¿Hacer que las direcciones de correo electrónico sean visibles y la suplantación posible por parte de GitHub es una práctica aceptable? [cerrado]

Navega tus respuestas
0

Tengo la impresión de que proteger la privacidad del usuario es un "gran problema", aunque solo sea declarativo. Ejemplo: discusión sobre meta acerca de e- direcciones de correo en SO .

Aunque espero que tarde o temprano mi dirección de correo electrónico se filtre de alguna base de datos pirateada o de una lista de contactos, esperaría que los portales a los que proporciono estos datos al menos intenten ocultarlo del público.

¿Por qué entonces con GitHub puedo simplemente ir al archivo .patch de una confirmación? De GitHub :

  

Los compromisos deben realizarse con una dirección de correo electrónico que se haya agregado a su   GitHub perfil para aparecer en su gráfico de contribuciones. Usted puede   verifique la dirección de correo electrónico utilizada para un compromiso agregando .patch al final   de una URL de confirmación, por ejemplo    enlace : 

From 67c0afc1da354d8571f51b6f0af8f2794117fd10 Mon Sep 17 00:00:00 2001
From: The Octocat <[email protected]>
Date: Sun, 27 Apr 2014 15:36:39 +0530
Subject: [PATCH] updated index for better welcome message

¿Por qué también permitirían una suplantación de identidad? La respuesta que dan aquí es:

  

Debido a que Git es un sistema de control de versiones distribuido, GitHub debe usar   La dirección de correo electrónico de confirmación para asignar la atribución. Cuando presionas un   El repositorio de GitHub.com puede contener uno o más confirmaciones, algunas de ellas   que no puede haber escrito. Por ejemplo, imagina un escenario donde   Usted colaboró con varias personas en un repositorio git antes   hiciste tu primer empuje de ese repositorio a GitHub.com. Este empuje   Contendría un número de confirmaciones de varios autores. Podría ser   incorrecto para asignar todos los compromisos a la persona que hace el empuje,   por lo que utilizamos las direcciones de correo electrónico de registro de confirmación para asignar atribución en   GitHub.com. Cada impulso posterior a GitHub usa esta misma lógica para   Asignación de atribución de los autores de la comisión.

¿Por qué debe utilizar las direcciones de correo electrónico? ¿No pueden ofuscarlos? ¿No puede haber una funcionalidad que necesita para permitir explícitamente que un determinado repositorio vincule un correo electrónico de confirmación con su cuenta? ¿Simplemente dar la opción de suplantar es una alternativa aceptable?

Quizás estoy muy confundido aquí por ser nuevo en GitHub y por la programación en sí misma, pero parece que GitHub es un repositorio público de correos electrónicos y me parece algo impactante. Además, si tiene una dirección de correo electrónico, puede verificar si alguien la usa en GitHub. Si tiene un nombre de usuario vinculado, puede esperar a medias que se pueda usar el mismo apodo en otro lugar (p. Ej., SO), ya que creo que no existe una buena práctica recomendada para usar nombres de usuario diferentes en diferentes portales (como en el caso de las contraseñas). / p>

¿Entonces lo que GitHub está haciendo es una práctica comúnmente aceptada?

    
pregunta Community 22.02.2017 - 21:29
fuente

1 respuesta

2
  

¿Por qué entonces con GitHub puedo simplemente ir al archivo .patch de una confirmación?

No hay ningún beneficio de seguridad al ocultar u ofuscar las direcciones de correo electrónico de esta interfaz .patch : cualquier persona que deseara las direcciones de correo electrónico de los autores o usuarios en un proyecto de acceso público podría verlas de todos modos simplemente clonando el repositorio. También de manera importante, el archivo de parche producido por esta interfaz está destinado a ser utilizado como entrada para git am . Es decir, si obtiene un parche de este tipo, reenvíelo a otra persona (tal vez a través de una lista de correo), y otra persona lo aplica a su copia de un repositorio con git am , debe generar una confirmación con los mismos metadatos en el otro extremo, casi como si hiciera git cherry-pick de una rama a otra. Los nombres del autor y del remitente, las direcciones de correo electrónico y las fechas, así como el mensaje de confirmación, son las partes importantes de esos metadatos.

  

¿Por qué debe usar las direcciones de correo electrónico?

Bueno, ciertamente puedes sellar los nombres de los autores y las direcciones de correo electrónico que desees en las confirmaciones de git (nada puede detenerte), y puedes presionar esas confirmaciones a los controles remotos (incluido GitHub), pero no puedes cambiarlas después del hecho. (sin invalidar la confirmación y todas las confirmaciones posteriores). Así es como funciona git : los metadatos de confirmación pasan al cálculo del SHA1 que se convierte en el identificador de confirmación.

¿Estaría feliz si todos sus publicados tuvieran Your Name <[email protected]> como autor? Recuerde, después no puede desenfocarse de ninguna manera y luego mantener sin cambios el SHA1 de confirmación.

Tener algo en un software de control de versión que "proteja" las identidades de los autores es en gran parte incompatible con DVCS. Si necesita eso, entonces probablemente esté buscando un sistema de control de versiones centralizado (CVCS).

    
respondido por el Celada 22.02.2017 - 22:55
fuente

Lea otras preguntas en las etiquetas

Esquema de almacenamiento interno para almacenar claves privadas dentro de un HSM conexiones externas que deben confirmar el correo electrónico