Страницы Github Переезжают На Github.io

Обновлено: 2024-10-19 21:10:22 Роман Иванов Вебмастеру 1

С сегодняшнего дня все сайты GitHub Pages переезжают на новый домен: github.io. Эта мера безопасности направлена на предотвращение CSRF-атак на главный сервер — github.com. Если ваш сайт настроен как «yoursite.com» вместо «yoursite.github.com», изменения никак на вас не повлияют. Если ваш сайт ранее располагался на домене «username.github.com», последующие запросы будут перенаправляться на новый домен: «username.github.io».

Отныне все сайты, размещенные на поддоменах github.com, могут и должны рассматриваться как официальные продукты GitHub.



Технические детали

Изменения сайтов и пользовательских доменов:
  • Все пользователи, организации и сайты проектов настроены для работы с github.io вместо github.com.
  • Все сайты *.

    github.com перенаправляются с кодом 301 на *.

    github.io.

  • Сайты, с пользовательские домены изменения не коснулись.

  • IP-адреса не изменились, существующие A-записи указывают на старые IP-адреса.



Изменения в репозиториях GitHub:

  • Пользовательские сайты могут быть названы, используя новое или старое соглашение: имя пользователя/имя_пользователя.

    github.[io/com].

  • Существующие репозитории сайта, названные согласно старому соглашению, продолжат работать.

  • Если есть два репозитория, названные в соответствии со старым и новым соглашением, победит *.

    github.io.



Уязвимости безопасности.

Есть две основные категории потенциальных уязвимостей, которые привели к этим изменениям.

  • Изменение сессий и CSRF. Поскольку пользовательские сайты могут включать JavaScript, хранящийся на поддоменах github.com, становится возможным записывать (но не читать) файлы cookie из домена github.com, что позволяет злоумышленнику получить доступ к github.com и провести атаку.

  • Фишинговые атаки, при которых злоумышленник создает аналогичный веб-сайт и запрашивает у пользователя конфиденциальную информацию.

У нас нет доказательств того, что такие нападения имели место, но мы старались их заранее предотвратить.

Источник: github.com/blog/1452-new-github-pages-domain-github-io УПД : В комментариях s01o указал на быстрый Егор Хомаков, там рассказывается, как еще можно провести атаку.

Как оказалось, в браузерах WebKit это возможно, так как они особым образом работают с куками.

Вот как это работает в обычных браузерах:

Cookie:_gh_sess=ORIGINAL; _gh_sess=HACKED;

Вы должны понимать, что _gh_sess — это два разных файла cookie, несмотря на название, и они отправляются одновременно.

В WebKit ситуация другая, куки отправляются не по домену (первая запись должна быть Domain=github.com) точно так же, как и httpOnly (очевидно, они тоже должны быть в начале).

На самом деле они отсортированы по времени создания (здесь я, должно быть, ошибаюсь, но это так)

Теги: #github.io #git #github #gitpages #git #системы контроля версий
Последнее изменение: 2024-10-19 21:10:22
Вместе с данным постом часто просматривают:

Автор Статьи

Роман Иванов

Роман Иванов
Эксперт
Зарегистрирован: 2019-12-10 15:07:06
Баллов опыта: 0
Всего постов на сайте: 0
Всего комментарий на сайте: 0

Интересно

Dima Manisha

Dima Manisha

 Эксперт Wmlog. Профессиональный веб-мастер, SEO-специалист, дизайнер, маркетолог и интернет-предприниматель.