2

Github для Mac - это полезное приложение, предоставляемое бесплатно пользователями Github.com. Это графический интерфейс Mac OS X для простых операций с git, и он работает довольно хорошо.

Оказывается, что когда я захожу в репозиторий на github.com с помощью своего браузера и пытаюсь его клонировать, JavaScript в браузере пытается установить связь с веб-сервером на моем компьютере, установленном приложением GitHub, которое называется « github tube ». Если он не может связаться, когда я пытаюсь клонировать репо, нажимая «Клонировать на рабочем столе» на веб-странице GitHub, я получаю рекламу для приложения, а не клонирую репо. Вот доступ по сетевому монитору в Chrome:

Request URL:https://ghconduit.com:25035/status
Request Headers
Provisional headers are shown
Origin:https://github.com
Referer:https://github.com/BoltsFramework/Bolts-Android
User-Agent:Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/38.0.2125.122 Safari/537.36
X-DevTools-Emulate-Network-Conditions-Client-Id:00AF4013-DCE9-FF8D-32B2-9FA7D33BE9B5

Я запросил это с поддержкой GitHub, и они направили меня к этой статье поддержки. Это говорит:

Когда вы запускаете GitHub для Mac, он автоматически запускает Conduit и говорит Mac OS X сохранить его. Таким образом, если произойдет сбой Conduit или вы завершите его с помощью Activity Monitor или kill, он будет перезапущен, даже если GitHub для Mac не работает.

Это удивило меня. Использование JavaScript в моем браузере позволяет общаться с локальным сервером, о котором я мало что знаю, что кажется возможным риском для безопасности, тем более что это не было объяснено, когда я установил приложение GitHub.

Это разумно? Должен ли я волноваться, может ли мой браузер общаться с этим сервером?

1 ответ1

0

Да, вы должны беспокоиться об этом. Любой веб-сайт может определить, установлен ли у вас GitHub для Mac, обнаружив, загружается ли ghconduit.com или нет. Например:

<script src="https://ghconduit.com:25035/status" onload="alert('GitHub for Mac is installed.')" onerror="alert('GitHub for Mac is not installed.')"></script>

Вредоносный веб-сайт может использовать это для отслеживания пользователей или нацеливания рекламы на программистов, кросс-браузерных. К счастью, ни одна компания, кажется, не занимается этим.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .