Closed jekhor closed 2 years ago
гучыць як бэкдор))
Задача рашаемая. API endpoint, павінен быць з http basic auth?
Ці базік, ці токенам, як з брамнікам зроблена
нд, 15 мая 2022, 13:28 карыстальнік Yahor @.***> напісаў:
гучыць бэкдор))
Задача рашаемая. API endpoint, павінен быць з http basic auth?
— Reply to this email directly, view it on GitHub https://github.com/minsk-hackerspace/hackerspace.by/issues/561#issuecomment-1126904267, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAA4VW4HNFGQH4Y5QNPG4VTVKDGWPANCNFSM5V6ZHB4A . You are receiving this because you authored the thread.Message ID: @.***>
Чаму бэкдор? Ключы ж адкрытыя
нд, 15 мая 2022, 16:08 карыстальнік Yauhen Kharuzhy @.***> напісаў:
Ці базік, ці токенам, як з брамнікам зроблена
нд, 15 мая 2022, 13:28 карыстальнік Yahor @.***> напісаў:
гучыць бэкдор))
Задача рашаемая. API endpoint, павінен быць з http basic auth?
— Reply to this email directly, view it on GitHub https://github.com/minsk-hackerspace/hackerspace.by/issues/561#issuecomment-1126904267, or unsubscribe https://github.com/notifications/unsubscribe-auth/AAA4VW4HNFGQH4Y5QNPG4VTVKDGWPANCNFSM5V6ZHB4A . You are receiving this because you authored the thread.Message ID: @.***>
Без бэкдоров не прикольно. Айтизм в чистом виде остаётся.
Гм, а надо ли авторизовывать? Идея изначальная была в максимально простом деплое скрипта с этими ключами на нужные хосты... Так оно, конечно, отдаст список ключей пользователей, косвенно раскрыв список участников ХС. Но и так рассылка открытая, а наличие авторизации создаёт лишнюю головную боль с менеджментом токена/пароля.
косвенно раскрыв список участников ХС
Если это открытая площадка, то в чём проблема? Кому хочется совсем прайваси может же юзать псевдоним.
Решил вычисткой поля "comment" в ssh-ключе при экспорте.
GitHub/GitLab сами его чистят https://github.com/abitrolly.keys но вопрос что это решает? Ключ всё равно ведь гуглится, если он в паблике.
Сейчас есть репозиторий https://github.com/minsk-hackerspace/ssh-pub-keys с публичными ключами, который управляется вручную — скрипт просто достаёт ключи из него и кладёт на хост, на котором запущен. Соответственно, никакого контроля доступа по оплаченным взносам нету. Плюс нету onboarding мануала, где было бы написано про этот репозиторий.
У нас уже есть поле SSH key в профиле пользователя на сайте, осталось только вытащить из него ключик и положить куда надо.
Нужно: