Джордан Райт (Jordan Wright) рассмотрел (https://jordan-wright.github.io/blog/2014/12/30/why-deleting.../) ситуацию с удалением по ошибке опубликованных на GitHub данных, например, паролей, ключей доступа или информации, не предназначенной для публичного доступа. Несмотря на наличие в GitHub специальных средств (https://help.github.com/articles/remove-sensitive-data/) для полного вычищения определённых изменений из репозиториев, на деле попавшую на GitHub информацию можно считать безвозвратно открытой для публики.Причиной невозможности удалить данные даже, если того пожелает администрация GitHub, является проект GHTorrent (http://ghtorrent.org/), который через Github REST API отслеживает все изменения на GitHub и оперативно зеркалирует их в независимом распределённом хранилище. Таким образом, если в Github случайно оказался сохранён пароль доступа, необходима его срочная смена, а если в репозиторий сохранен не предназначенный для публикации код, то стоит смириться с его доступностью для всех желающих.
В качестве примера того, что утечки данных активно отслеживаются и используются злоумышленниками, приводится произошедший на днях случай (http://www.devfactor.net/2014/12/30/2375-amazon-mistake/) с одним из разработчиков на языке Ruby, который сохранил на Github тестовое приложение, забыв удалить параметры входа в Amazon AWS. На следующий день пользователь обнаружил 140 запущенных окружений Amazon EC2, выполняющих майнинг bitcoin. Размер счёта за работу данных окружений составил $2375. И это при том, что публикация пароля была совершена в никому неизвестном репозитории, сразу замечена и данные были удалены в течение 5 минут после их появления.
URL: https://jordan-wright.github.io/blog/2014/12/30/why-deleting.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41370
> разработчиков на языке Ruby, который сохранил на Github тестовое приложение, забыв удалить параметры входа в Amazon AWS. На следующий день пользователь обнаружил 140 запущенных окружений Amazon EC2, выполняющих майнинг bitcoin. Размер счёта за работу данных окружений составил $2375.Как то раз, я оставил на скамейке в метро кошелек с деньгами. Вернулся через 5 минут - а денег то и нет. Но виноват проектировщик скамеек, на которых так легко оставлять кошельки!
Не виноват. Но предупреждают, что скамейка привлекает множество "умных" людей.
не корректное сравнение. ближе - вы достали карточку на 5 минут, ее сфотографировали и заказали на ebay кучу товара.
> сфотографировали и заказали на ebay кучу товара.Ты еще скажи что печатаешь пинкод не прикрывая клавиатуру рукой и не проверяя что это настоящая клавиатура, а не подкладка. И даже не смущаясь взглядя подозрительного типа из-за спины.
кстати, чуваку простили эти $2375
а прочитать первоисточник?
"Lucky for me, I explained my situation to Amazon customer support – and they knew I wasn’t bitcoin mining all night. Amazon was kind enough to drop the charges this time…"
ну так я об этом и писал
> ну так я об этом и писалупс. увидел суслика в смысле знак вопроса :) сорри
> кстати, чуваку простили эти $2375Облака вообще интересны возможностью попасть на много денег. Видал как-то залет на почти 5К зелени в Azure. И нет, микрософт жадный, не простил.
Надуманная проблема. Если данные утекли в сеть хоть и на 10 секунд, то по хорошему надо все пароли сменить и ключи перегенерить. Или мы так сильно доверяем администрации гита?
Этот чел относится к категории людей которые считают что упавший бутерброд в грязь не более чем на 3 секунды можно поднять и съесть.
Более того, гитхабовский гайд по удалению приватной инфы из репы так и говорит - Меняйте пароли/ключи! А потом вычищайте реп.
Чувак понадеелся на авось.
Посаны, по ГОСТу, DoDy, ФЕНШУЙю - комп, подключенный к сети, уже считается недоверенным узлом/устройством.
ЧСХ, на это есть определенные причины. Вполне валидные.
Скупой платит дважды, убеждаемся в очередной раз.
Если мальчик говнокодер не в курсе, что все не приватные репозитарии открыты для публичного доступа .... это все равно, что я положу кошелек с баблом на никому не известной лавке в парке, а на входе в парк будет выведена информация где и что оставлено.
Есть желание что-то скрыть - возьми приватный репозитарий.
Хочешь много - бери сервант, разворачивай GitLab и ...
Новость для говнокодерья конечно полезная, но по сути ...
> Есть желание что-то скрыть - возьми приватный репозитарий....а потом случайно узнай что по факту - у кого сервера, тот и прав, а "приватный" реп - не такой уж и приватный, например :)
>> Есть желание что-то скрыть - возьми приватный репозитарий.
> ...а потом случайно узнай что по факту - у кого сервера, тот
> и прав, а "приватный" реп - не такой уж и приватный,
> например :)угу. я так думаю, куча народа уже крутит в руках исходники четвёртого анрыла. сколько там открытый клон провисел?
>> Есть желание что-то скрыть - возьми приватный репозитарий.
> ...а потом случайно узнай что по факту - у кого сервера, тот
> и правменторовскийГражданин хороший, мне лично кажется, Вы как-то невнимательно читали новость.
В статье описан конкретный case, когда тело спутало публичный и приватный репозитарии.
При это наивно полагая, что раз о репозитарии "никто не знает", то и бояться нечего.
Мне совершенно не понятен Ваш менторский пассаж про очевидный факт, что мол владельцы серверов владеют и информацией. Это факт, который мы вообще не обсуждаем в силу его очевидности.
Мы говорим про иное - про тот факт, что пожалев 7$ (мин. тариф. план) и не понимая сути работы GitHub, он чуть не потерял более 2К $, причем деньги вернул сам Amazon.Если у Вас есть информация, что доступ к приватным репам возможен с помощью API без авторизации - давайте обсуждать.