V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chrysalis2h
V2EX  ›  分享发现

各位,不要把 github 当成你的私密备忘录

  •  
  •   chrysalis2h · 2018-06-30 14:10:09 +08:00 · 5871 次点击
    这是一个创建于 2342 天前的主题,其中的信息可能已经有所发展或是发生改变。

    早上看到一篇文章,说有一位程序员把自己服务器的登录信息上传到 github 上面,public 的。当然,所有人都可以看到,然后这位兄台的服务器就被人用来挖矿了,有热心网友发现问题后,删除了挖矿程序,安装了火绒。 原文链接找不到了。。。。。

    然后看到后,我也去尝试性的搜了下关键词《密码》、《邮箱密码》等,发现有好多发送邮件的代码,邮箱及密码都没有注释掉。 当成工作记录也无所谓,但是入职申请的一些账号密码就不要记录在上面了吧。

    看到这个的各位,还是去看看自己有没有犯这样的错误。 还是提醒一下各位:github 项目默认都是公开的,自己的隐私、用户名密码还是要记得删除掉再上传。 不要抱有侥幸心理!!

    17 条回复    2018-07-01 19:20:49 +08:00
    Nitroethane
        1
    Nitroethane  
       2018-06-30 14:41:41 +08:00 via Android
    稍微靠谱点的公司应该会有检查工具之类的吧。代码上传到 GitHub 之前跑一下工具看有没有敏感数据之类的。
    nieyujiang
        2
    nieyujiang  
       2018-06-30 14:44:21 +08:00
    按理说这些配置 key 的东西应该放在一个统一的文件里面吧,然后把这个文件忽略掉.难道我记错了.
    klesh
        3
    klesh  
       2018-06-30 17:20:06 +08:00
    楼主,注释掉是不行的。你是想说删除掉吧?
    chinvo
        4
    chinvo  
       2018-06-30 17:26:37 +08:00   ❤️ 1
    正确做法是所有可配置项放到配置文件,并用 .gitignore 忽略

    涉密内容用 Valut,并把 Valut 配置放环境变量或者配置文件
    est
        5
    est  
       2018-06-30 17:28:33 +08:00 via Android
    什么? githib 不就是永硕网盘么?
    blackjar
        6
    blackjar  
       2018-06-30 17:39:32 +08:00   ❤️ 1
    10_million_password_list_top_999_Without_dolphins.txt
    input2output
        7
    input2output  
       2018-06-30 19:03:56 +08:00   ❤️ 1
    TripleZ
        8
    TripleZ  
       2018-06-30 19:05:28 +08:00 via Android
    开源其实还是要做很多工作的吧…… 可以理解成对自己开源代码不负责…
    mritd
        9
    mritd  
       2018-06-30 19:12:39 +08:00 via iPhone
    其实,你发到这里,基本看到的人都有这种尝试😂
    oracle128g
        10
    oracle128g  
       2018-06-30 19:16:18 +08:00 via iPhone
    我的阿里云 rds 就是直接 push 上去了的,但是设置了 IP 白名单
    dorothyREN
        11
    dorothyREN  
       2018-06-30 19:28:01 +08:00
    前两天还看到一个仓库里面都是服务器账号密码,于是我好心的 fork 了一下。
    limbo0
        12
    limbo0  
       2018-06-30 19:39:57 +08:00 via Android
    黑客早就做渗透了,会挖掘 github 上的信息
    loading
        13
    loading  
       2018-06-30 19:40:07 +08:00 via iPhone
    直接把配置文件放到其他文件夹或者系统变量里面,gitignore 我还是不放心。
    agdhole
        14
    agdhole  
       2018-06-30 19:58:59 +08:00 via Android
    统一放在 .env
    msg7086
        15
    msg7086  
       2018-07-01 03:09:55 +08:00
    Rails 5.2 的 Encrypted Credentials 了解一下。
    likuku
        16
    likuku  
       2018-07-01 09:28:17 +08:00
    登录信息?君不见最近两三年里因为员工把 ssh 私 key 丢上 github 公开项目,导致的一些严重安全事故。
    oIMOo
        17
    oIMOo  
       2018-07-01 19:20:49 +08:00 via Android
    曾经不小心把含密码的配置文件 push 上去,一分钟之内撤掉了。

    从此以后,一定先 gitignore
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3510 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:49 · PVG 12:49 · LAX 20:49 · JFK 23:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.