剛剛看到 GitHub 公告,將使用者網站 (http://username.github.com/
這種) 改到 http://username.github.io/
下:「New GitHub Pages domain: github.io」。
GitHub 總算把把使用者頁面放到 subdomain 下這種對安全性問題吃力不討好的事情給搞定了...
PS:我還是對 HiNet 把 hinet.net
用在使用者 IP 上這件事情感覺到... XD
幹壞事是進步最大的原動力
剛剛看到 GitHub 公告,將使用者網站 (http://username.github.com/
這種) 改到 http://username.github.io/
下:「New GitHub Pages domain: github.io」。
GitHub 總算把把使用者頁面放到 subdomain 下這種對安全性問題吃力不討好的事情給搞定了...
PS:我還是對 HiNet 把 hinet.net
用在使用者 IP 上這件事情感覺到... XD
昨天看 Hacker News 的文摘看到的:「Checkout github pull requests locally」。
方法是對 remote "origin"
加上 fetch = +refs/pull/*/head:refs/remotes/origin/pr/*
,這樣就會把 pull request 拉下來...
下面的 comment 也有不少討論可以看...
看到布長輩提到:
剛開始用 104 的系統找履歷時,都用一些很爛的關鍵字搜尋:
最近找起來比較有心得了,用這些關鍵字:
還有一些相關領域的關鍵字拿來找也還蠻不錯的...
另外最後宣傳一下,敝公司找人,包括 client 開發與 server 開發都有缺。(我主要是 server 的部份,client 的部份我會轉給我同事)
有興趣可以用 gslin at kkbox.com 聯絡... (不過話說回來,我下星期去日本,cc 一份給 hr at kkbox.com 會比較好)
GitHub 上總是有人會送一些奇怪的 pull request 出來,把整個 code repository 砍掉換成惡搞的東西... 這次是 CoderDojo / CoderDojo-Kata 這個專案被人發 pull request 要惡搞,結果一堆人利用 comment 的功能開始嫌東嫌西:「pull 1」。
看完一次後覺得實在是太... 有趣 XDDD 乾脆列出來:
(倒地不起)
Gist 是 GitHub 提供的 Pastebin 類型服務,拿來貼一些雜七雜八的東西還蠻方便的...
gist.io 則是利用 Gist,抓出內容排版後把內容丟出來。舉例來說,這是原始的文章「OAuth and API Providers: Come on guys.」:
這是排版後的文章「OAuth and API Providers: Come on guys.」:
在 GitHub 被攻擊成功後 (參考 GitHub 官方所說的「Public Key Security Vulnerability and Mitigation」這篇),官方除了把漏洞修補完以外,接下來做了更積極的措施:暫停所有的 SSH key 存取權限,一律等到用戶 audit 確認過後才開放:「SSH Key Audit」。
這次 GitHub 除了修正問題、audit key 以外,另外還提出了新的機制讓用戶更容易發現異常存取行為,包括了:
算是很積極補救的作法。
另外說明,要如何 audit key,也就是要如何取得你的 public key fingerprint:
ssh-keygen -lf .ssh/id_rsa.pub
(如果你是用 RSA)
或是
ssh-keygen -lf .ssh/id_dsa.pub
(如果你是用 DSA)
出現的訊息就是你要比對的值。記住!既然是 audit,請一個一個比對確認 fingerprint 全部都正確。
附上原始信件:(好像還沒在 blog 上說明)
A security vulnerability was recently discovered that made it possible for an attacker to add new SSH keys to arbitrary GitHub user accounts. This would have provided an attacker with clone/pull access to repositories with read permissions, and clone/pull/push access to repositories with write permissions. As of 5:53 PM UTC on Sunday, March 4th the vulnerability no longer exists.
While no known malicious activity has been reported, we are taking additional precautions by forcing an audit of all existing SSH keys.
# Required Action
Since you have one or more SSH keys associated with your GitHub account you must visit https://github.com/settings/ssh/audit to approve each valid SSH key.
Until you have approved your SSH keys, you will be unable to clone/pull/push your repositories over SSH.
# Status
We take security seriously and recognize this never should have happened. In addition to a full code audit, we have taken the following measures to enhance the security of your account:
- We are forcing an audit of all existing SSH keys
- Adding a new SSH key will now prompt for your password
- We will now email you any time a new SSH key is added to your account
- You now have access to a log of account changes in your Account Settings page
Sincerely, The GitHub Team--- https://github.com support@github.com
GitHub 買 Ordered List,兩邊都有新聞稿:
Ordered List 的產品質感一直都很不錯,最近比較有名的產品就是 Speaker Deck,像是 othree 講 Base2 這篇,embed 起來的效果:
GitHub 剛剛發信給地址裡有「Taipei」的人,通知大家晚上在台北有聚會... 但是看到信件的時候已經是下午兩點 XD
這是 blog 上的公告:「Taipei Drinkup Tonight!」。(不,天氣太冷了,我要在棉被裡面找周公)
直接借地圖來用:(在「Juliana食尚餐飲運動酒吧」)
有興趣的人可以去聊聊...