Опубликован (https://www.twistlock.com/2017/12/13/hiding-content-git-esca.../) метод скрытия частей кода при выводе изменений при помощи команды "git diff", которая часто используется для изучения присылаемых патчей. Добавив в код escape-последовательность "[8m (http://ascii-table.com/ansi-escape-sequences-vt-100.php)" атакующий может сделать невидимой часть  при выводе на экран с использованием терминала, поддерживающего команды VT100.

Проблемы также выявлены в команде "git rm", которая выводит имя удаляемого файла с обработкой escape-последовательностей в нём. Например, можно создать файл при помощи команды touch `echo -e "\e[45mTest\e[0m"` и добавить его в git-репозиторий. Escape-последовательность будет обработана при удаления данного файла через "git rm". Аналогично можно добиться обработки escape-последовательностей в git-branch при их подстановке в имена файлов в каталоге .git/refs/heads (touch `echo -e ".git/refs/heads/\e[45mTest\e[0m"`).

        

URL: https://www.twistlock.com/2017/12/13/hiding-content-git-esca.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=47759

• Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 12:59 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,KonstantinB, 15:27 , 18-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,pavlinux, 21:18 , 18-Дек-17
      • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 22:00 , 18-Дек-17
        • Метод подстановки троянского кода, невидимого при просмотре ...,pavlinux, 01:46 , 20-Дек-17
      • Метод подстановки троянского кода, невидимого при просмотре ...,Иван, 06:36 , 20-Дек-17
        • Метод подстановки троянского кода, невидимого при просмотре ...,pavlinux, 23:02 , 26-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 15:28 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Вареник, 21:16 , 18-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,Xasd, 14:13 , 21-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,Ю.Т., 13:02 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,щи, 13:06 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Iaaa, 13:46 , 18-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 13:50 , 18-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,fr0ster, 14:14 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 14:21 , 18-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,fr0ster, 14:31 , 18-Дек-17
      • Метод подстановки троянского кода, невидимого при просмотре ...,нэту, 14:54 , 18-Дек-17
        • Метод подстановки троянского кода, невидимого при просмотре ...,fr0ster, 15:09 , 18-Дек-17
          • Метод подстановки троянского кода, невидимого при просмотре ...,fr0ster, 15:10 , 18-Дек-17
      • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 15:34 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Гоги, 16:01 , 18-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 19:28 , 18-Дек-17
      • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 00:45 , 19-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 16:49 , 18-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 20:50 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Ordu, 00:05 , 19-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 15:45 , 18-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 15:49 , 18-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 16:08 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 18:43 , 18-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,Борщдрайвен бигдата, 21:39 , 18-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,L29Ah, 19:52 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,pripolz, 01:52 , 23-Дек-17
• Метод подстановки троянского кода, невидимого при просмотре ...,Аноним, 23:04 , 18-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,nobody, 11:44 , 19-Дек-17
    • Метод подстановки троянского кода, невидимого при просмотре ...,pavlinux, 01:50 , 20-Дек-17
  • Метод подстановки троянского кода, невидимого при просмотре ...,pavlinux, 01:48 , 20-Дек-17

Ждем гитлаб/гитхаб-хейтеров, доказывающих, что "тирминал ита крута, веб ненужен вспомнити лефтпад"

А когда в каком-нибудь гитлабе найдут похожий метод, эксплуатируемый через HTML или какой-нибудь RTL unicode, кто кому чего будет доказывать? :-)

Escape-последовательности надо экранировать точно так же, как это надо делать в вебе с HTML.

Но, конечно, нынешние разработчики гита удивляют.

Цитата:
https://www.twistlock.com/2017/12/13/hiding-content-git-esca.../

Git’s developers take

I sent an advisory to git’s security mailing list, listing all the issues I presented above. The initial responses I received were skeptical. One of the assertion suggested that the same problem can be reproduced with cat, so it is not git’s problem.

Ага, а то, что браузер интерпретирует HTML, это не проблема гитлаба? :-)

Найди 10 отличий https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...

https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...

Через git diff повтори

пробел же!

> пробел же!

8 спереди или 4 сзади? :)

> Ждем гитлаб/гитхаб-хейтеров, доказывающих, что "тирминал ита крута, веб ненужен вспомнити лефтпад"

Смотрю книгу, вижу фигу.

Веб, IDE и консоль - дополняют друг друга.

Обсуждать код лучше с веб-ссылкой, кодить в IDE, перекидывать коммиты между ветками - в консоли.
Только глупые люди противопоставляют мягкое светлому.

> кодить в IDE

особенно в ситуации когда эта IDE не понимает часть синтаксических конструкций (например новые) в этом коде, да? и приходится вместо того чтобы писать так как тебе хочится -- писать то что лишь умеет эта IDE

Кстати, о названиях  и шуточках (https://www.thefreedictionary.com/git)

Так Линус говорил, что не умеет выбирать названия.

Тут лучше: https://www.urbandictionary.com/define.php?term=Git

У меня в терминале сделал текст чёрным, но у меня фон прозрачный и всё было видно. Палево.

То есть diff укажет
-     * Must always return a value
+     * Must always return a value
и никому это не покажется странным?

Почему? Строка "* Must always return a value" добавлена целиком.

> Почему? Строка "* Must always return a value" добавлена целиком.

Ну например потому, что абсолютно одинаковая строка не вывелась бы так.

а если поменять немного каммент, то сильно легче станет?

> а если поменять немного каммент, то сильно легче станет?

Так да, просмотреть станет легче.
С другой стороны простынь прямо в консоли смотреть неудобно, а вывод через less покажет строки полностью.

>> а если поменять немного каммент, то сильно легче станет?
> Так да, просмотреть станет легче.

В смысле пропустить такие строки станет легче.

Одинаковая по отношению к чему? В примере новая строка добавляется, а не старая меняется.

> То есть diff укажет
> -     * Must always return a value
> +     * Must always return a value
> и никому это не покажется странным?

Ты такой внимательный, что читаешь каждый символ? Попробуй попринимать десяток патчей в час - глаза вывалятся!

Ну можно же сканер настроить на отлов подобных несуразностей.
В конце концов в *никсах всегда гордились, что возможностей автоматизации вагон и маленькая тележка, а тут значит "бери больше кидай дальше"?

Ну теперь вот мы все в курсе и все настроим! Я у себя уже сделал. А ты?

от изменения конца строки будет похожая запись, могут пропустить не глядя

Во вменяемых проектах за изменение конца строки делают аяй.

Ты консольным браузером, что ли пользуешься, и не видишь картинок?

Там нарисован diff, который добавляет комментарий. Вот не было комментария в сорце, а diff его добавил вместе со строчкой return 0. Случай несколько надуманный, но вообще патчи добавляющие в код комментарии попадаются довольно часто. Иногда они делают это ради добавления комментариев к существующему коду, иногда эти комментарии сопровождают добавляемый этим же патчем код.

> и никому это не покажется странным?

Любой необоснованный коммит, который делает непонятно что, покажется странным. Поэтому, естественно, что при реальном использовании коммит должен иметь видимое назначение, понятное тому, кто принимает патч, и более того, тот кто принимает патч должен согласиться с необходимостью такого патча.

Практическое использование сложно по другой причине. В ядро, например, патчи засылаются через почту, а почтовик может не обратывать esc-последовательности как esc-последовательности. На github пуллреквесты отрисовываются через html, и там лишние esc-последовательности тоже будут видны. Тут нужен довольно специфичный воркфлоу, когда работа с git идёт именно в терминале, патчи пересылаются через git pull/push (или ещё каким способом, при котором пересылаемые патчи не видны в процессе пересылки между репозиториями), и при этом не используются дополнительные обёртки, типа gitk, github, magit, и прочих.

Так и запишем: не принимать патчи из непроверенных источников

Остроумно, но едва ли "defang" этих escape-последовательностей при выводе на терминал может составить проблему.

Для некоторых станут открытием закладки в компиляторе. Компелируйте компилятор, параноики.

Чтобы они стали для нас открытием, надо, чтобы ты показал нам реальные их примеры. А про теоретическую возможность уже не первый десяток трындят.

Уж не помню где, но я читал морозную историю (перевод) именно о закладке в компиляторе, найденной случайно в ходе доработки какой-то программы сотрудником в каком-то университете.
Увлекательная вещь, но я ее никак не могу найти.

В Gentoo не воспроизводится.

>  В Gentoo не воспроизводится.

В дебиан стейбл тоже. Может это от програмки-терминала зависит?

>с использованием терминала, поддерживающего команды VT100.

кто им пользуется? Я использую только графические фронтенлы для диффов вроде meld, tortoisegit и visual studio.

Командное окружение гита этим и замечательно, что позволяет комфортно обходиться без GUI искаропки, в отличие от, например svn. Поставил в своё время TortoiseGit и так им и не пользовался. А вот без TortoiseSVN жить весьма уныло

>  в отличие от, например svn.

За зарплату оно всё прекрасно работает, и свн, гит, меркурий, бла-бла-блах...

>>с использованием терминала, поддерживающего команды VT100.
> кто им пользуется?

Явно не мышкаклацкеры :)