惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

美团技术团队
W
WeLiveSecurity
Stack Overflow Blog
Stack Overflow Blog
L
LangChain Blog
S
SegmentFault 最新的问题
Apple Machine Learning Research
Apple Machine Learning Research
Google DeepMind News
Google DeepMind News
F
Full Disclosure
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
The Register - Security
The Register - Security
G
Google Developers Blog
C
Check Point Blog
GbyAI
GbyAI
A
About on SuperTechFans
V
Vulnerabilities – Threatpost
T
The Blog of Author Tim Ferriss
T
Tor Project blog
AWS News Blog
AWS News Blog
Cyberwarzone
Cyberwarzone
C
CERT Recently Published Vulnerability Notes
MongoDB | Blog
MongoDB | Blog
Latest news
Latest news
aimingoo的专栏
aimingoo的专栏
U
Unit 42
Y
Y Combinator Blog
P
Privacy International News Feed
Cisco Talos Blog
Cisco Talos Blog
S
Securelist
S
Schneier on Security
雷峰网
雷峰网
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Attack and Defense Labs
Attack and Defense Labs
P
Proofpoint News Feed
C
Cisco Blogs
Webroot Blog
Webroot Blog
T
Troy Hunt's Blog
Google Online Security Blog
Google Online Security Blog
月光博客
月光博客
P
Privacy & Cybersecurity Law Blog
Security Archives - TechRepublic
Security Archives - TechRepublic
罗磊的独立博客
Cloudbric
Cloudbric
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
Recent Commits to openclaw:main
Recent Commits to openclaw:main
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Hacker News: Ask HN
Hacker News: Ask HN
H
Hackread – Cybersecurity News, Data Breaches, AI and More
博客园 - 司徒正美
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Microsoft Security Blog
Microsoft Security Blog

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
git ни разу не спросил у вас пароль — и в этом виноват скандал 2005 года
Claritas · 2026-06-15 · via Все публикации подряд на Хабре

Простой

6 мин

10

Признайтесь: вы не знаете, кто у вас сейчас просит пароль.

Вы делаете git push. Иногда выскакивает окошко. Иногда терминал молча ждёт ввода, и буквы не печатаются. Иногда всё проходит без единого вопроса, будто git вас узнал. А иногда — Support for password authentication was removed on August 13, 2021, и вы сидите и гадаете, какой из семи токенов протух на этот раз.

Четыре разных поведения, одна команда. И вот спойлер, после которого статью можно было бы и закончить:

git за эти двадцать лет ни разу не спросил у вас пароль. Ни одного раза.

То, что вы принимаете за «git просит пароль», — это всегда кто-то другой, стоящий у него за спиной и машущий руками. Разберёмся, кто именно. А потом — кто всю эту конструкцию собрал.

У git нет пароля. И никогда не было

В сердце git — контентно-адресуемое хранилище: кидаешь блоб, получаешь SHA, и всё. Коммиты, деревья, теги — объекты в .git/objects. Локально git не знает слов «логин» и «пароль», потому что ему не у кого и незачем спрашивать.

Аутентификация включается ровно в одну секунду вашей жизни с git — когда данные надо протолкнуть через сеть на другую машину. И тут начинается главное: сам git этого делать не умеет. Он перекладывает работу на транспорт. Кто транспорт — тот и хозяин пароля.

Вот вся правда в одной таблице — сохраните в закладки и доставайте каждый раз, когда git «просит пароль»:

URL ремоута

Кто на самом деле спрашивает

Что вы вводите

git@host:repo.git / ssh://

SSH-клиент

пароль от приватного ключа

https://host/repo.git

HTTP Basic Auth → credential helper

токен (раньше — пароль)

git://host/repo.git

никто

ничего, auth не предусмотрен

/path / file://

файловая система

ничего, решают права

Хотите понять, кто стоит у двери, — посмотрите на схему URL ремоута. Она скажет всё сразу.

Парад тех, кто спрашивает вместо git

Те самые четыре поведения, что вас бесят:

Терминал молча ждёт, буквы не печатаются. Это SSH-клиент вызвал getpass() и выключил эхо терминала, чтобы пароль от ключа не отсвечивал в истории и в плече коллеги. git в этот момент просто ждёт, пока ssh договорится с сервером.

Выскочило графическое окошко. Сработал GIT_ASKPASS или SSH_ASKPASS — механизм, через который git говорит «мне нужен пароль, но я в графической среде, спросите вы». Диалог рисует внешняя программа. git его даже не видел — только заказал.

Не спросил вообще ничего. Сработал credential helper. Подсистема git credential сходила в хранилище секретов — macOS Keychain, Windows Credential Manager, libsecret на линуксе или (не делайте так) plaintext в ~/.git-credentials — достала токен и открыла дверь молча.

Support for password authentication was removed. А это уже не локальная история. Это GitHub на том конце: 13 августа 2021 года, в 09:00 PST, он перестал принимать пароли от аккаунта при git-операциях. О переходе на токены предупреждали ещё с 2020-го. Теперь поверх HTTPS летит не пароль, а Personal Access Token — в том же самом поле Basic Auth, где раньше летел пароль. Снаружи ничего не поменялось. Поменялось то, что сервер согласен считать валидным.

Заметили закономерность? На каждое «почему git так делает» ответ начинается со слов «вообще-то это не git, это…». Четыре разные программы, четыре философии, склеенные тем, что все умеют разговаривать с одним git.

Теперь — кто это устроил.

Апрель 2005: десять дней, которые мы расхлёбываем

До 2002 года ядро Linux жило вообще без VCS в современном смысле: разработчики слали патчи в рассылку, Линус руками вмерживал их в дерево. Когда контрибьюторов стали тысячи, это перестало масштабироваться, и ядро переехало на BitKeeper — проприетарную распределённую VCS компании Ларри Маквоя.

BitKeeper дал ядру бесплатную лицензию, но с условием в духе «пользуйся, но не ковыряй, как устроено, и не пиши конкурентов». Несколько лет держалось на тонком доверии. А потом кернел-разработчик Эндрю Тридгелл — да-да, автор Samba и соавтор rsync — написал инструмент SourcePuller, умевший разговаривать с репозиториями BitKeeper. С точки зрения Маквоя, это был реверс-инжиниринг протокола.

Реакция была максимально драматичной: в начале 2005-го Маквой отозвал у ядра бесплатную лицензию. Тысячи разработчиков в одну ночь остались без инструмента, на котором держался весь рабочий процесс.

И тут происходит то, ради чего стоит знать эту историю. В апреле 2005-го Торвальдс садится писать свою VCS. За десять дней доводит её до состояния, в котором ей уже можно вести разработку ядра. 8 апреля 2005-го делает первый коммит — сделанный, по-хорошему исторически, уже самим git. В течение нескольких дней git стал самохостящимся, в течение недель — готовым тащить ядро.

Десять. Дней. На инструмент, которым теперь пользуется примерно вся индустрия.

Решение, которое объясняет всю вашу боль

Торвальдс проектировал git под одну навязчивую идею — скорость. Его собственная формулировка тех лет: всё, что делаешь ежедневно, должно занимать меньше секунды. Отсюда в основе — быстрое контентно-адресуемое хранилище и хеши, а не сетевой клиент-сервер.

А когда у тебя десять дней и горит ядро — что ты делаешь с аутентификацией, шифрованием, управлением пользователями? Ты их не пишешь. Ты говоришь: «это проблема транспортного уровня». Шифрование? К SSH. Аутентификация? Туда же — у SSH уже есть ключи, агенты, всё отлажено годами. Своей сетевой криптографии у git нет и не будет: он просто запускает ssh подпроцессом и пихает байты в трубу.

Это, между прочим, прекрасное инженерное решение. Не переизобретать то, что уже работает, — золотое правило, но у каждого такого решения есть цена, и платите её вы, двадцать лет спустя, когда git push ведёт себя четырьмя разными способами в зависимости от выбранной трубы.

«Кто сломал это 20 лет назад» — вопрос с подвохом, потому что никто ничего не ломал. Это не баг. Это фундаментальное проектное решение: у git нет единого способа спросить пароль, ибо у git нет самой идеи «пароль». Есть делегирование. Фрагментация, которая вас раздражает, — прямое и неизбежное следствие того, что в апреле 2005-го человеку было некогда, и он мудро спихнул аутентификацию на тех, кто уже умеет.

git:// — первородный грех, который стоит знать

Раз уж про дизайн на скорость — нельзя не вспомнить родной протокол git:// на порту 9418. Написан для одной задачи: отдавать данные максимально быстро и без церемоний.

Насколько без церемоний? У него нет аутентификации вообще и нет шифрования вообще. Кто достучался до порта — тот клонирует. На запись его обычно не пускают именно поэтому. Это был чистый способ раздавать публичные репозитории в эпоху, когда HTTPS-клонирование тормозило. Сегодня git:// тихо вымер — GitHub его отключил, и почти везде он считается дурным тоном. Однако, это идеальный памятник философии 2005-го: «безопасность? на следующей неделе, сейчас надо, чтобы было быстро».

Спорный тезис: и хорошо, что так

А теперь то, с чем половина комментариев не согласится. Делегировать аутентификацию транспорту было правильным решением — и попытки засунуть auth внутрь git были бы ошибкой.

Представьте альтернативу: git со своей системой пользователей, своим протоколом аутентификации, своей криптографией. Через двадцать лет это был бы второй OpenSSL — с собственными CVE, своим зоопарком конфигов и необходимостью обновлять клиент git каждый раз, когда ломается алгоритм. Вместо этого git пережил смену целых эпох аутентификации — пароли, ключи, токены, OAuth, аппаратные ключи — не поменяв в себе вообще ничего. Когда GitHub в 2021-м убил пароли, git не выпускал экстренный патч. Ему было всё равно: пароли — не его забота.

То, что выглядит как бардак на стороне пользователя, на стороне архитектуры — редкая дисциплина: делать одну вещь и не лезть в чужую. Боль четырёх разных промптов — это цена того, что git ни разу за двадцать лет не пришлось переписывать из-за смены правил безопасности.

Очная ставка

Соберём всех виноватых. Вы делаете git push, получаете странный вопрос про пароль:

git кивает на транспорт. SSH кивает на ваш ключ и агент. HTTPS кивает на Basic Auth, тот — на credential helper, helper — на кейчейн ОС. GitHub на том конце кивает на свою политику от 13 августа 2021-го и требует токен. А вся эта схема делегирования существует потому, что в апреле 2005-го Ларри Маквой отозвал лицензию у ядра Linux, Эндрю Тридгелл написал слишком любопытный клиент, а Линус Торвальдс за десять дней сделал инструмент, в котором сознательно решил аутентификацию не писать.

Никто не виноват. Виноваты все. Самый честный ответ, который можно дать про любую достаточно старую инфраструктуру.

В следующий раз, когда терминал молча ждёт пароль и не печатает звёздочки, это не git вас мучает. Это эхо одного licensing dispute двадцатилетней давности, докатившееся до вашего ноутбука. git просто стоит рядом и держит дверь.


А теперь вопрос к вам. За все годы с git вы хоть раз с первого взгляда понимали, кто именно у вас сейчас просит пароль — ssh, helper или сервер? И если бы Линус в 2005-м всё-таки встроил аутентификацию внутрь git — было бы сегодня лучше или мы получили бы второй OpenSSL?