URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88365
[ Назад ]
Исходное сообщение
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено opennews , 25-Янв-13 18:05 
На днях сервис GitHub ввёл в строй (https://github.com/blog/1381-a-whole-new-code-search) новую систему поиска по репозиториям, основанную на открытом движке ElasticSearch (http://www.elasticsearch.org/) и позволяющую использовать расширенные средства фильтрации контента (например, учитывать расширения файлов) и учитывающую активность репозиториев. Находчивые пользователи сразу нашли способ (http://www.h-online.com/open/news/item/GitHub-search-exposes...) использования поиска для выуживания из репозиториев приватных файлов.


Как правило такие фалы были добавлены по ошибке и потом сразу удалены, но без физической чистки (https://help.github.com/articles/remove-sensitive-data) репозитория. С учетом версионного характера сохранения всех изменений, данные фактически остались доступны в репозитории. Например, с использованием запросов вида "BEGIN RSA PRIVATE KEY (https://github.com/search?q=extension%3Akey+BEGIN+RSA+P...)" с дополнительными фильтрами были  выявлены по ошибке добавленные приватные SSH-ключи, в том числе (https://twitter.com/0xabad1dea/status/294552123776049152) таким способом были найдены параметры входа по SSH для одного очень крупного китайского сайта. В настоящее время поисковый сервис отключен (https://status.github.com/), судя по всему из-за технических проблем с кластером.

URL: http://www.h-online.com/open/news/item/GitHub-search-exposes...
Новость: http://www.opennet.me/opennews/art.shtml?num=35925

Содержание
Сообщения в этом обсуждении
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Crazy Alex , 25-Янв-13 18:05 
Воот. Не бывает эффективных технологий, не требующих полноценного освоения. Хотели использовать в Git три команды, не понимая, как оно работает - получайте. Отчего-то не жалко таких "разработчиков" ни разу.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено rshadow , 25-Янв-13 23:00 
Все правильно. А то что в гите с каждой версией что-то в интерфейсе меняют, так это не недоработки. Это просто на потеху Торвальдсу.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Crazy Alex , 26-Янв-13 16:12 
В данном случае люди явно вообще не понимали, что такое VCS.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Аноним , 25-Янв-13 18:20 
Эврика! google://site: <target> BEGIN RSA PRIVATE KEY
Например, google://site:pastebin.com BEGIN RSA PRIVATE KEY - довольно неплохо, да :). Реально привкеи каких-то овощей попадаются :)
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено kay , 25-Янв-13 18:34 
вот только неизвестно от каких они хостов
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Аноним , 25-Янв-13 18:37 
-----BEGIN RSA PRIVATE KEY ... - 1 paste tool since 2002!
pastebin.com/fbajUhsK
Apr 19, 2010 – rbfPgYDdmgWc/lkpMufFe/-----BEGIN RSA PRIVATE KEY-----. FUCK A DUCKFUCK A DUCKFUCK A DUCKFUCK A DUCKFUCK A ...
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено аноним0 , 25-Янв-13 19:27 
в поиске гитхаба закрыли, а в поиске гугла все на месте)
https://www.google.com/search?btnG=1&pws=0&q=site:github.com...
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Аноним , 25-Янв-13 21:42 
Обновление кэща еще не произошло
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено YetAnotherOnanym , 26-Янв-13 00:47 
И чем они отличаются от недоумков, расшаривающих весь диск C: через DC-хаб?
Кстати, неплохо было бы знать имена героев, запихнувших такое в гит - чтобы потом написанный ими софт обходить за версту.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено angra , 26-Янв-13 02:02 
Недоумком здесь выглядите вы. Например человек может писать отличный софт для математических расчетов, но при этом абсолютно не разбираться в безопасности. От этого его софт хуже не станет. По большому счету забота о безопасности нужна только в довольно узком спектре задач.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Crazy Alex , 26-Янв-13 16:13 
Если человек не осваивает инструмент, которым пользуется - он недоумок. С большой вероятностью он и в других областях некомпетентен. Это примерно как работать на станке, не прочтя инструкцию по работе с ним.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено kurokaze , 26-Янв-13 21:45 
Хехе, в Чернобыле был использован РБМК с дефектной конструкцией, нарушающий предписания безопасности. Так что как не работай - получилось то что получилось
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Crazy Alex , 27-Янв-13 00:29 
Оставляя в стороне Чернобыль и разборы, что именно там произошло - версионник  несколько попроще реактора. И конкретно с гитом разобрала масса народу. Да, для этого надо прочитать мануал вроде Pro Git. Но для программиста версионник - это один из базовых инструментов, и не научиться с ним работать - верх невежества.
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Anonymous1 , 27-Янв-13 15:30 
> Хехе, в Чернобыле был использован РБМК с дефектной конструкцией, нарушающий предписания
> безопасности. Так что как не работай - получилось то что получилось

Чего только не напишут украинцы, лишь бы свалить свою вину на русских...
Там, в Чернобыле, к сожалению, только ВВЭР-ы были, как и на всех промышленных АЭС. И когда местные умники решили получать тепло (и электроэнергию) в процессе остановки реактора, полностью отключили автоматику и получили то, что получили.
А теперь пишут "реактор был аварийный" "трубы были кривые", и так далее... Вот уже и РБМК там оказался...


"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено xv , 28-Янв-13 13:56 
> Там, в Чернобыле, к сожалению, только ВВЭР-ы были

ЩИТО
http://ru.wikipedia.org/wiki/%D0%A7%D0%B...
Выучи матчасть уже, умник.

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Aktis , 29-Янв-13 00:19 
С каких пор википедия у стала истиной в последней инстанции?
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Аноним , 26-Янв-13 16:45 
> Например человек может писать отличный софт для математических расчетов, но при этом
> абсолютно не разбираться в безопасности.

Вы уж простите, но если замечательный математик не смотрит под ноги и в результате падает в открытый люк с кипятком на дне - мы таки будем считать его достойным кандидатом на премию Дарвина. Как раз за то что вроде бы умный человек, а облажался на такой элементарщине, известной даже школьникам.

Да-да, профессионализм в конкретной области ни разу не извиняет овощнутость в элемнетарщине. Узкая специализация на одной области еще не означает что во всех остальных местах надо выглядеть полным кретином.

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено ram_scan , 26-Янв-13 20:19 
> Например человек может писать отличный софт для математических расчетов, но при этом абсолютно не разбираться в безопасности. От этого его софт хуже не станет.

И много вы знаете гениев среди людей, которые себе ложку в ухо несут ? Простите, если человек не научился до седых яиц вытирать себе жопу, смотреть под ноги и мыть руки перед едой, то о каких профессиональных качествах вообще говорить можно ?

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено anonymous , 26-Янв-13 21:28 
Вспомнил Перельмана, отказавшегося от миллиона долларов :)
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено анонимус , 28-Янв-13 06:48 
от специалиста не требуется быть компетентным во всех сферах деятельности, но организовать процесс, частью которого является в том числе и безопасность, он был обязан
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено YetAnotherOnanym , 26-Янв-13 18:35 
> человек может писать отличный софт для математических расчетов, но при этом абсолютно не разбираться в безопасности

Не может такой человек писать отличный софт ни для каких целей.

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Аноним , 26-Янв-13 19:15 
> Не может такой человек писать отличный софт ни для каких целей.

Это будет тепличный рафинированный софт, разваливающийся от тычка в него пальцем. Если бы так же строили дома, то у вас обрушивался бы потолок от того что вы сели на кресло которое стояло не строго по центру комнаты. Т.к. видите ли на другие варианты рассчитано не было.

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено kurokaze , 26-Янв-13 21:47 
> Не может такой человек писать отличный софт ни для каких целей.

D. J. Bernstein смотрит на тебя с недоумением

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Crazy Alex , 27-Янв-13 00:30 
А с какого перепугу вы решили, что он не разбирается в безопасности???
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Отправлено Andrey Mitrofanov , 27-Янв-13 14:07 
> сервис GitHub ввёл

I find it fascinating that DVCS aficionados haven't noticed that GitHub takes the D out of DVCS very effectively, thereby making git actually useful for most normal people.

— Branko Čibej ///в тему~~, из декабрьского LWN.net ///А пр Hurd  там же =ближе к fbsd-ешникам