Начиная с сегодняшнего для все сайты GitHub Pages переходят на новый домен: github.io. Это мера безопасности нацеленна на предотвращение CSRF атак на главный сервер — github.com. Если ваш сайт настроен, как «yoursite.com» вместо «yoursite.github.com» — изменения вас никак не затронут.
Если ваш сайт раньше располагался на домене «username.github.com», последующие запросы будут редиректиться на новый домен: «username.github.io».
C этого момента все сайты, размещенные на субдоменах github.com могут и должны расцениваться как официальные продукты GitHub.
Если ваш сайт раньше располагался на домене «username.github.com», последующие запросы будут редиректиться на новый домен: «username.github.io».
C этого момента все сайты, размещенные на субдоменах github.com могут и должны расцениваться как официальные продукты GitHub.
Технические детали
Изменения в сайтах и пользовательских доменах:
- Все пользователи, организации, и сайты проектов настроенные на работу с github.io, вместо github.com.
- Все сайты *.github.com редиректятся c кодом 301 на *.github.io.
- Сайты, с пользовательскими доменами изменения не затронули.
- IP адреса не изменились, существующие A-записи указывают на старые IP.
Изменения в GitHub репозиториях:
- Пользовательские сайты можно называть используя новое, или старое соглашение: username/username.github.[io/com].
- Существующие репозитории сайтов, названные по старому соглашению так и будут продолжать свою работу.
- Если существует два репозитория, названные по старому и новому соглашению — *.github.io победит.
Уязвимости безопасности.
Существует две основные категории потенциальных уязвимостей, которые привели к этим переменам.
- Изменение сессий и CSRF. Так как пользовательские сайты могут подключать JavaScript, который хранится на субдоменах github.com, становится возможным записывать(но не считывать) куки с домена github.com, что позволяет злоумышленнику получить доступ к github.com и осуществить атаку
- Фишинговые атаки, при которых злоумышленник создает похожий сайт и запрашивает у пользователя конфиденциальную информацию.
У нас нет доказательств, что такие атаки были, однако мы постарались их заранее не допустить.
ссылка на оригинал статьи http://habrahabr.ru/post/175685/
Добавить комментарий