0
3個字母的政府機構能否通過他們的git存儲庫爲項目添加一個後門,而沒有人注意到這些更改?git是否可以防止未經授權的存儲庫修改?
例如,如果一個惡意黑客得到了貢獻者對Ruby's git的訪問權限,那麼他們是否會以這樣一種方式搞砸提交歷史記錄:拉扯惡意代碼可能會被忽視?
A
回答
1
就修改項目變更歷史而言,這將是困難的; git使用可以被視爲變化的'文件系統快照'的東西。 git用來區分這些更改快照的標識符是一個160位SHA1散列。
儘管密碼安全,但git中並未使用此功能來防止惡意重寫存儲庫,而是爲了保證基本的數據完整性。如果以前的提交發生更改,則SHA1提交標識符將發生更改,但理論上可能發現碰撞。
在Git中,SHA1哈希的密碼性質是不是一種安全機制本身,但獎金
你的問題已經出現在參考Linux內核之前被惡意修改。你可以閱讀它here。
+0
謝謝你的文章。我的問題是由一篇關於[2003 linux後門嘗試]的文章引發的(https://freedom-to-tinker.com/blog/felten/the-linux-backdoor-attempt-of-2003/)。我知道git使用了sha標識符,但是我想知道如果你發現了一種進入遠程倉庫的方法,隱藏不好的代碼是多麼的容易。 –
+1
從馬的嘴巴:http://lwn.net/Articles/457142/鏈接到:http://www.linux.com/news/featured-blogs/171-jonathan-corbet/491001-the-cracking-的-kernelorg – ldrumm
2
git不會自動從遠程拉出,用戶需要從遠程調用git pull來獲取新的代碼,這不是「沒有人注意到這些變化」。
此外,用戶可以通過git log <remote-name>和git show <remote-name>查看遠程以查看這些更改。如果他們發現惡意變化,他們可以隨時恢復。
+0
是否有可能被拉動的更改破壞更改歷史記錄,以致惡意更改不會出現在'git log'中? <3個字母的政府機構>是否可以通過他們的git存儲庫爲項目添加一個後門,而沒有人注意到這些更改? –
相關問題
- 1. 防止未經授權的訪問
- 2. 防止未經授權的代碼
- 3. 防止未經授權的航線
- 4. 防止未經授權的CMS訪問
- 5. 防止未經授權的軟件
- 6. CouchDB - 防止未經授權的讀取
- 7. Git是否存儲修改?
- 8. 是否可以防止DLL被修改?
- 9. 防止未經授權使用組件
- 10. Node.js安全性:防止未經授權的更改
- 11. 保護微星以防止未經授權的使用
- 12. 防止未授權用戶
- 13. 是否可以修改.git存儲庫而不重寫歷史記錄?
- 14. 401未經授權的SVN - 登錄存儲庫
- 15. 未經授權的Google雲端存儲API可能?
- 16. ServiceStack - 防止對靜態文件的未經授權的訪問
- 17. 防止未經授權的訪問使用jQuery的網頁,javascript
- 18. 如何防止未經授權的HTTP請求?
- 19. 如何防止未經授權的電腦訪問網站
- 20. 如何防止未經授權的瀏覽內容(php/js)
- 21. MVC6防止未經授權的重定向
- 22. MVC 4 OAuth - 如何防止未經授權的用戶?
- 23. 如何防止未經授權的蜘蛛抓取
- 24. WCF - 防止未經授權的客戶端
- 25. MongoDB未經授權的用戶可以創建數據庫
- 26. Drupal阻止未經授權的訪問
- 27. 如何防止未經授權使用網站內容?
- 28. 防止未經授權重新部署PHP應用程序
- 29. 如何防止未經授權訪問媒體流
- 30. 是否有可能完全修改存儲庫中文件的git時間戳?
「沒有人注意到變化」是什麼意思?如果有人在從遠程存儲庫提取代碼時沒有看到他們正在拉取的內容,當然他們可能正在下載惡意代碼。但是你可以看到每次拉動的變化。 (你的意思是,如果遠程所有者添加了惡意代碼,或者如果有人正在盜用它來添加代碼?) –
@DavidRobinson在我的原始問題中添加了一個示例。 –