The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Невозможность удаления данных, по ошибке опубликованных на G..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Невозможность удаления данных, по ошибке опубликованных на G..."  +/
Сообщение от opennews (??) on 31-Дек-14, 10:39 
Джордан Райт (Jordan Wright) рассмотрел (https://jordan-wright.github.io/blog/2014/12/30/why-deleting.../) ситуацию с удалением по ошибке опубликованных на GitHub данных, например, паролей, ключей доступа или информации, не предназначенной для публичного доступа. Несмотря на наличие в GitHub специальных средств (https://help.github.com/articles/remove-sensitive-data/) для полного вычищения определённых изменений из репозиториев, на деле попавшую на GitHub информацию можно считать безвозвратно открытой для публики.

Причиной невозможности удалить данные даже, если того пожелает администрация GitHub, является проект GHTorrent (http://ghtorrent.org/), который через  Github REST API отслеживает все изменения на GitHub и оперативно зеркалирует их в независимом распределённом хранилище. Таким образом, если в Github случайно оказался сохранён пароль доступа, необходима его срочная смена, а если в репозиторий сохранен не предназначенный для публикации код, то стоит смириться с его доступностью для всех желающих.

В качестве примера того, что утечки данных активно отслеживаются и используются злоумышленниками,  приводится произошедший на днях случай (http://www.devfactor.net/2014/12/30/2375-amazon-mistake/) с одним из разработчиков на языке Ruby, который сохранил на Github тестовое приложение, забыв удалить параметры входа в Amazon AWS. На следующий день пользователь обнаружил 140 запущенных окружений Amazon EC2, выполняющих майнинг bitcoin. Размер счёта за работу данных окружений составил $2375. И это при том, что публикация пароля была совершена в никому неизвестном репозитории, сразу замечена и данные были удалены в течение 5 минут после их появления.

URL: https://jordan-wright.github.io/blog/2014/12/30/why-deleting.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=41370

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


11. "Невозможность удаления данных, по ошибке опубликованных на G..."  +5 +/
Сообщение от Аноним (??) on 31-Дек-14, 12:51 
> разработчиков на языке Ruby, который сохранил на Github тестовое приложение, забыв удалить параметры входа в Amazon AWS. На следующий день пользователь обнаружил 140 запущенных окружений Amazon EC2, выполняющих майнинг bitcoin. Размер счёта за работу данных окружений составил $2375.

Как то раз, я оставил на скамейке в метро кошелек с деньгами. Вернулся через 5 минут - а денег то и нет. Но виноват проектировщик скамеек, на которых так легко оставлять кошельки!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Невозможность удаления данных, по ошибке опубликованных на G..."  +2 +/
Сообщение от Sova (??) on 31-Дек-14, 14:20 
Не виноват. Но предупреждают, что скамейка привлекает множество "умных" людей.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

25. "Невозможность удаления данных, по ошибке опубликованных на G..."  +/
Сообщение от jh on 31-Дек-14, 20:35 
не корректное сравнение. ближе - вы достали карточку на 5 минут, ее сфотографировали и заказали на ebay кучу товара.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

30. "Невозможность удаления данных, по ошибке опубликованных на G..."  +/
Сообщение от Аноним (??) on 01-Янв-15, 10:18 
> сфотографировали и заказали на ebay кучу товара.

Ты еще скажи что печатаешь пинкод не прикрывая клавиатуру рукой и не проверяя что это настоящая клавиатура, а не подкладка. И даже не смущаясь взглядя подозрительного типа из-за спины.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

15. "Невозможность удаления данных, по ошибке опубликованных на G..."  +/
Сообщение от Нанобот (ok) on 31-Дек-14, 14:18 
кстати, чуваку простили эти $2375
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Невозможность удаления данных, по ошибке опубликованных на G..."  +1 +/
Сообщение от Alexander (ok) on 31-Дек-14, 16:15 
а прочитать первоисточник?
"Lucky for me, I explained my situation to Amazon customer support – and they knew I wasn’t bitcoin mining all night. Amazon was kind enough to drop the charges this time…"
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Невозможность удаления данных, по ошибке опубликованных на G..."  +2 +/
Сообщение от Нанобот (ok) on 31-Дек-14, 16:53 
ну так я об этом и писал
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Невозможность удаления данных, по ошибке опубликованных на G..."  +/
Сообщение от Alexander (ok) on 31-Дек-14, 17:35 
> ну так я об этом и писал

упс. увидел суслика в смысле знак вопроса :) сорри

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Невозможность удаления данных, по ошибке опубликованных на G..."  +1 +/
Сообщение от Аноним (??) on 31-Дек-14, 18:31 
> кстати, чуваку простили эти $2375

Облака вообще интересны возможностью попасть на много денег. Видал как-то залет на почти 5К зелени в Azure. И нет, микрософт жадный, не простил.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Невозможность удаления данных, по ошибке опубликованных на G..."  +4 +/
Сообщение от Аноним (??) on 31-Дек-14, 14:56 
Надуманная проблема. Если данные утекли в сеть хоть и на 10 секунд, то по хорошему надо все пароли сменить и ключи перегенерить. Или мы так сильно доверяем администрации гита?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Невозможность удаления данных, по ошибке опубликованных на G..."  +2 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 31-Дек-14, 23:46 
Этот чел относится к категории людей которые считают что упавший бутерброд в грязь не более чем на 3 секунды можно поднять и съесть.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Невозможность удаления данных, по ошибке опубликованных на G..."  +1 +/
Сообщение от Аноним (??) on 31-Дек-14, 18:49 
Более того, гитхабовский гайд по удалению приватной инфы из репы так и говорит - Меняйте пароли/ключи! А потом вычищайте реп.
Чувак понадеелся на авось.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Невозможность удаления данных, по ошибке опубликованных на G..."  +2 +/
Сообщение от pavlinux (ok) on 31-Дек-14, 22:48 
Посаны, по ГОСТу, DoDy, ФЕНШУЙю - комп, подключенный к сети, уже считается недоверенным узлом/устройством.  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Невозможность удаления данных, по ошибке опубликованных на G..."  +1 +/
Сообщение от Аноним (??) on 01-Янв-15, 07:23 
ЧСХ, на это есть определенные причины. Вполне валидные.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Невозможность удаления данных, по ошибке опубликованных на G..."  –1 +/
Сообщение от edwin3d email(ok) on 01-Янв-15, 09:57 
Скупой платит дважды, убеждаемся в очередной раз.
Если мальчик говнокодер не в курсе, что все не приватные репозитарии открыты для публичного доступа .... это все равно, что я положу кошелек с баблом на никому не известной лавке в парке, а на входе в парк будет выведена информация где и что оставлено.
Есть желание что-то скрыть - возьми приватный репозитарий.
Хочешь много - бери сервант, разворачивай GitLab и ...
Новость для говнокодерья конечно полезная, но по сути ...  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Невозможность удаления данных, по ошибке опубликованных на G..."  +1 +/
Сообщение от Аноним (??) on 01-Янв-15, 10:22 
> Есть желание что-то скрыть - возьми приватный репозитарий.

...а потом случайно узнай что по факту - у кого сервера, тот и прав, а "приватный" реп - не такой уж и приватный, например :)

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "Невозможность удаления данных, по ошибке опубликованных..."  +/
Сообщение от arisu (ok) on 01-Янв-15, 11:27 
>> Есть желание что-то скрыть - возьми приватный репозитарий.
> ...а потом случайно узнай что по факту - у кого сервера, тот
> и прав, а "приватный" реп - не такой уж и приватный,
> например :)

угу. я так думаю, куча народа уже крутит в руках исходники четвёртого анрыла. сколько там открытый клон провисел?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Невозможность удаления данных, по ошибке опубликованных на G..."  +/
Сообщение от edwin3d email(ok) on 01-Янв-15, 12:48 
>> Есть желание что-то скрыть - возьми приватный репозитарий.
> ...а потом случайно узнай что по факту - у кого сервера, тот
> и правменторовский

Гражданин хороший, мне лично кажется, Вы как-то невнимательно читали новость.
В статье описан конкретный case, когда тело спутало публичный и приватный репозитарии.
При это наивно полагая, что раз о репозитарии "никто не знает", то и бояться нечего.
Мне совершенно не понятен Ваш менторский пассаж про очевидный факт, что мол владельцы серверов владеют и информацией. Это факт, который мы вообще не обсуждаем в силу его очевидности.
Мы говорим про иное - про тот факт, что пожалев 7$ (мин. тариф. план) и не понимая сути работы GitHub, он чуть не потерял более 2К $, причем деньги вернул сам Amazon.

Если у Вас есть информация, что доступ к приватным репам возможен с помощью API без авторизации - давайте обсуждать.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру