взломщикам удалось протолкнуть коммиты? У коммитов не было подписи?

Тут – https://github.com/php/php-src/commits/master не вижу никаких подписей у тех PHP-разработчиков, которые были скомпрометированы.

Это про случай 10-летней давности? Сколько воды с тех пор утекло и сколько аудитов действительно было проведено.

А сразу после взлома, что было? Тоже бегали, исправляли, чем и эти будут заниматься.

Тут – https://github.com/php/php-src/commits/master не вижу никаких подписей.

Я вижу, но не у всех, что плохо.

И взломам мыло получаем доступ ко всему. Замечательное решение.

У коммитов не было подписи?

Извиняюсь, но о каких подписях речь? Разве гитовский "Signed-off-by: " это не просто строчка текста в описании, лишь постулирующая причастность указанного человека к коду коммита, чисто для юристов, не имеющая никакой технической защиты под собой?

А сразу после взлома, что было? Тоже бегали, исправляли, чем и эти будут заниматься.

Linux-way: нас похакали! Выводим сайты в off-line на целый месяц, проводим тщательный аудит всей инфраструктуры, разворачиваем её заново и выводим в онлайн, сотрудничаем с ФБР и в конце-концов ловим того хакера, от которого получаем ещё больше информации о взломе: https://habr.com/ru/post/357552/

PHP-way: нас похакали))) А х.з. как это случилось и где дырка))0 Я в админстве не особо силён) Короч на GitHub создал реп, официальная разработка теперь там будет, присоединяйтесь)))0

Вот поэтому и PHP-помойка.

gpg signature

https://docs.gitlab.com/ee/user/project/repository/gpg_signed_commits/

доколе мучиться с этими паролями?!

У меня неловкий вопрос:на почту то пароль нужен?

PHP-way: нас похакали))) А х.з. как это случилось и где дырка))0 Я в админстве не особо силён) Короч на GitHub создал реп, официальная разработка теперь там будет, присоединяйтесь)))0

Нет.

PHP-way: мы обнаружили коммиты, которые добавляют вредоносный код, мы понятия не имеем, в каком месте нас взломали, возможно, это гит-сервер, нам такого больше не надо, переходим на гитхаб.

Кстати, у опендждк подписанных коммитов (свежих) ещё меньше. В пиэйчпи же сейчас обсуждают подписи коммитов.