V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
redsonic
V2EX  ›  GitHub

这是巨硬收购 github.com 后第一件移除利益相关 repo 或账号的行动吗

  •  
  •   redsonic · 2018-12-22 21:04:26 +08:00 · 4519 次点击
    这是一个创建于 2169 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://www.bleepingcomputer.com/news/security/windows-zero-day-poc-lets-you-read-any-file-with-system-level-access/

    一位安全员发现了 MS 的 0day 漏洞,无视权限设置可读取任意权限用户的文件。未事先告知 MS 就把 poc 代码放在了 github 上,不久账号就被封,repo 被移除。既然 github 已属于 MS,MS 这样做无可厚非,但这给很多开发者警示如果不懂法律或规矩公开了一些代码则账号可能直接被封。

    第 1 条附言  ·  2018-12-23 01:59:31 +08:00
    补充一下,题目意思是担忧 MS 收购以后,github 在处理类似问题时是否会有针对 MS 的倾向性,比如对于 MS 家的处理就特别主动及时。我不是质疑触犯法律或协议会被惩罚。
    20 条回复    2018-12-23 11:34:57 +08:00
    d5
        1
    d5  
       2018-12-22 21:06:39 +08:00 via iPhone
    这……
    ronman
        2
    ronman  
       2018-12-22 21:21:18 +08:00 via Android
    这种事应该没问题吧?
    trait
        3
    trait  
       2018-12-22 21:24:54 +08:00 via iPhone
    @ronman 最多移除 repo 封号未免太猖狂了吧
    Phariel
        4
    Phariel  
       2018-12-22 21:30:57 +08:00 via iPhone
    github.com not .org
    gamexg
        5
    gamexg  
       2018-12-22 21:33:41 +08:00   ❤️ 1
    @trait +1
    移除仓库正常,封号就不正常了。
    dototototo
        6
    dototototo  
       2018-12-22 21:49:01 +08:00 via Android
    想知道懂法律或者规矩的开发者对于该事的看法。是 MS 做过头了还是安全员做过头了呢,双方是否会有法律方面的问题呢。🤔
    leavic
        7
    leavic  
       2018-12-22 22:01:58 +08:00   ❤️ 1
    就算 github 不是微软的,微软如果提出要求,github 应该也会删掉这个 repo,这样在没有搞定 patch 之前就直接放 exploit 的做法本来就不是合格的白帽子做法。
    alfchin
        8
    alfchin  
       2018-12-22 22:47:58 +08:00 via Android
    @gamexg 违反 EULA 是可以直接终止提供服务的
    GDC
        9
    GDC  
       2018-12-22 23:08:21 +08:00 via iPhone
    微软这么做肯定考虑过法律问题啦,那么大的公司,多少人盯着呢
    rekulas
        10
    rekulas  
       2018-12-22 23:36:31 +08:00
    感觉你(可能 /也许 /maybe)误会 ms 了,这种行为应该属于泄露危险代码或泄露包含 crack 风险的代码,github 这几年来一直勤勤勉勉、孜孜不倦地与这类库做斗争(就是删库封号),虽然可以发邮件申诉但貌似胜率不高据说,很多人就因为无意中 fork 了别人的某个项目就被封了辛辛苦苦多年的账号。。。
    tanpengsccd
        11
    tanpengsccd  
       2018-12-22 23:41:12 +08:00 via iPhone
    @rekulas 比如荒野无灯
    vanishcode
        12
    vanishcode  
       2018-12-23 00:26:41 +08:00 via Android
    @tanpengsccd 恩山灯大?
    xiadong1994
        13
    xiadong1994  
       2018-12-23 01:11:38 +08:00 via iPhone
    肯定是用户协议允许的啦,不然肯定要吃官司的
    ryd994
        14
    ryd994  
       2018-12-23 01:21:48 +08:00 via Android
    1.这样做违法 eula 本就会被封号。你既然知道是 0day 还随便公开,是何居心?如果不公开的话,储存在自己私有 repo 里,又是何居心? GitHub 封号不过分
    2.微软前不久才完成书面上的并购,并未插手 GitHub 的运营。不排除 GitHub 想拍马屁
    3.微软又不是**佳缘,为什么不通过正规途径报告 0 day ?如果你不相信微软或微软不回应或涉及多厂家,你可以报告给相对中立的 cve ? https://cve.mitre.org/cve/identifiers/index.html
    ryd994
        15
    ryd994  
       2018-12-23 01:23:51 +08:00 via Android
    ”但这给很多开发者警示如果不懂法律或规矩公开了一些代码则账号可能直接被封“
    一直如此。何止是被封,故意传播漏洞甚至有法律责任。
    deepdark
        16
    deepdark  
       2018-12-23 09:22:26 +08:00 via Android
    讲真 MS 没告他都已经谢天谢地了,删 repo 封号算什么。这种不沟通直接放 0day 的 exp 的人要承担法律责任的
    Akkuman
        17
    Akkuman  
       2018-12-23 10:26:35 +08:00 via Android
    事情的经过是这样,一名挖洞人不知道怎么和微软杠上了,好像是微软的什么处理让他不开心了,然后这个任意读文件已经是他一个月(还是几个月记不清了)内放出的第四个洞了,都是给微软直接公开,还说微软就是坨屎,微软和他有什么矛盾暂且不论,就这个 github 删 repo 封号这事,我觉得是没毛病的。
    yksoft1
        18
    yksoft1  
       2018-12-23 10:27:33 +08:00
    话说 M$这么多年这么多库,应该像这次这个 MsiAdvertiseProduct 之类没有做检查的函数多了吧
    reself
        19
    reself  
       2018-12-23 10:42:31 +08:00 via Android
    @Akkuman 哈哈,炫技一时爽,闷声发大财多好。
    hakono
        20
    hakono  
       2018-12-23 11:34:57 +08:00 via Android
    @Akkuman 哎,掌握这么多 0day 漏洞的人,直接以高价在黑市上出售多好
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2095 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 00:35 · PVG 08:35 · LAX 16:35 · JFK 19:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.