Ci sono un gran numero di motivi per cui questo può accadere:
-
Posizione di hosting. Gitlab può essere scaricato e ospitato altrove.
Le chiavi host pubblicate sulla pagina di gitlab non significano nulla se la tua università ospita la propria versione di gitlab. In tal caso non vedresti mai la chiave dell'host gitlab - vedresti la chiave dell'host per il tuo server universitario, e la differenza sarebbe priva di significato. Dovresti chiedere all'università quale sia la loro chiave ospite e difficilmente avrai una risposta da loro.
-
Informazioni non aggiornate La chiave host per Gitlab potrebbe essere cambiata e si sono semplicemente dimenticati di aggiornare la pagina di aiuto di conseguenza.
-
MitM qualcuno potrebbe eseguire un attacco MitM contro il tuo computer e ha reindirizzato il traffico da gitlab al proprio server malevolo.
Penso che l'opzione numero 1 sia degna di nota perché non è chiaro se la pagina gitlab della tua università sia ospitata su gitlab o sulla tua università.
Sembra che sia ospitato da gitlab, ma non necessariamente (ovviamente l'URL del repository dovrebbe renderlo chiaro).
La possibilità di MitM
Tra tutte e tre queste opzioni, # 3 è di gran lunga la meno probabile. Un attacco MitM di successo in questo caso può essere sia difficile che poco utile (per un utente malintenzionato), al punto che non mi verrebbe in mente nemmeno di considerarlo in circostanze normali. Quindi, a meno che tu non stia cercando di collegarti a un repository gitlab remoto in modo da poter trasferire i segreti di stato, probabilmente hai a che fare solo con le opzioni # 1 o # 2.
Puoi anche provare a verificare la verosimiglianza di MitM controllando l'indirizzo IP del server a cui ti stai connettendo e cercando di capire se appartiene a gitlab. Gitlab ha una (probabilmente anche vecchia) lista dei loro indirizzi IP:
link
Nessuna garanzia di corrispondenza anche per una connessione gitlab valida a causa della possibilità di documenti scaduti. Inoltre nessuna garanzia perché qualcuno che esegue un MitM riuscito potrebbe eventualmente (a seconda dei dettagli) spoofare un indirizzo IP.
Scenario più probabile
Indipendentemente da ciò, MitM è (IMO) molto improbabile e, di conseguenza, farei semplicemente le tue cose. Dovresti riuscire a scoprirlo abbastanza presto se c'è un problema. Presumibilmente ti connetteresti al server gitlab, troverai i file che ti aspetti di trovare, copi alcuni dei tuoi e poi potrai verificare con chi stai collaborando che hanno ricevuto una copia del tuo lavoro. Se è così non c'è sicuramente nulla di cui preoccuparsi.
In generale, la mia esperienza suggerisce che poche organizzazioni si preoccupano di pubblicare le chiavi dell'host per la verifica. Le chiavi host possono certamente essere utilizzate per verificare un server a cui non ti sei mai connesso, ma in pratica non trovo che sia terribilmente comune. Sospetto che questo sia principalmente per le ragioni che ho citato brevemente sopra: non credo che questo sia un vettore di attacco comune e di solito puoi scoprire facilmente se sei connesso al server giusto semplicemente perché ci sono quasi sempre più parti coinvolte per verificare i risultati. Di conseguenza, ho utilizzato più comunemente la verifica della chiave host per rilevare quando il server è stato modificato rispetto a qualsiasi altra cosa e raramente (se mai) lo uso per verificare un server alla prima connessione.