«Дыра» в GitHub позволяла получить доступ к чужой сессии на сервисе
Новости
Для решения проблемы компания даже разлогинила всех своих пользователей.
1К открытий1К показов
Пользователи GitHub по всему миру столкнулись со странной ситуаций — зайдя на сервис, они увидели себя разлогиненными. Как оказалось, это было связано с исправлением «дыры» в безопасности сайта.
В официальном блоге GitHub появилась «пояснительная публикация». В ней компания рассказала о обнаруженной проблеме, с помощью которой, в теории, один аутентифицированный пользователь мог получить доступ к чужому сеансу.
Основой уязвимости являлось «состояние гонки при обработке запросов бэкендом». В итоге, из-за ошибки в маршрутизации, сеанс пользователя направлялся в браузер другого пользователя. Это приводило к получению доступа к чужой сессионной cookie.
Специалисты GitHub подсчитали, что с вышеописанная ошибка возникла в примерно 0.001% от всех аутентифицированных сеансов на сайте. Но даже в таком случае это являлось достаточной проблемой, чтобы сбросить вход всех пользователей и исправить уязвимости.
Источник: Блог GitHub
1К открытий1К показов
Исследователи из Израиля изучили VSCode Marketplace и выяснили, что в магазин выложены тысячи расширений, под завязку забитых вирусами
15-летний хакер обнаружил уязвимость в системе Zendesk, затронувшую десятки миллионов пользователей крупнейших компаний планеты
Узнайте, как и когда использовать команду Git Fetch. В статье рассмотрены примеры, особенности работы с git fetch и git pull, а также практические советы для разработчиков.
Функция перевода видео из Яндекс.Браузера теперь доступна на Google Chrome и Safari благодаря бесплатному расширению voice-over-translation с открытым исходным кодом на GitHub