Liphetho tsa pele tsa tlhahlobo ea ketsahalo e amanang le ho tsebahatsa liketso tse peli tse lonya polokelong ea Git ea projeke ea PHP e kentsoeng ka morao ha ho romelloa kopo e nang le sehlooho se ikhethileng sa Mosebelisi li phatlalalitsoe. Nakong ea ho ithuta mekhoa ea bahlaseli, ho ile ha etsoa qeto ea hore seva sa git.php.net ka boeona, moo sebaka sa polokelo ea git se neng se le teng, ha sea ka sa qhekelloa, empa database e nang le litlaleho tsa baetsi ba morero e ile ea senyeha. .
Ho ka etsahala hore bahlaseli ba khonne ho khoasolla database ea mosebelisi e bolokiloeng ho DBMS ho seva sa master.php.net. Litaba tsa master.php.net li se li falletse ho seva e ncha ea main.php.net e kentsoeng ho tloha qalong. Liphasewete tsohle tsa nts'etsopele tse sebelisetsoang ho fumana lisebelisoa tsa php.net li ile tsa tsosolosoa 'me mokhoa oa ho li fetola o ile oa qalisoa ka foromo e khethehileng ea ho fumana password. Lipolokelo tsa git.php.net le svn.php.net li lula li baloa feela (ntlafatso e fetiselitsoe ho GitHub).
Kamora ho sibolloa ha boitlamo ba pele bo lonya bo entsoeng ka ak'haonte ea Rasmus Lerdorf, mothehi oa PHP, ho ne ho nahanoa hore ak'haonte ea hae e koetsoe mme Nikita Popov, e mong oa bahlahisi ba bohlokoa ba PHP, o ile a khutlisa liphetoho mme a thibela litokelo tsa boitlamo bakeng sa. akhaonto e nang le mathata. Ka mor'a nako e itseng, ho ile ha elelloa hore ho thibela ho ne ho sa utloahale, kaha ntle le ho netefatsa boitlamo ho sebelisa signature ea digital, motho leha e le ofe ea nang le phihlelo ea ho fumana sebaka sa polokelo ea php-src a ka etsa phetoho ka ho kenya lebitso la mongoli ea iqapetsoeng.
Ka mor'a moo, bahlaseli ba ile ba romela boitlamo bo lonya molemong oa Nikita ka boeena. Ka ho hlahloba lits'ebetso tsa tšebeletso ea gitolite, e sebelisetsoang ho hlophisa ho fihlella libakeng tsa polokelo, ho ile ha etsoa boiteko ba ho fumana hore na ke mang ea entseng liphetoho. Leha ho ne ho kenyelelitsoe accounting bakeng sa li-commissions tsohle, ho ne ho se na likenyo ho log bakeng sa liphetoho tse peli tse mpe. Ho ile ha totobala hore ho ne ho e-na le ho sekisetsa meaho, kaha likopo li ne li eketsoa ka kotloloho, ho feta khokahano ka gitolite.
Seva ea git.php.net e ile ea koaloa hang-hang, 'me polokelo ea mantlha ea fetisetsoa ho GitHub. Ka potlako, ho ile ha lebaloa hore ho fihlella polokelo, ntle le SSH ho sebelisa gitolite, ho ne ho e-na le tlhahiso e 'ngoe e neng e u lumella ho romela mesebetsi ka HTTPS. Tabeng ena, git-http-backend e ne e sebelisetsoa ho sebelisana le Git, 'me ho netefatsoa ho ile ha etsoa ho sebelisoa seva sa Apache2 HTTP, se netefalitseng lintlha ka ho fumana boitsebiso bo hlophisitsoeng ho DBMS ho seva sa master.php.net. Ho kena ho ne ho sa lumelloa feela ka linotlolo, empa hape le ka password e tloaelehileng. Tlhahlobo ea li-server tsa http e netefalitse hore liphetoho tse mpe li kentsoe ka HTTPS.
Ha ho ntse ho ithuta likutu, ho ile ha senoloa hore bahlaseli ha baa ka ba kopanya lekhetlo la pele, empa qalong ba ile ba leka ho fumana lebitso la akhaonto, empa ka mor'a ho e tsebahatsa, ba ile ba kena ka lekhetlo la pele, ke hore. ba ne ba tseba li-password tsa Rasmus le Nikita esale pele, empa ba ne ba sa tsebe mabitso a bona. Haeba bahlaseli ba khonne ho fumana DBMS, ha ho hlake hore na ke hobane'ng ha ba sa ka ba sebelisa hang-hang ho kena ho nepahetseng ho boletsoeng moo. Phapang ena ha e so fumane tlhaloso e tšepahalang. The hack of master.php.net e nkoa e le eona ntho e ka etsahalang, kaha seva sena se ne se sebelisa khoutu ea khale haholo le OS ea khale, e neng e sa ntlafatsoa nako e telele ebile e na le bofokoli bo sa kengoang.
Liketso tse nkiloeng li kenyelletsa ho tsosolosa tikoloho ea seva sa master.php.net le ho fetisetsa mangolo ho mofuta o mocha oa PHP 8. Khoutu ea ho sebetsa le DBMS e fetotsoe ho sebelisa lipotso tse nang le parameterized tse thatafatsang ho nkeloa sebaka ha khoutu ea SQL. Algorithm ea bcrypt e sebelisetsoa ho boloka li-hashes tsa password sebakeng sa polokelo ea litaba (pele, li-password li ne li bolokiloe ho sebelisoa MD5 hash e sa tšepahaleng). Li-password tse seng li ntse li le teng li setiloe bocha 'me u khothaletsoa ho theha phasewete e ncha ka foromo ea ho khutlisa password. Kaha phihlello ea polokelo ea git.php.net le svn.php.net ka HTTPS e ne e tlameletsoe ho MD5 hashes, ho ile ha etsoa qeto ea ho tloha git.php.net le svn.php.net ka mokhoa oa ho bala feela, hape le ho tsamaisa tsohle. tse setseng ho bona li-repositories tsa PECL ho GitHub, tse ts'oanang le polokelo ea mantlha ea PHP.
Source: opennet.ru