建议大家弃用 Gitalk 和 Gitment 等权限过高的 Github OAuth App

声明

我和 Gitalk，Gitment 等软件的作者并不认识，也不存在任何利益关系。我之前使用过 Gtiment，这些软件的作者想出的这种评论方式极具创造性，让我有了更好的博客评论方式，我非常感激这些开源软件的创造者。

原因

这些 OAuth App 申请的权限太多了

下面两张截图是我截取的 Gitment 和 Gitalk 的权限列表。它们能够 读写 授权者 所有的公共仓库 ，也就是说拿到你的授权 Token 的人，可以将你的 GitHub 公共仓库删空

利用 GitHub 授权作恶的例子

这是前两天隔壁楼发的帖子：

• 使用 Github 账号登录 黑客派 之后，Github 自动 follow https://github.com/88250 并 star https://github.com/b3log/symphony

我也是看到这个，才忍不住出来发帖提醒大家，已经有人利用 GitHub 的授权做坏事了。这次可能是个自动 follow 并 star 的小事情，下次可能就是删库跑路了。

具体操作建议

• 建议弃用 Gitalk 或 Gitment 等 OAuth App，并在 [ GitHub -> 右上角头像 -> Settings -> Applications -> Authorized OAuth Apps ] 中取消授权。