文?| 羅奇奇

出品 | OSC開源社區(qū)（ID：oschina2013）

1月 25日， Linus Torvalds 在 Linux 的 GitHub 倉庫中提交了一個(gè)惡作劇 README 頁面：https://github.com/torvalds/linux/tree/8bcab0346d4fcf21b97046eb44db8cf37ddd6da0，其備注名為《delete linux because it sucks》—— 我刪除了 Linux ，因?yàn)樗褪莻€(gè)垃圾。

大家好，我是 linus torvalds，紅極一時(shí)的 linux 的作者。你可以查看 repo 的 url 和文件頂部的名字，它們可以證明是我本人在提交。

我刪除了 linux，因?yàn)槲矣憛捤?#xff0c;我認(rèn)為它很爛。你應(yīng)該去用這個(gè)很棒的操作系統(tǒng)，它叫做 windows xp，我剛剛發(fā)現(xiàn)它真的很棒。

為什么說這是一場(chǎng)惡作劇呢？因?yàn)?Linux 的源代碼并沒有被刪除，而且有細(xì)心的網(wǎng)友發(fā)現(xiàn)：該 README 最底部還有一個(gè)鏈接：

這個(gè)鏈接指向?Hacker News?黑客論壇的一個(gè)帖子，帖子詳細(xì)介紹了 GitHub 現(xiàn)存的“虛假提交”漏洞：可以在 https://github.com/my/project 的 URL下發(fā)布任意提交。

比如用 https://github.com/my/project/blob/<faked_commit>/README.md 這種 URL ，就可以發(fā)布虛假的 README 頁面，這種虛假提交不會(huì)出現(xiàn)在項(xiàng)目的提交記錄里面，也不屬于任何一個(gè)分支，只能通過訪問特定的 URL 看到。而 Linus 這個(gè)惡作劇 README 文件正是利用了這個(gè)虛假提交漏洞，看一下這個(gè) README 的 URL ：

如果是正常的提交，URL 應(yīng)該帶有 commit 字眼，比如：

除了 URL 不對(duì)外，該 README 文件也未出現(xiàn)在提交記錄中：

由此可見，Linus 只是開了個(gè)玩笑，并非真的刪庫跑路。

對(duì)此漏洞感興趣的可以去看看 Hacker News 的原帖，這個(gè)虛假提交漏洞結(jié)合 GitHub 另一個(gè)“通過 git 電子郵件地址冒充用戶”漏洞：https://bounty.github.com/ineligible.html#impersonating_a_user_through_git_email_address，能創(chuàng)造出以假亂真的釣魚頁面。

比如

https://github.com/slimsag/linux/tree/5895e21f3c744ed9829e3afe9691e3eb1b1932ae#linux-kernel?這個(gè)倉庫，看起來似乎 Linus 本人參與了這個(gè)倉庫的建設(shè)：

然而這只是通過替換電子郵件地址漏洞，把 slimsag 換成了 torvalds 而已。

左邊是通過漏洞替換郵件地址的 torvalds ，右邊是正常的，仔細(xì)觀察對(duì)比可以發(fā)現(xiàn)，障眼法換出來的 torvalds 是不顯示活動(dòng)記錄的。

這些 GitHub 漏洞都是 2020 年公開的，然而漏洞作者稱“GitHub 完全不把這些問題當(dāng)作漏洞”，不知道 GitHub 是無法處理，或是認(rèn)為沒必要處理，反正直到現(xiàn)在它們?nèi)阅鼙焕谩?/p>各位伙伴們好，詹帥本帥搭建了一個(gè)個(gè)人博客和小程序，匯集各種干貨和資源，也方便大家閱讀，感興趣的小伙伴請(qǐng)移步小程序體驗(yàn)一下哦！（歡迎提建議）推薦閱讀牛逼！Python常用數(shù)據(jù)類型的基本操作（長(zhǎng)文系列第①篇） 牛逼！Python的判斷、循環(huán)和各種表達(dá)式（長(zhǎng)文系列第②篇）牛逼！Python函數(shù)和文件操作（長(zhǎng)文系列第③篇）牛逼！Python錯(cuò)誤、異常和模塊（長(zhǎng)文系列第④篇）

總結(jié)

以上是生活随笔為你收集整理的Linus：“我删除了Linux，因为它就是个垃圾！”的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。