GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题

GitHub评论功能被用来冒充微软托管恶意软件 暂时还未解决问题 为什么说是设计问题:以微软托管在 GitHub 上的 vcpkg 项目为例,这个项目开启了 issues 反馈,用户提交一个新的 issue 后其他用户可以在下面评论。评论功能支持附带文件,例如当上传一个名为的文件时,GitHub 将会这个文件生成永久 URL 并附加在 vcpkg 项目下。即便用户删除评论这个文件也会被保留下来并继续提供永久访问,甚至用户都不需要真提交评论,直接上传文件就好了。这样这个恶意文件就可以通过 https://github [.] com/microsoft/vcpkg/files/14125503/ 下载。由于这个地址看起来就像是微软官方的文件,因此在一些场合中更容易钓鱼,这也是为什么黑客看中 GitHub 这个功能并进行滥用的原因。项目所有者不知情:正如上文提到的那样,上传一个文件不用真发布评论,或者发布后立即删除就可以获取这个文件的永久链接,而项目的维护者是不知道自己的项目路径下还存在这种恶意软件的。从某些方面来说这可能也会对一些公司的声誉造成影响,问题是这个问题还不太容易解决,因为它属于 GitHub 的设计问题,GitHub 显然不能一刀切直接关闭这个功能。所以后续 GitHub 如何解决问题还是个难题,可能需要专门新建一个临时文件路径来托管这些文件,这样不影响使用但也不会托管在其他路径下。 ... PC版: 手机版:

相关推荐

封面图片

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件 在发表评论时,用户可以添加附件,该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联: https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后,GitHub 会自动生成下载链接,而不是在发布评论后生成 URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从 CDN 中删除,且 URL 会持续永久有效。 Bleepingcomputer via 匿名
封面图片

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件

代码托管平台 GitHub 评论被指滥用:通过知名存储库 URL 分发恶意软件 在发表评论时,用户可以添加附件,该文件将上传到 GitHub 的 CDN 并使用以下格式的唯一 URL 与相关项目关联: https://www.github.com/{project_user}/{ repo_name}/files/{file_id}/{file_name} 在将文件添加到未保存的评论后,GitHub 会自动生成下载链接,而不是在发布评论后生成 URL,如上所示。这使得威胁行为者可以在不知情的情况下将他们的恶意软件附加到任何存储库。即使不发布或删除评论,这些文件也不会从 CDN 中删除,且 URL 会持续永久有效。
封面图片

苹果将所有开源项目迁移至GitHub 不再自建开源代码托管平台

苹果将所有开源项目迁移至GitHub 不再自建开源代码托管平台 本周有开发者发现苹果已经将所有开源项目迁移至微软的 GitHub 平台,苹果不再自建开源代码托管平台。目前苹果没有就迁移项目迁移这事儿发布公告进行说明,也许苹果还未彻底完成迁移,不过在旧的苹果开源代码托管平台上,已经出现了发布首页,开发者可以通过这个页面索引苹果的所有项目,每个项目都标注了 GitHub 地址以及包下载地址等。 苹果原自建开源代码托管平台首页: 新的 GitHub 代码发布页面: 频道:@kejiqu 群组:@kejiquchat
封面图片

苹果将所有开源项目迁移至GitHub 不再自建开源代码托管平台

苹果将所有开源项目迁移至GitHub 不再自建开源代码托管平台 好歹苹果也应该做个重定向处理,让开发者通过搜索引擎查找内容时能够跳转到对应的 GitHub 地址上,这样体验也会好些。目前苹果没有就迁移项目迁移这事儿发布公告进行说明,也许苹果还未彻底完成迁移,不过在旧的苹果开源代码托管平台上,已经出现了发布首页,开发者可以通过这个页面索引苹果的所有项目,每个项目都标注了 GitHub 地址以及包下载地址等。苹果原自建开源代码托管平台首页: GitHub 代码发布页面: GitHub 上的 Apple OSS Distributions 首页:原自建平台的首页索引:原自建平台的链接已经 404: ... PC版: 手机版:
封面图片

中国当局于近期(最早可追溯至2024年1月16日)封锁了微软旗下的代码托管平台GitHub,使用了IP屏蔽的手段对GitHub的

中国当局于近期(最早可追溯至2024年1月16日)封锁了微软旗下的代码托管平台GitHub,使用了IP屏蔽的手段对GitHub的IP地址20.205.243.166进行TCP RST重置,测试结果如下。 但针对GitHub网站是部分封锁的,例如192.30.255.113和140.82.113.3可以连通,可通过修改Hosts直连访问。 更正:curl的退出码为28,连接超时,而非35触发RST。 #加速喜报 投稿By:kishinsagi 2024年2月2日更新:当局于本月1日左右解除针对GitHub的封锁,本次封锁时长约计持续半个月。
封面图片

微软PowerToys新增WebP/WebM预览功能 解决系统无法直接预览问题

微软PowerToys新增WebP/WebM预览功能 解决系统无法直接预览问题 PowerToys 自上周发布的 v0.80.0 版开始,通过内置的 Peek 组件 (速览) 提供了 WebP/WebM 的预览功能,使用上也非常简单,鼠标点击文件后,使用快捷键组合 Ctrl+Space (空格) 即可打开 Peek 小窗口来预览图像。当前 Peek 组件支持速览的文件格式包括 WebP、WebM、部分音频文件、txt、cpp、py、json、xml 等,借助此功能用户无需打开文件即可预览内容。当然 PowerToys 本身也不是系统预装软件,有需要的用户可以通过 Microsoft Store 或 GitHub 下载安装,里面的各个组件也可以按需启用,不使用的组件可以关闭以节省系统资源。下面是使用方法:安装 PowerToys 后转到仪表盘,确保速览功能已经开启,点击速览菜单即可进入设置页面,检查快捷键是否启用。之后使用时,将鼠标左键单击需要预览的文件,按快捷键 Ctrl+Space 即可快速进行预览。 ... PC版: 手机版:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人