V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
iosyyy
V2EX  ›  程序员

如何评价把 accesid 写在博客里

  •  1
     
  •   iosyyy · 2022-07-04 09:21:49 +08:00 via Android · 17721 次点击
    这是一个创建于 872 天前的主题,其中的信息可能已经有所发展或是发生改变。
    (莫谈国事单纯讨论一下)
    118 条回复    2022-07-06 08:55:03 +08:00
    1  2  
    wbrobot
        1
    wbrobot  
       2022-07-04 09:27:49 +08:00   ❤️ 2
    这小哥已经有安全意识了,把配置文件里面改了 xxx, 还说安全起见.
    谁知道代码里面有测试注释,哈哈哈哈哈哈, 也可能是被队友坑了

    结论:[测试函数尽量另写,不要和主文件写一起; 测试的配置也不要写明文,要写在 test.yaml 里面]
    lujiaosama
        2
    lujiaosama  
       2022-07-04 09:29:44 +08:00   ❤️ 1
    配置信息不单独管理, 硬编码, 出纰漏是迟早的事情. 之前 b 站上有个 up 主就是这样被人泄漏了服务器信息.
    skinny
        3
    skinny  
       2022-07-04 09:32:48 +08:00
    论安全意识,还有很多直接人把账号密码之类配置文件备份传到 Github 公开仓库的……
    picone
        4
    picone  
       2022-07-04 09:35:12 +08:00   ❤️ 2
    - 配置信息单独管理
    - 线上 access key 不应该轻易获取到,线下只能用测试环境的 key
    - 这种项目必须私有部署(内网),如果不是内网的话也需要 IP 限制访问。

    access key 写博客只是一个引子,后面暴露了很多安全问题。试想如果是这个人离职后自己抓出来呢?
    Soar360
        5
    Soar360  
       2022-07-04 09:36:10 +08:00   ❤️ 2
    就不应该写在代码里。
    leimao
        6
    leimao  
       2022-07-04 09:36:42 +08:00   ❤️ 3
    Blog repo 应该 private 而不是 public 。
    iosyyy
        7
    iosyyy  
    OP
       2022-07-04 09:37:36 +08:00
    @skinny 说实话我觉得个人的账号密码泄漏也就泄露了(毕竟很多个人的账户都没啥大服务器 这种级别的泄漏还是第一次见
    Mithril
        8
    Mithril  
       2022-07-04 09:38:30 +08:00   ❤️ 5
    整套系统的安全性取决于整个链条上最烂的那一环。
    你就算搞成 GDPR 的政策,每次访问都用硬件加密。
    也防不住把 ID 写进去的码农。
    更别说为什么会给码农生产库 ID 这种事了,这还是出了事的,没写出来但是拿着 ID 的码农还不知道有多少。

    没准你的隐私就握在外包公司 200 块一天雇的测试手里。
    Soar360
        9
    Soar360  
       2022-07-04 09:39:32 +08:00   ❤️ 3
    又 TMD 不加钱,又 TMD 得卷,爱谁谁吧。
    IGJacklove
        10
    IGJacklove  
       2022-07-04 09:41:52 +08:00 via iPhone
    泄漏是哪篇博客的问题吗?我看是两年前的文章啊
    skinny
        11
    skinny  
       2022-07-04 09:43:51 +08:00   ❤️ 4
    @iosyyy 这种属于组织管理问题,管理层不重视不懂,对管理层的安全培训和责任处罚不到位,你可以换个行业看安全生产原则就理解了。
    StrongNoodles
        12
    StrongNoodles  
       2022-07-04 09:45:10 +08:00   ❤️ 2
    真的,这么大的事其他地方一点风声没有,这是被限制了吗,掩耳盗铃吗,要知道泄露这么大这么敏感的信息,造成的损失不可估量啊
    picone
        13
    picone  
       2022-07-04 09:46:10 +08:00
    @iosyyy #7 并不是,正常的环境不应该把人视为安全的,人不应该触碰到这些数据,要假设所有开发者都是坏人。如果密码泄露了就整个没了,那是小作坊。
    yuezk
        14
    yuezk  
       2022-07-04 09:46:54 +08:00
    https://unsafe.sh/go-116043.html

    怎么评价?我打赌,类似的事情还会发生。

    @skinny #3 现在 GitHub 已经集成了 GitGuardian ,会主动检测代码中的各种 key ,然后提示开发者,这种问题会少一些了。
    SunsetShimmer
        15
    SunsetShimmer  
       2022-07-04 09:49:01 +08:00   ❤️ 1
    @IGJacklove 不能确定,而且原文已 404 https://archive.ph/mP3bh
    这个泄露需要同时满足 内网+地址+key
    picone
        16
    picone  
       2022-07-04 09:51:08 +08:00   ❤️ 4
    @Soar360 #9 还钱没关系,接受了这个工资就得干活干到位,不接受就自己走。 你希望飞机的机组因为工资给的少然后摆烂随便查查就算了嘛?这个是国内的现状。
    iosyyy
        17
    iosyyy  
    OP
       2022-07-04 09:54:35 +08:00 via Android
    @SunsetShimmer 就说这个离谱上面图里给外网链接下面给 accessid 绝了
    picone
        18
    picone  
       2022-07-04 09:58:50 +08:00   ❤️ 3
    @iosyyy #17 我猜以前没隔绝,所以被人一直订阅着,最近隔离了才爆出来,毕竟数据收集越多越值钱。
    tairan2006
        19
    tairan2006  
       2022-07-04 10:06:27 +08:00
    结论是别写博客,有个屁用:)
    eviladan0s
        20
    eviladan0s  
       2022-07-04 10:07:56 +08:00 via iPhone   ❤️ 1
    作为网安行业从业者想说:防得住漏洞,但是防不住 xx
    zhuangzhuang1988
        21
    zhuangzhuang1988  
       2022-07-04 10:09:00 +08:00   ❤️ 1
    @tairan2006 同意, 大部分都 helloworld 的 blog 远不如官方文档.
    yaott2020
        22
    yaott2020  
       2022-07-04 10:11:59 +08:00 via Android   ❤️ 1
    这真的很暴露某些机关安全意识过于薄弱,这种极其敏感数据直接挂在云上?就算是要挂在云上不应该买条专线专门访问吗?
    aogu555
        23
    aogu555  
       2022-07-04 10:14:18 +08:00   ❤️ 2
    @yaott2020 不仅仅是安全意识的问题,还有追责问题,没有人为此事负责才是最大的问题。
    yaott2020
        24
    yaott2020  
       2022-07-04 10:18:26 +08:00 via Android   ❤️ 1
    更可怕的是国内不知道有多少机关是这么干的。。。
    anzu
        25
    anzu  
       2022-07-04 10:22:18 +08:00   ❤️ 20
    阿里云一直在监控 github 上的代码是否含有 accesskey ,但是估计没想到居然在 csdn 有泄漏。日常被各位鄙视的 csdn 用户这下整了个绝活,笑死。
    LudwigWS
        26
    LudwigWS  
       2022-07-04 10:24:00 +08:00 via iPhone   ❤️ 1
    这个网站不是被墙了吗,为什么不能谈论
    Mithril
        27
    Mithril  
       2022-07-04 10:26:05 +08:00   ❤️ 13
    @anzu 可能是没想到真的有人会在 CSDN 上写原创内容。。。
    0x49
        28
    0x49  
       2022-07-04 10:29:37 +08:00   ❤️ 1
    - boss:有部分开发嫌弃管理权限太死,权限配置麻烦,等等各种花式原因申请用 admin 权限去做开发..简直荒唐..
    - 开发:"工资又不加,工期还紧,甲方又不在意这些细节,能节省节省,能偷懒偷懒"
    Soar360
        29
    Soar360  
       2022-07-04 10:43:52 +08:00
    gov 要是从此不让用 ES 就……
    potatowish
        30
    potatowish  
       2022-07-04 10:45:17 +08:00 via iPhone
    有一个很不好的习惯,喜欢大段大段的注释代码,然后又不删……

    在代码中暴露敏感配置是一个原因,编码习惯是另一个原因。
    Mac
        31
    Mac  
       2022-07-04 10:46:26 +08:00   ❤️ 4
    我想的是 CSDN 是不是要完了?
    component
        32
    component  
       2022-07-04 10:47:06 +08:00   ❤️ 6
    这么重要的东西也外包,烂就是自上而下的,这是我们为何那么卷的根本原因。
    iosyyy
        33
    iosyyy  
    OP
       2022-07-04 10:50:31 +08:00 via Android
    @LudwigWS 因为昨天很多讨论这个事的帖子都被 404 了
    iosyyy
        34
    iosyyy  
    OP
       2022-07-04 10:50:45 +08:00 via Android
    @LudwigWS 所以加了一句
    xiangyuecn
        35
    xiangyuecn  
       2022-07-04 10:59:30 +08:00
    2020 年 8 月 26 日,CSDN ,这才叫大隐隐于市啊,说这家伙不是间谍我都不信🐶 把金子晾在外面晒,完全不会缩水,安全的很🐶
    steveway
        36
    steveway  
       2022-07-04 11:01:44 +08:00   ❤️ 2
    1. 这么重要的数据为什么放外网
    2. 一个外包程序员都能拿到如此隐私数据,估计都不知道泄漏多少次了。
    smallyu
        37
    smallyu  
       2022-07-04 11:04:56 +08:00   ❤️ 6
    要是 gov 动手把 csdn 关了多好 🐶
    Silently
        38
    Silently  
       2022-07-04 11:06:31 +08:00 via iPhone   ❤️ 4
    最近的瓜真是越来越多也越来越大、微博一点水花都没有、冷处理 泄漏就这样白泄漏了 还信息安全呢 上面都烂透了
    iosyyy
        39
    iosyyy  
    OP
       2022-07-04 11:08:49 +08:00 via Android
    @smallyu 雀氏 csdn 赶紧死吧
    hubaq
        40
    hubaq  
       2022-07-04 11:08:51 +08:00   ❤️ 1
    20 年的写了,22 年报出来,理论上 oss-cn-shanghai-shga-d01-a-ops.ga.sh 应该是逻辑隔离,
    公安内网是 3.0.0.0/8,6.0.0.0/8,12.0.0.0/8 ,但出问题的时候,解析到 15.x.x.x 了
    但估计最近某个地方配置失误导致公网可以访问
    nikubenki
        41
    nikubenki  
       2022-07-04 11:12:43 +08:00
    @LudwigWS #26 昨天谈论泄露的帖子都被删了,可以说是墙外有墙👍
    lazyfighter
        42
    lazyfighter  
       2022-07-04 11:15:19 +08:00
    我比较好奇为什么相关文章 404 了
    icyalala
        43
    icyalala  
       2022-07-04 11:16:44 +08:00   ❤️ 6
    其实本质在于对隐私数据收集得越来越多、对权限下放得越来越多,那数据泄露的概率也越来越大
    而且我毫不怀疑有更多数据早就被泄露了,只是没曝光出来
    adoal
        44
    adoal  
       2022-07-04 11:26:31 +08:00
    生产环境的配置不应该写在代码里

    再加强一点,所有配置都不应该写在代码里

    再加强一点,服务器软件的配置就不应该写在项目代码 /运行时环境的路径和子路径里,也不提倡写在运行服务器的帐户的家目录里,最好按照操作系统生态的惯例,写在全局配置的空间
    liuidetmks
        45
    liuidetmks  
       2022-07-04 11:30:42 +08:00
    这种东西有什么值得写博客的。
    Mateverse
        46
    Mateverse  
       2022-07-04 11:32:19 +08:00
    一整篇文章,90%的内容都是整个复制下来的代码,复制下来的文字和图片。

    这样的文章有什么可写性和可读性。
    felixcode
        47
    felixcode  
       2022-07-04 11:32:43 +08:00
    还是缺乏安全意识,这几行注释看到就应该知道是坐牢级别的。
    iosyyy
        48
    iosyyy  
    OP
       2022-07-04 11:33:43 +08:00
    @liuidetmks 雀氏文档里写的不比他清楚吗(当然阿里云的文档也是一塌糊涂)
    blessingsi
        49
    blessingsi  
       2022-07-04 11:34:48 +08:00   ❤️ 2
    肯定不只是这一个点导致泄露的吧。一是内网问题,二,我也很难想象单纯通过网络下载拖走 20 多个 T 数据,难道一直下载了很久都没人发现吗
    zhongjun96
        50
    zhongjun96  
       2022-07-04 11:36:06 +08:00   ❤️ 3
    @blessingsi 20 年的文章。2 年 20T 。基本没啥问题。
    imycc
        51
    imycc  
       2022-07-04 11:37:59 +08:00
    在代码里硬编码账号密码,是不好的行为。就算要调试吧,也应该用调试账号。直接用线上的、权限过大的账号调试就是作死。除非他们正式测试是同一个账号。。那就有点脑溢血了
    yvescheung
        52
    yvescheung  
       2022-07-04 11:40:32 +08:00
    这下众生平等了,所有人信息都泄漏等于所有人信息都没泄漏。
    wdssmq
        53
    wdssmq  
       2022-07-04 11:43:48 +08:00
    想起一个问题,,Markdown 里怎么用变量?

    比如一段命令行代码,我自己复制执行时可以让其中的密码渲染为实际要用的,发博客教程时则变成示例信息。。
    lxzxl
        54
    lxzxl  
       2022-07-04 11:44:31 +08:00
    @StrongNoodles #12 损失已经造成了,只能私下处理相关人。不然等于告诉别人,官方证实是真实数据,快去买吧
    liuidetmks
        55
    liuidetmks  
       2022-07-04 11:56:02 +08:00   ❤️ 1
    问个题外话,黑客会再里面删除自己的信息吗?
    删了可能会暴露自己。
    不删的话自己也受害
    liangkang1436
        56
    liangkang1436  
       2022-07-04 11:58:46 +08:00 via Android
    @liuidetmks 好问题,我猜不会
    shijingshijing
        57
    shijingshijing  
       2022-07-04 12:02:53 +08:00
    对普通人最大的影响应该是以后动不动就要刷脸了吧。。。

    我先把话说了放这里。
    liuidetmks
        58
    liuidetmks  
       2022-07-04 12:13:34 +08:00
    再问一个,如此大量大数据下载,阿里云没警报吗
    dfgxcvbcv
        59
    dfgxcvbcv  
       2022-07-04 12:18:19 +08:00   ❤️ 1
    谁说 csdn 没有好东西🐶
    mcone
        60
    mcone  
       2022-07-04 12:26:58 +08:00
    坐看 csdn 什么时候被铁拳,乌云发来贺电
    dousha99
        61
    dousha99  
       2022-07-04 12:29:33 +08:00   ❤️ 2
    @liuidetmks 我怀疑是小批量一点点地把数据漏干净的,不然也不会花 2 年的时间才爆出来这个问题。现在这个情况是只能怀疑所有人手头都有一份全国居民信息镜像了
    pwrliang
        62
    pwrliang  
       2022-07-04 12:32:19 +08:00
    估计过一阵这个数据人手一份了,身份证号也不需要保密了
    wangyzj
        63
    wangyzj  
       2022-07-04 13:20:44 +08:00
    为啥这么高权限的东西不做网络隔离
    z0wjqnxi
        64
    z0wjqnxi  
       2022-07-04 13:25:42 +08:00   ❤️ 1
    'AccessKeyId= site:csdn.net' [doge]
    MonkeyCoder
        65
    MonkeyCoder  
       2022-07-04 13:50:36 +08:00
    这数据价值要十个比特币说实话不贵
    BeautifulSoap
        66
    BeautifulSoap  
       2022-07-04 13:55:45 +08:00   ❤️ 8
    没想到怎么都整不死的 csdn 会在这上面跌倒,真的希望 csdn 人有事,网站赶紧炸了

    还有,大家可以的话尽量告诉身边人一定要注意今后的电信诈骗了。这数据泄漏后,电信诈骗的成功率真的会提升不止一星半点
    proxychains
        67
    proxychains  
       2022-07-04 13:58:36 +08:00
    环境变量吧还是...
    ychost
        68
    ychost  
       2022-07-04 14:06:38 +08:00
    一般这种连接 OSS 的问题,就不需要发文章,直接用接口就行了
    cat9life
        69
    cat9life  
       2022-07-04 14:11:23 +08:00
    这个也太过于可怕
    iosyyy
        70
    iosyyy  
    OP
       2022-07-04 14:31:04 +08:00
    可能是因为获取途径比较简单吧..而且这数据要是全的估计要不了几个月就 free 了
    iosyyy
        71
    iosyyy  
    OP
       2022-07-04 14:31:28 +08:00   ❤️ 1
    @MonkeyCoder 可能是因为获取途径比较简单吧..而且这数据要是全的估计要不了几个月就 free 了
    leavelet
        72
    leavelet  
       2022-07-04 14:35:16 +08:00
    这老哥还到处留自己的 qq 邮箱,我只能说,我不懂,但是我大为震撼
    tooroot
        73
    tooroot  
       2022-07-04 14:40:49 +08:00
    网络都是物理隔开的,好奇怎么偷的?现在真假还是未知数吧,样本数量很少,另外也没什么敏感信息(各种渠道已经泄露的差不多了);

    如果是真的,报价也太低了
    iosyyy
        74
    iosyyy  
    OP
       2022-07-04 14:50:48 +08:00   ❤️ 1
    @tooroot 我个人觉得如果是假的 官老爷们早就跳出来了 报价雀氏太低了..感觉可能是获取途径简单(存疑) 看后续社工库更不更新吧 要是更新肯定就是真的了
    xwcs
        75
    xwcs  
       2022-07-04 15:18:15 +08:00
    只能说这哥们确实是个鬼才,敢把生产代码+accesskey 公开丢到博客上,建议这老哥赶紧买机票跑吧,牢底坐穿的情况了。
    013231
        76
    013231  
       2022-07-04 15:32:46 +08:00   ❤️ 1
    @tooroot 样本文件都有几百 MB 了,这还算少吗?案情信息别的渠道会有吗?
    ryd994
        77
    ryd994  
       2022-07-04 15:43:35 +08:00 via Android
    @Mithril 防得住。比如我厂生产环境访问必须用专用的安全工作站,登入只允许智能卡,同时需要另一人审批。部署代码需要走流程由两人审批。

    运行所需的密钥有密钥分发服务直接部署到生产服,而且大部分是专用内网,就算密钥泄露也没用。

    我大可以把我的密码告诉你,但是你拿去没有任何用。

    我们之前测试服在企业内网,没有任何用户数据就纯测试,密码写在内部笔记里。没多久就被安全团队端了。测试服全部没收,清数据后按要求搬到机房里。
    lower
        78
    lower  
       2022-07-04 16:05:31 +08:00   ❤️ 4
    大惊小怪,当年 csdn 还明文保存用户密码呢……没被脱裤谁能想到这种技术网站安全竟然如此之低
    laolaowang
        79
    laolaowang  
       2022-07-04 16:07:03 +08:00
    哈哈,我还说这是怎么泄露的,原来是这里啊!!! 笑死
    liuidetmks
        80
    liuidetmks  
       2022-07-04 16:28:11 +08:00   ❤️ 1
    @dousha99 不是,看上面有人说,这个数据库以前只能内网访问的,是近期改出问题,造成公网能访问,结果就是这一个窗口期,被人利用了
    SonyIsGuilly
        81
    SonyIsGuilly  
       2022-07-04 16:30:58 +08:00   ❤️ 1
    @liuidetmks 听说这个早在 2021 年就在黑市上传开了
    yolee599
        82
    yolee599  
       2022-07-04 16:33:05 +08:00
    @StrongNoodles #12 能怎么办,公开说数据是真实的,大家一起骂?还是公开说数据是假的?还不如捂着少一事不如多一事
    linuxyz
        83
    linuxyz  
       2022-07-04 16:38:00 +08:00
    access key 居然从不失效,也是让人不能理解,可能也是某云的特色吧。实际上纵然了 hard code access key 到代码里的行为。 真是抄作业都抄不好!

    话说前几个月,我司有个外派把他个人的 access key 上传到了 GitHub, (key 会几小时过期)
    当天就被 security team 给揪住冻结了所有账户。
    原理就是:我司劫持了员工的所有上网浏览,白名单访问 Internet 。
    yyysuo
        84
    yyysuo  
       2022-07-04 16:45:37 +08:00
    @liuidetmks 估计是特殊用户,资源不限,不能监控,划到白名单里面的吧。
    qrobot
        85
    qrobot  
       2022-07-04 16:47:27 +08:00   ❤️ 1
    只是希望发布者不要免费,如果只是售价 10BTC 我相信大部分都不会买。
    ngn999
        86
    ngn999  
       2022-07-04 16:48:52 +08:00
    @linuxyz 是不是在电脑上要求员工装了公司的安全软件(监控软件)?
    linuxyz
        87
    linuxyz  
       2022-07-04 16:57:46 +08:00
    @ngn999 那是必须的,还不止一个。没有 PC 端的配合,是不太容易监控所有网络流量的。SSL/TLS 毕竟也不是白给的。
    cat9life
        88
    cat9life  
       2022-07-04 16:58:11 +08:00
    @ryd994 “我大可以把我的密码告诉你,但是你拿去没有任何用。” 你这个思想是很危险的,物理攻击、近源攻击。
    codingBug
        89
    codingBug  
       2022-07-04 17:05:03 +08:00
    愿意分享本身是一件好事,但是呢,为了提供正确的配置,这难免会有一些纰漏。

    归根结底,难道内网数据流出,都没个运维监控?还不是那群人觉得运维这个岗位没什么用导致的
    R18
        90
    R18  
       2022-07-04 17:11:13 +08:00   ❤️ 1
    按照描述还有一个疑点某地如何拥有的 10E 公民数据?全国才 14E 人啊,10E 人都去过某地吗,所以被缓存了?
    cest
        91
    cest  
       2022-07-04 17:16:03 +08:00
    @codingBug #89 因爲是人手一份,各自变现
    直到一个没有变现渠道的...
    tediorelee
        92
    tediorelee  
       2022-07-04 17:19:10 +08:00   ❤️ 1
    @R18 因为都是用的同一个大内网吧,10E 我估计是除开了老的小的没有用手机或者什么电子设备的吧
    iosyyy
        93
    iosyyy  
    OP
       2022-07-04 17:27:09 +08:00 via Android
    @R18 死人啥的都算上了吧
    WeweHave
        94
    WeweHave  
       2022-07-04 17:42:13 +08:00 via iPhone
    还有几亿新生儿+没办身份证的?
    liuidetmks
        95
    liuidetmks  
       2022-07-04 17:49:00 +08:00
    @linuxyz 咋个劫持? ssh 也能破?
    linuxyz
        96
    linuxyz  
       2022-07-04 18:09:24 +08:00
    @liuidetmks 应该是搞了一个类似 VPN 的东西劫持了 PC 的所有外网流量,所有的外网网络流量都走公司的服务器,而且公司在本地强制植入了一个根证书, 所有访问 HTTPS 的流量都是用公司的根证书认证的。实际上一个典型的 man-in-middle 的模式,因此所有的流量都被公司监视。

    通过这个模式 SSH 应该也可以搞,但是会被用户发现,只是公司压根就不允许 SSH 外网。
    q1angch0u
        97
    q1angch0u  
       2022-07-04 19:04:24 +08:00 via iPhone
    “实习生”
    iosyyy
        98
    iosyyy  
    OP
       2022-07-04 19:26:55 +08:00 via Android
    @q1angch0u 实习生都不会干这种蠢事 太蠢了以至于我不知道怎么形容好
    GeruzoniAnsasu
        99
    GeruzoniAnsasu  
       2022-07-04 20:07:37 +08:00   ❤️ 3
    如何评价?

    https://github.com/search?q=baidu++authkey&type=code

    我的评价是,开源真好
    lucays
        100
    lucays  
       2022-07-04 20:33:03 +08:00 via Android
    有没有法师来分析一下这人要坐多久的牢?
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5226 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 08:51 · PVG 16:51 · LAX 00:51 · JFK 03:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.