早上看到一篇文章,说有一位程序员把自己服务器的登录信息上传到 github 上面,public 的。当然,所有人都可以看到,然后这位兄台的服务器就被人用来挖矿了,有热心网友发现问题后,删除了挖矿程序,安装了火绒。 原文链接找不到了。。。。。
然后看到后,我也去尝试性的搜了下关键词《密码》、《邮箱密码》等,发现有好多发送邮件的代码,邮箱及密码都没有注释掉。 当成工作记录也无所谓,但是入职申请的一些账号密码就不要记录在上面了吧。
看到这个的各位,还是去看看自己有没有犯这样的错误。 还是提醒一下各位:github 项目默认都是公开的,自己的隐私、用户名密码还是要记得删除掉再上传。 不要抱有侥幸心理!!
1
Nitroethane 2018-06-30 14:41:41 +08:00 via Android
稍微靠谱点的公司应该会有检查工具之类的吧。代码上传到 GitHub 之前跑一下工具看有没有敏感数据之类的。
|
2
nieyujiang 2018-06-30 14:44:21 +08:00
按理说这些配置 key 的东西应该放在一个统一的文件里面吧,然后把这个文件忽略掉.难道我记错了.
|
3
klesh 2018-06-30 17:20:06 +08:00
楼主,注释掉是不行的。你是想说删除掉吧?
|
4
chinvo 2018-06-30 17:26:37 +08:00 1
正确做法是所有可配置项放到配置文件,并用 .gitignore 忽略
涉密内容用 Valut,并把 Valut 配置放环境变量或者配置文件 |
5
est 2018-06-30 17:28:33 +08:00 via Android
什么? githib 不就是永硕网盘么?
|
6
blackjar 2018-06-30 17:39:32 +08:00 1
10_million_password_list_top_999_Without_dolphins.txt
|
7
input2output 2018-06-30 19:03:56 +08:00 1
|
8
TripleZ 2018-06-30 19:05:28 +08:00 via Android
开源其实还是要做很多工作的吧…… 可以理解成对自己开源代码不负责…
|
9
mritd 2018-06-30 19:12:39 +08:00 via iPhone
其实,你发到这里,基本看到的人都有这种尝试😂
|
10
oracle128g 2018-06-30 19:16:18 +08:00 via iPhone
我的阿里云 rds 就是直接 push 上去了的,但是设置了 IP 白名单
|
11
dorothyREN 2018-06-30 19:28:01 +08:00
前两天还看到一个仓库里面都是服务器账号密码,于是我好心的 fork 了一下。
|
12
limbo0 2018-06-30 19:39:57 +08:00 via Android
黑客早就做渗透了,会挖掘 github 上的信息
|
13
loading 2018-06-30 19:40:07 +08:00 via iPhone
直接把配置文件放到其他文件夹或者系统变量里面,gitignore 我还是不放心。
|
14
agdhole 2018-06-30 19:58:59 +08:00 via Android
统一放在 .env
|
15
msg7086 2018-07-01 03:09:55 +08:00
Rails 5.2 的 Encrypted Credentials 了解一下。
|
16
likuku 2018-07-01 09:28:17 +08:00
登录信息?君不见最近两三年里因为员工把 ssh 私 key 丢上 github 公开项目,导致的一些严重安全事故。
|
17
oIMOo 2018-07-01 19:20:49 +08:00 via Android
曾经不小心把含密码的配置文件 push 上去,一分钟之内撤掉了。
从此以后,一定先 gitignore |