Namoaka ny valin'ny fanadihadiana momba ny fanafihana ny GitHub, vokatr'izany tamin'ny 12 aprily, dia nahazo fidirana amin'ny tontolo rahona tao amin'ny serivisy Amazon AWS ampiasaina amin'ny fotodrafitrasa ny tetikasa NPM ireo mpanafika. Ny famakafakana ny zava-nitranga dia nampiseho fa nahazo fidirana amin'ny kopia backup an'ny mpampiantrano skimdb.npmjs.com ireo mpanafika, anisan'izany ny backup database miaraka amin'ny fahazoan-dΓ lana ho an'ny mpampiasa NPM 100 arivo eo ho eo tamin'ny taona 2015, anisan'izany ny tenimiafina, anarana ary mailaka.
Ny tenimiafina tenimiafina dia noforonina tamin'ny alΓ lan'ny algorithm PBKDF2 na SHA1 nasiana sira, izay nosoloina tamin'ny 2017 tamin'ny bcrypt mahery vaika kokoa. Raha vao fantatra ny zava-nitranga, dia naverina tamin'ny laoniny ireo tenimiafina voakasika ary nampandrenesina ireo mpampiasa hametraka tenimiafina vaovao. Koa satria nampidirina tao amin'ny NPM ny fanamarinana anankiroa tsy maintsy atao miaraka amin'ny fanamafisana mailaka nanomboka ny 1 martsa, dia heverina ho tsy dia misy dikany ny mety hisian'ny marimaritra iraisana amin'ny mpampiasa.
Ho fanampin'izany, ny rakitra miharihary sy ny metadata amin'ny fonosana manokana hatramin'ny Aprily 2021, ny rakitra CSV miaraka amin'ny lisitry ny anarana sy ny dikan'ny fonosana manokana rehetra, ary koa ny ao anatin'ny fonosana manokana rehetra an'ny mpanjifa GitHub roa (anarana tsy nambara) nianjera teo am-pelatanan'ireo mpanafika. Raha ny momba ny fitahirizana mihitsy, ny famakafakana ny soritra sy ny fanamarinana ny hashes amin'ny fonosana dia tsy nanambara ireo mpanafika nanao fanovana tamin'ny fonosana NPM na namoaka dikan-teny vaovao noforonina.
Nitranga ny fanafihana tamin'ny 12 Aprily tamin'ny fampiasana marika OAuth nangalarina novokarina ho an'ny integrator GitHub antoko fahatelo, Heroku sy Travis-CI. Tamin'ny fampiasana ireo famantarana, ireo mpanafika dia afaka naka avy amin'ny tahiry GitHub manokana ny fanalahidy hidirana amin'ny Amazon Web Services API, ampiasaina amin'ny fotodrafitrasa tetikasa NPM. Ny fanalahidy vokatr'izany dia namela ny fidirana amin'ny angona voatahiry ao amin'ny serivisy AWS S3.
Fanampin'izany, nampahafantarina ny vaovao momba ny olana momba ny tsiambaratelo lehibe efa fantatra teo aloha teo am-pikarakarana ny angona mpampiasa amin'ny lohamilina NPM - ny tenimiafin'ny mpampiasa NPM sasany, ary koa ny famantarana fidirana NPM, dia voatahiry ao anaty lahatsoratra mazava ao anaty diary anatiny. Nandritra ny fampidirana ny NPM miaraka amin'ny rafitra logging GitHub, ny mpamorona dia tsy nanome antoka fa nesorina ny fampahalalana saro-pady amin'ny fangatahana amin'ny serivisy NPM napetraka ao anaty log. Voalaza fa efa raikitra ny lesoka ary nodiovina ny hazo alohanβny fanafihana ny NPM. Ny mpiasa sasany ao amin'ny GitHub ihany no afaka niditra tamin'ny diary, izay nahitana tenimiafina ho an'ny daholobe.
Source: opennet.ru