Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
0 просмотренных постов скрыто
1

Доступ к "скрытым" данным на GitHub: уязвимость Cross Fork Object Reference (CFOR)

Доступ к "скрытым" данным на GitHub: уязвимость Cross Fork Object Reference (CFOR)

GitHub - популярная платформа для хранения и управления кодом, но мало кто задумывается о том, как именно она хранит данные и какие последствия это имеет для безопасности. В этой статье мы рассмотрим уязвимость CFOR (Cross Fork Object Reference), которая позволяет получить доступ к данным, которые, казалось бы, должны быть удалены или скрыты.

CFOR - это возможность доступа к данным из одного форка репозитория через другой, даже если исходный форк был удален или является приватным. Аналогично уязвимости Insecure Direct Object Reference (IDOR), злоумышленник может использовать хэши коммитов для прямого доступа к информации.

Три сценария, демонстрирующие уязвимость CFOR:

  1. Данные из удаленных форков: Даже после удаления форка, данные коммитов, сделанных в нем, остаются доступными через исходный репозиторий, если знать хэш коммита.

  2. Данные из удаленных репозиториев: Если репозиторий был удален, но существуют его форки, данные, закоммиченные после создания форка, все равно доступны через этот форк.

  3. Данные из приватных репозиториев: При публикации ранее приватного репозитория, данные, закоммиченные до момента публикации, могут остаться доступными через публичную версию, несмотря на существование приватного форка.

Как это возможно?

GitHub хранит данные в сети репозиториев. Удаление репозитория или форка не приводит к физическому удалению данных, а лишь к удалению ссылок на них в интерфейсе. Зная хэш коммита, можно получить доступ к этим данным напрямую.

Как найти хэши коммитов?

Хэши коммитов можно найти:

  • Брутфорсом: GitHub использует короткие SHA-1 хэши, что упрощает перебор.

  • Через API событий: GitHub предоставляет публичный API событий, который может содержать хэши коммитов, даже для удаленных репозиториев.

  • В архивах событий: Существуют сторонние сервисы, архивирующие события GitHub.

Последствия:

  • Данные, закоммиченные в публичный репозиторий, могут остаться доступными навсегда.

  • Единственный надежный способ защиты от утечки ключей - это их ротация.

  • Архитектура GitHub сложна для понимания, что делает пользователей уязвимыми.

Важно помнить:

  • Проблема CFOR актуальна не только для GitHub, но и для других систем контроля версий.

  • Необходимо тщательно проверять код перед коммитом в публичные репозитории.

  • Ротация ключей - критически важна для безопасности.

В заключение, уязвимость CFOR демонстрирует, что данные на GitHub могут быть доступны даже после их "удаления". Важно понимать принципы работы системы и принимать меры для защиты конфиденциальной информации.

Подпишись на мой телеграм-канал, там вы найдете полезные сервисы и приложения, которые упростят вам жизнь.

Показать полностью
[моё] Сайт Информационная безопасность Хакеры Github Open Source Браузер
4
23

Я сделал бесплатный блокировщик спам-объявлений и вот что узнал о себе

Всем привет! Меня зовут Паша и, как вы поняли из названия, я сделал расширение, которое позволяет блокировать спам продавцов на Авито. Немного о жизни разработчика бесплатных расширений писал в прошлой статье. Расширению два месяца назад стукнуло два года и захотелось всем напомнить о нем, параллельно вспомнить самые интересные отзывы и типизировать их. Погнали?

Как известно, “все счастливые семьи похожи друг на друга, каждая несчастливая семья несчастлива по-своему”, поэтому смысла останавливаться на позитивных отзывах нет - они несут в себе радость, оптимизм, отличное настроение и иногда классные словечки, которые приятно слышать про свое детище (”турбопушка”, например)

особенно приятно такое слышать от милого котенка 😀

особенно приятно такое слышать от милого котенка 😀

Моя самая любимая категория негативных отзывов - “продались”. Такие невероятные истории люди придумывают! Я иногда сижу в растерянности и думаю - это реально человек так считает или это просто прикол какой-то?

Вот так я узнал, что живу шантажом 😀 Это вообще на самом деле топ! Я прямо представляю, как сидим с авитовцами в главном офисе и негодуем, что наш коварный план был раскрыт 😀

Вот так я узнал, что живу шантажом 😀 Это вообще на самом деле топ! Я прямо представляю, как сидим с авитовцами в главном офисе и негодуем, что наш коварный план был раскрыт 😀

До сих пор жду свой чек от Авито, видимо на почте какие-то сбои и он до сих пор не пришел 😀

До сих пор жду свой чек от Авито, видимо на почте какие-то сбои и он до сих пор не пришел 😀

Еще часто в отзывах, как условно положительных, так и отрицательных, проскальзывает тема “вот я бы сделал в тысячу раз лучше и красивее, но не хочу”

newart показал бы как надо с этими авитовцами бороться! Но лень. Еще с таким наездом вопросы задает, как будто я ему денег должен 😀

newart показал бы как надо с этими авитовцами бороться! Но лень. Еще с таким наездом вопросы задает, как будто я ему денег должен 😀

Eugene, меня тоже эта ситуация достала, вот я сел и написал расширение

Eugene, меня тоже эта ситуация достала, вот я сел и написал расширение

Кстати, можете присоединяться к разработке, проект в открытом доступе: https://github.com/SyrnikovPavel/ave_blacklist

Когда начинал разработку, даже не представлял с каким на самом деле потоком негатива можно столкнуться. Кто бы мог подумать, что у пользователей такие высокие требования к бесплатному расширению, которое люди делают в свое свободное время! Люди, будьте добрее! И не ищите подводных камней там, где просто кто-то (я, например) накосячил 🙂

А какие интересные и смешные отзывы вы слышали о себе/своем продукте? Пишите в комментариях :)

Показать полностью 4
[моё] Авито Open Source Разработка Отзыв Google Chrome Расширение Расширение для хрома Программа Приложение
9
13

Linux Foundation запускает OMI: инициативу по созданию «необратимых» моделей ИИ с открытым исходным кодом

Linux Foundation, ведущая некоммерческая организация, поддерживающая инновации через открытый исходный код, объявила о старте новой инициативы под названием Open Model Initiative (OMI). Эта инициатива нацелена на разработку и распространение высококачественных моделей искусственного интеллекта (ИИ) с открытой лицензией.

Linux Foundation запускает OMI: инициативу по созданию «необратимых» моделей ИИ с открытым исходным кодом

Последние изменения в лицензировании популярных моделей ИИ, таких как Stable Diffusion 3 от Stability AI, вызвали критику за введение платных подписок и ограничений на использование. Эти изменения ставят под угрозу доступность ИИ технологий, особенно для небольших команд разработчиков и исследователей.

OMI была создана для решения этой проблемы. Инициатива ставит своей целью обеспечение «необратимых» лицензий, которые будут гарантировать свободный доступ к ИИ моделям без возможности отзыва и без скрытых платежей. Это важно как для профессионалов в области машинного обучения, так и для обычных пользователей, которым важен доступ к открытым и прозрачным технологиям.

OMI обещает не только создать высококачественные и этичные модели, но и обеспечить их доступность для всех желающих. В планах — разработка стандартов для совместимости моделей и практик по управлению метаданными, создание прозрачного и доступного набора данных для обучения ИИ и выпуск первой версии тестовой модели до конца года.

В инициативе участвуют ведущие организации и сообщества, такие как Invoke AI, CivitAI и Comfy Org, а также проекты Wand Synthesis AI и Sentient Foundation. Управление инициативой будет осуществляться Комитетом управления, сформированным из членов сообщества.

Для разработчиков и исследователей это возможность участвовать в создании по-настоящему открытых ИИ решений. Для обычных пользователей — шанс получить доступ к передовым технологиям без ограничений. Linux Foundation приглашает всех заинтересованных присоединиться к инициативе через GitHub и Discord.

Linux Foundation делает значительный шаг к созданию мира, где ИИ доступен и полезен каждому. С Open Model Initiative они стремятся создать среду, в которой творчество и прогресс в области ИИ будут процветать без каких-либо барьеров.

______________________________________

Всех, кто интересуется последними новинками из мира AI призываем подписываться на наш канал. А тех, кто уже сейчас хочет попробовать себя в роли нейрокреатора, приглашаем на наш сайт.

Показать полностью 1
[моё] Искусственный интеллект Нейронные сети Linux Omi Open Source
5
295

Ответ на пост «Очередное пробитие дна на Github»1

Немножечко о политике в опенсорсе.
Много раз писал об этом к комментах, но решил оформить отдельным постом. Веселых картиночек не будет.

Почему использовать опенсорс как инструмент политической борьбы - это НЕПРИЕМЛЕМО в любом случае?

Опенсорс, как бы это не парадоксально было - это общественный институт, основанный в базе своей на доверии и добросовестности. Посмотрите пункты 15 и 16 GPLv3. В опенсорс постепенно приходили компании, он обрастал авторитетами, экосистемой, базой пользователей. Опенсорс не занимается дискриминацией людей. Т.е. это неограниченное доверие строилось ГОДАМИ.

И вот приходит вася пупкин, который в свой пакет на npm/pip встраивает оскорбления для русских, всякие Stand with Urkaine и прочее. Заслуживает ли он теперь неограниченного доверия? Сами подумайте.

Но проблема куда глубже, потому-что вася пупкин своим перформансом затрагивает кучу других разработчиков, и весь опенсорс в целом. Когда он все-таки дорастет морально до того, чтобы сделать реальную гадость, новость ударит по доверию ко всему репозиторию, в т.ч. и тупо финансово. Ваши донаты банально пойдут на аудиты безопасности. И это выглядит надуманно, лишь пока не стало массовым.

Вот, кстати, в трех словах: https://habr.com/ru/news/656219/

Все тоже самое относится к вандализму в OSM, о котором здесь были посты.

Поэтому у меня одна просьба к "политически подкованным". Боритесь в своем личном блоге, имеете полное моральное право. А не хотите - идите нахуй закройте свой софт, а лучше продавайте, чтобы не вредить людям, которые каждый день пытаются сделать мир лучше.

Показать полностью
[моё] Github Украина Украинцы Русофобия Политика Open Source Мат Ответ на пост Текст
49
2

Stability AI выкатили Stable Video 4D ! Тепрь из одного видео можно генерировать несколько видео с разных ракурсов

Stability AI представили новую модель Stable Video 4D. Модель может сгенерировать из одного видео несколько с восьми различных ракурсов.

То есть можно загрузить свое видео, выбрать ракурс камеры, чтобы объект был направлен так, как вам нужно, и получить ролик с нужным углом обзора, их 8, напомню. Внешний вид объектов при этом не искажается и не меняется 🔥

Теперь можно будет и мультики свои клепать, и видеомонтаж делать без пересъемки, ну и конечно же геймдев и VR сюда же.

Модель опенсорсная, доступна бесплатно на Hugging Face, правда там нужно быть зарегистрированным и пройти коротенькую анкету, чтобы использовать модель.

Согласитесь,  на фоне “убийц Sora” новость прям глоток свежего воздуха!

ВЗЯТО из НейроProfit

Показать полностью 1
Искусственный интеллект Нейронные сети Инновации Технологии Видеомонтаж Анимация Cinema 4d 4d Полезное Бесплатно Монтаж Съемки Камера Open Source Видео Без звука Telegram (ссылка) Длиннопост
0
145

Игровой движок для игры Герои Меча и Магии 2 - fheroes2 и новый редактор карт. Версия 1.1.1

В свет вышла новая версия движка fheroes21.1.1, в которую разработчики вложили много трудов за последний месяц разработки.
При подготовке данной версии основное внимание уделялось доработке редактора, но и не только.

В правом нижнем углу появилась новая иконка для входа в режим редактора карт.

В правом нижнем углу появилась новая иконка для входа в режим редактора карт.

Кто не знает, игровой движок fheroes2 является мультиплатформенным свободным ремейком оригинальной игры Heroes of Might and Magic II, который создается энтузиастами с нуля.

Исходный код оригинальной игры по известным причинам недоступен и команда разработчиков-энтузиастов из разных стран воссоздает эту прекрасную стратегию, чтобы в будущем её можно было изменять, развивать и дополнять по своему усмотрению. И конечно же играть практически на любом устройстве,в том числе и Android!

На данный момент сам игровой движок работает стабильно и предлагает практический полный функционал оригинальной игры (а много где и превосходит) и основные работы ведутся над интегрированным в саму игру редактором, который был представлен в начале лета 2024 года.

Для запуска fheroes2 необходимы ресурсы оригинальной игры "Герои Меча и Магии 2". Их можно скопировать с любой лицензионной копии игры или из версии из онлайн магазинов.

В рамках обновления до версии 1.1.1 редакторе появилась возможность задания слухов в таверне, календарных событий, а также установки особых условий победы и поражения. Это те недостающие функции версии 1.1.0, которые присутствовали в оригинальной игре. Как и планировалось, они были добавлены в первом же обновлении редактора.

Функционал настройки условий победы/поражения уже превосходит оригинальный редактор и станет ещё лучше в следующих обновлениях.

Функционал настройки условий победы/поражения уже превосходит оригинальный редактор и станет ещё лучше в следующих обновлениях.

При разработке диалогов событий и слухов команда решила использовать немного другой дизайн по сравнению с оригинальным редактором, чтобы создание карт было удобнее для картостроителей. Так, например, выглядит новое меню настройки события самом редакторе.

Удобное и наглядное меню настройки событий.

Удобное и наглядное меню настройки событий.

Помимо исправления некоторых проблем в редакторе и добавления недостающих функций, мы также внесли несколько улучшений в интерфейс и графику. Прежде всего, команда переработала окно выбора героя для редактора. Больше Вам не нужно будет прокручивать однотипные фигуры в поисках нужного героя.

Парой кликов можно выбрать фракцию и цвет героя.

Парой кликов можно выбрать фракцию и цвет героя.

Во-вторых, мы начали добавлять в игру новые графические объекты. Наша команда добавила недостающую часть спрайта Сфинкса (кусочек головы), а также в списке внешних жилищ существ на карте приключений доступна новая вариация объекта «пещера» для найма кентавров.

Ранее пещера имела лишь заснеженную вариацию, которая чужеродно смотрелась на всех территориях кроме снега.

Ранее пещера имела лишь заснеженную вариацию, которая чужеродно смотрелась на всех территориях кроме снега.

В редакторе появилась совершенно новая для Героев 2 функция – возможность ограничить строительство любых зданий в городах и замках. В оригинальном редакторе можно было лишь запретить строительство замка - т.е. буквально всех зданий разом. Теперь же всё можно индивидуально настроить. Это даст разработчикам карт намного большую гибкость в создании уникальных условий игрового процесса.

Можно запретить постройку любого здания или конкретного улучшения.

Можно запретить постройку любого здания или конкретного улучшения.

Помимо этого наша команда продолжает совершенствовать ИИ движка. Мы изменили и оптимизировали все преимущества, которые получали соперники ранее, и значительно их ограничили, чтобы обеспечить более честную игру с ИИ. Мы хотим, чтобы уровень сложности влиял только на поведение ИИ, не давая ему никаких прочих привилегий.
Кроме того, мы исправили несколько моментов в логике самого ИИ.

Как всегда, команда обновила переводы движка на поддерживаемые языки, улучшила различные части пользовательского интерфейса и устранила более 40 замечаний с выпуска предыдущей версии.

Мы надеемся, что любители серии "Героев Меча и Магии" по достоинству оценят все нововведения проекта fheroes2.
Приятной всем игры!

Официальная группа проекта в VK.

Главная страница разработки на github.

Руководство по установке.

Помочь разработчикам с осуществлением будущих улучшений игры можно подпиской на Boosty или Patreon.

Показать полностью 6
[моё] Стратегия Компьютерные игры Android Ретро-игры Разработка Герои меча и магии Герои Homm II Might and magic Open Source Игровой движок Во что поиграть Моды Редактор Карт Pixel Art Mac Os Linux Игры Длиннопост
27
15

OpenYellow - агрегатор open-source проектов для 1С:Предприятие

Open-source (проекты с открытым исходным кодом) - огромное явление в мире программирования, важность которого трудно переоценить. И в 1С оно тоже присутствует: да, у нас оно не так распространено и не имеет такого количества поддержки, как в других языках программирования, но все же существует, и в наших силах помочь его становлению

Скорость развития проектов с открытым исходным кодом, как и любое другое начинание на энтузиазме, держится в основном на поддержке сообщества. Но о какой поддержке сообщества может идти речь, если о существовании подавляющего количества проектов большинство людей из сообщества даже не подозревает? В 1С нет традиции использовать Git, следовательно и нет традиции использовать Github, и сервис, о котором я сейчас хочу рассказать, как раз призван внести свой посильный вклад в популяризацию открытых проектов, распространенных на этой площадке - он называется OpenYellow

Главная страница портала

Главная страница портала

OpenYellow - это, в первую очередь, портал, где публикуются данные о лучших (по числу звезд), новых и последних обновленных репозиториях с Github по теме 1С и OneScript. Информация на нем обновляется ежедневно, а сами списки публикуются в виде таблиц с данными о названии, авторстве, описании и другими свойствами для каждого из репозиториев

Начало таблицы ТОП-500

Начало таблицы ТОП-500

Работает это все на Notion, что позволяет в любой из таблиц осуществлять поиск и фильтрацию, дабы найти именно то, что вас интересует. А уж если вы вообще до этого не погружались в мир открытых решений для 1С, то точно найдете что-нибудь полезное среди всех этих отличных проектов. Тем более, что отбор осуществляется не только непосредственно по языку 1С, но и по наличию "1С:Предприятие" в описаниях и тэгах - это позволяет попасть в ТОП и тем проектам, которые сделаны для 1С, но на других языках

Что касается таблицы с репозиториями-новичками, то в этот список попадают все проекты, по той же логике, что и в основной ТОП, но с единственным условием - иметь хотя бы 1 звезду

Таблица новых репозиториев

Таблица новых репозиториев

Однако, ежедневно следить за обновлениями на портале не очень удобно и, скорее всего, быстро надоест. Поэтому, помимо портала, у нас есть еще канал в Telegram: на данный момент там публикуются новости о новых проектах, новых релизах старых проектов, а также ежедневный отчет об изменения позиций репозиториев в главном рейтинге ТОП-500

Подписавшись на него вы всегда будете максимально оперативно узнавать обо всех новостях из мира 1С Github и ежедневно знакомится с новыми инструментами, которые могут помочь вам в вашей профессиональной деятельности

Канал в Telegram

Канал в Telegram

Так что если вам нравится идея развития "желтого" open-source, или вы даже просто хотите узнавать о новых полезных инструментах, доступных бесплатно, здесь и сейчас - буду очень рад, если вы посетите сайт и подпишитесь на канал

Также не забывайте поддерживать открытые проекты, которые оказались для вас полезны - порой достаточно лишь звездочки на Github, чтобы подарить автору мотивацию продолжать свой труд дальше

Спасибо за внимание!

Показать полностью 4
[моё] 1с:предприятие 8 Open Source Github Репозиторий Проект IT Программирование Длиннопост
9
Посты не найдены