在 git 上伪造 commit 者身份

只要有提交 commit 的权限, 就可以很轻松的修改自己 commit 时的 email 和 username, 而这是 git commit 能辨别你身份的几乎唯一工具, 在 github 上会直接显示你伪装的人的头像...

比如如果你和你讨厌的某个 co-worker 共同贡献一个项目, 你完全可以假冒他的身份做一些奇怪的 commit...

这里有一个 10 年前的 repo 演示了这玩意儿 https://github.com/Mikulas/fake-author-attack 很显然我今天自己测试时也成功了

当然，GitHub 上, 如果你有在本机设置证书, 或是使用 GitHub 的网页端, 如果你的 email/username 跟你的实际账号一致, 在 commit 旁边会有 "verified" 的标志, 不过用本地客户端, 没设证书就没有这种功能了... 另外手机版的 GitHub 看不到 verified 的标志

How to Spoof Any User on Github…and What to Do to Prevent It

我问 chatGPT 的时候, 他说 git 还会保存真实的 author, 不过我没有找到