<div dir="ltr"><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 23, 2017 at 7:46 PM, John Levine <span dir="ltr"><<a href="mailto:johnl@iecc.com" target="_blank">johnl@iecc.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">In article <<a href="mailto:20170223181409.GA6085@savin.petertodd.org">20170223181409.GA6085@savin.<wbr>petertodd.org</a>> you write:<br>
>Concretely, I could prepare a pair of files with the same SHA1 hash, taking<br>
>into account the header that Git prepends when hashing files.<br>
<br>
</span>The Google blog post describes what they did, and mentioned that it<br>
used upward of 6500 CPU-years to create.  So while I agree that the<br>
collision is real, and github should switch to better hashes ASAP, I'm<br>
not too worried about an immediate blizzard of fake source code.<br></blockquote><div><br></div><div><div class="gmail_default" style="font-size:small">​Which means there is reason for concern and urgent efforts to fix Git.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">There is no reason to panic. But we do need to act.</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small">​</div><br></div><div> </div></div></div></div>