Open 0xBLCKLPTN opened 4 months ago
Привет, спасибо, что оповестил об этом критическом баге. Если есть возможность, то можешь помочь локализировать проблему и предоставить немного информации.
Несколько вопросов для уточнения:
Ты получил доступ к моим репозиториям и аккаунту или просто смог делать комиты от моего имени в свои?
Если ты знаешь где именно находятся не удалённые credentials, дай знать. Я старался их всех удалить перед пушем в репозиторий. В основном, то что касается гита хранилось в конфигах .config/gh/hosts.yml
утилиты gh
, но я их удалил.
Как я знаю, вроде, в гит можно просто сокпипастить имя и почту кого угодно в этот блок кода в файле .gitconfig
:
[user]
email = some@email.com
name = some_name
Доступ к аккаунту и репозиториям дать не должно в целом, но от чужого имени коммитить можно будет спокойно куда угодно, к чему есть права у тебя (токен для авторизации). То есть там есть разделение credentials или токен для авторизации и имя от кого ты комитиш, я так иногда путал аккаунты и от своего публичного имени (первого аккаунта) комитил в свои другие приватные репозитории, так как был авторизирован и имел токен для доступа к моему второму аккаунту, но забыл поменять имя и комитил от первого.
Если я где-то ошибся, или не правильно понял, и в моём репозитории есть утечки или типо того, дай знать. В конечном итоге, наверно, всё же удалю .gitconfig
от греха подальше, хотя в комитах он останется.
Ещё раз большое спасибо за оповещение о таких моментах.
Насчет доступа к репозиториям/аккаунту, но как-то получилось сделать коммит через visual studio code.
Но не в gh/hosts.txt
, не в .gitconfig
нет твоих данных.
Да, конечно. Дам знать, как найду что-то.
Спасибо, если что-то найдётся, буду очень признателен.
Так же по access scope хотел бы уточнить: Ты можешь делать коммиты в мои репозитории или менять настройки моего аккаунта? Или просто ты сделал случайно коммиты от моего имени себе в репозиторий?
Если я правильно провёл ресёрч и попытался понять, что произошло, то ты установил мою зборку, но не менял параметры в .gitconfig
из-за чего от моего имени случайно сделал себе коммит и запушил его себе в репозиторий на github. Мои предположения верны?
В целом, насколько я знаю, в таком случае работать это должно так: имя там моё, но права доступа твои. Это особенности роботы git + баг github, то есть, как я говорил, можно просто вписать имя и почту кого угодно и делать себе коммиты от чужого имени, и когда ты пушиш это в удалённый репозиторий, то есть github, он по этим мета данным (имени и почте) подтягивает информацию, про существующего пользователя. Но есть нюанс, у них там также присутствует условно своя ACL (access control list), независимо от git, то есть у меня в github статистике (https://github.com/XNM1) твои коммиты в твой репозиторий не отображаются, и я скорее всего не могу туда контрибутить, хоть и указан как один из контрибюторов, для этого необходимо отдельно на github мне выдать права доступа.
Если где-то ошибаюсь и\или присутствует утечка, как ранее сказал, буду очень признателен. Ещё раз спасибо, хорошего дня или ночи)
Ты можешь чекнуть это в моем репозитории.
https://github.com/0xBLCKLPTN/Alice-Database