GitHub Pages переезжают на github.io

от автора

Начиная с сегодняшнего для все сайты GitHub Pages переходят на новый домен: github.io. Это мера безопасности нацеленна на предотвращение CSRF атак на главный сервер — github.com. Если ваш сайт настроен, как «yoursite.com» вместо «yoursite.github.com» — изменения вас никак не затронут.
Если ваш сайт раньше располагался на домене «username.github.com», последующие запросы будут редиректиться на новый домен: «username.github.io».
C этого момента все сайты, размещенные на субдоменах github.com могут и должны расцениваться как официальные продукты GitHub.

Технические детали

Изменения в сайтах и пользовательских доменах:

  • Все пользователи, организации, и сайты проектов настроенные на работу с github.io, вместо github.com.
  • Все сайты *.github.com редиректятся c кодом 301 на *.github.io.
  • Сайты, с пользовательскими доменами изменения не затронули.
  • IP адреса не изменились, существующие A-записи указывают на старые IP.

Изменения в GitHub репозиториях:

  • Пользовательские сайты можно называть используя новое, или старое соглашение: username/username.github.[io/com].
  • Существующие репозитории сайтов, названные по старому соглашению так и будут продолжать свою работу.
  • Если существует два репозитория, названные по старому и новому соглашению — *.github.io победит.

Уязвимости безопасности.

Существует две основные категории потенциальных уязвимостей, которые привели к этим переменам.

  • Изменение сессий и CSRF. Так как пользовательские сайты могут подключать JavaScript, который хранится на субдоменах github.com, становится возможным записывать(но не считывать) куки с домена github.com, что позволяет злоумышленнику получить доступ к github.com и осуществить атаку
  • Фишинговые атаки, при которых злоумышленник создает похожий сайт и запрашивает у пользователя конфиденциальную информацию.

У нас нет доказательств, что такие атаки были, однако мы постарались их заранее не допустить.

ссылка на оригинал статьи http://habrahabr.ru/post/175685/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *