私有數(shù)據(jù)、刪掉的內(nèi)容可以永久訪問(wèn)，GitHub官方：故意設(shè)計(jì)的

AIGC動(dòng)態(tài)歡迎閱讀

原標(biāo)題：私有數(shù)據(jù)、刪掉的內(nèi)容可以永久訪問(wèn)，GitHub官方：故意設(shè)計(jì)的
關(guān)鍵字：數(shù)據(jù),密鑰,代碼,存在,用戶
文章來(lái)源：機(jī)器之心
內(nèi)容字?jǐn)?shù)：0字

內(nèi)容摘要：

選自trufflesecurity.com
機(jī)器之心編譯
機(jī)器之心編輯部最近，一個(gè)消息震驚開源社區(qū)：在 GitHub 上刪掉的內(nèi)容、私有存儲(chǔ)庫(kù)的數(shù)據(jù)都是可以永久訪問(wèn)的，而且這是官方故意設(shè)計(jì)的。
開源安全軟件公司 Truffle Security 在一篇博客中詳細(xì)描述了這個(gè)問(wèn)題。Truffle Security 引入了一個(gè)新術(shù)語(yǔ)：CFOR（Cross Fork Object Reference）：當(dāng)一個(gè)存儲(chǔ)庫(kù) fork 可以訪問(wèn)另一個(gè) fork 中的敏感數(shù)據(jù)（包括來(lái)自私有和已刪除 fork 的數(shù)據(jù)）時(shí)，就會(huì)出現(xiàn) CFOR 漏洞。
與不安全的直接對(duì)象引用類似，在 CFOR 中，用戶提供提交（commit）哈希值就可以直接訪問(wèn)提交數(shù)據(jù)，否則這些數(shù)據(jù)是不可見的。
以下是 Truffle Security 博客原文內(nèi)容。
訪問(wèn)已刪除 fork 存儲(chǔ)庫(kù)的數(shù)據(jù)
想象如下工作流程：
在 GitHub 上 fork 一個(gè)公共存儲(chǔ)庫(kù)；
將代碼提交到你的 fork 存儲(chǔ)庫(kù)中；
你刪除你的 fork 存儲(chǔ)庫(kù)。那么，你提交給 fork 的代碼應(yīng)該是不能訪問(wèn)了對(duì)吧，因?yàn)槟惆?fork 存儲(chǔ)庫(kù)刪除了。然而它卻永久可

原文鏈接：私有數(shù)據(jù)、刪掉的內(nèi)容可以永久訪問(wèn)，GitHub官方：故意設(shè)計(jì)的

聯(lián)系作者

文章來(lái)源：機(jī)器之心
作者微信：
作者簡(jiǎn)介：