共有
  • 記事へのコメント62

    • 注目コメント
    • 新着コメント
    その他
    tasshi820
    tasshi820 こわ。ちゃんとActionの実行権限設定しとかないと。

    2021/02/08 リンク

    その他
    nilab
    nilab 「GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来ているのに気づいた」「任意コードをいくらでも並列に実行できる環境があちこちに転がっているということに」

    2021/02/08 リンク

    その他
    take_she12
    take_she12 わるい話だ

    2021/02/06 リンク

    その他
    gayou
    gayou 悪い事考える人がいるもんだ。

    2021/02/06 リンク

    その他
    isrc
    isrc GitHub Actionsについてちょっと考えてみると、任意コードをいくらでも並列に実行できる環境があちこちに転がっているということになって、攻撃者にとっては魅力的ではありそう。そういう使い方をしないでほしい。

    2021/02/06 リンク

    その他
    indication
    indication 変なPRが来て、travis-ciで認証情報がなく、事前ciがコケてたのは、この事をやりたかったのかな

    2021/02/06 リンク

    その他
    tkancf
    tkancf なるほどなぁ。嫌な悪用例だ

    2021/02/06 リンク

    その他
    side_tana
    side_tana 地獄っぽい

    2021/02/05 リンク

    その他
    dot
    dot なるほどなー。

    2021/02/05 リンク

    その他
    ryuichi1208
    ryuichi1208 よく思いつくなぁと、、やってる事は最低だけど

    2021/02/05 リンク

    その他
    tettekete37564
    tettekete37564 年収査定かな?

    2021/02/05 リンク

    その他
    Kesin
    Kesin Jenkinsのpull-reqトリガーするプラグインにオーナー以外の人からのPRの場合はオーナーが特定のコメントをしないとJenkinsでビルドが走らないという機能があるのだけど、多分Jenkins全盛期にもこういう問題あったのだろうな

    2021/02/05 リンク

    その他
    kkamegawa
    kkamegawa なるほど…色々考える人がいるなぁ。

    2021/02/05 リンク

    その他
    koogawa
    koogawa これは悪質だなぁ

    2021/02/05 リンク

    その他
    tune
    tune 確かにできそう、悪用との戦いはいつも虚しい

    2021/02/05 リンク

    その他
    hakobe932
    hakobe932 やべえ

    2021/02/05 リンク

    その他
    knok
    knok そうだよなあ、任意コード実行し放題だよなあ

    2021/02/05 リンク

    その他
    oakbow
    oakbow 割と早期に盛大にやらかしてくれたおかげで穴を塞げたと思えばまあ良いのかも…。まともにメンテされてないパプリックリポジトリで地味にやられると面倒だし。次はそうしてきそうだけど

    2021/02/05 リンク

    その他
    kasssssy
    kasssssy なるほどー

    2021/02/05 リンク

    その他
    kamocyc
    kamocyc 悔しいがこの発想は無かった。セキュアなものを作るには常に悪用手段が無いかを考える必要...

    2021/02/05 リンク

    その他
    p1ass
    p1ass フォーク先からの新規アクションを制限するやつ欲しい

    2021/02/05 リンク

    その他
    takeshiketa
    takeshiketa 面白い

    2021/02/05 リンク

    その他
    n_231
    n_231 webで出来ることはやる奴が出てくる。

    2021/02/05 リンク

    その他
    sonots
    sonots ho-n

    2021/02/05 リンク

    その他
    sds-page
    sds-page 穴があればすぐに悪用される修羅の世界

    2021/02/05 リンク

    その他
    yhoriz
    yhoriz こわい せめてGPGの設定はしとこ……

    2021/02/05 リンク

    その他
    honeybe
    honeybe いろいろなことをおもいつくなぁ

    2021/02/05 リンク

    その他
    pullphone
    pullphone こわっ / 公式・マケプレにあるの限定とか、そもそもフォーク元で作られたやつじゃないと動かないように設定出来るっぽい https://docs.github.com/en/github/administering-a-repository/disabling-or-limiting-github-actions-for-a-repository

    2021/02/05 リンク

    その他
    rjge
    rjge 利便性高くて悪意にも強くするのって難しそう

    2021/02/05 リンク

    その他
    eru01
    eru01 PRの自動CIこういうん絶対起きるよなと思ってたけどやっぱり起きるわな

    2021/02/05 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    GitHub Actionsを使ったDDoSに巻き込まれた - 私が歌川です

    事例集です。 きのう、GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事