forum.opennet.ru - "GitHub по ошибке сохранял открытые пароли в логе" (19)

"GitHub по ошибке сохранял открытые пароли в логе"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"GitHub по ошибке сохранял открытые пароли в логе"	+/–
Сообщение от opennews (??) on 02-Май-18, 08:10
GitHub инициировал (https://news.ycombinator.com/item?id=16972050) процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры. Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгортима bcrypt. URL: https://news.ycombinator.com/item?id=16972050 Новость: https://www.opennet.ru/opennews/art.shtml?num=48527
Ответить \| Правка \| Cообщить модератору

Оглавление

GitHub по ошибке сохранял открытые пароли в логе, Android, 08:10 , 02-Май-18, (1) –1

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 08:34 , 02-Май-18, (2) +6

GitHub по ошибке сохранял открытые пароли в логе, Дмитрий Марков, 08:42 , 02-Май-18, (3) +2

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 09:05 , 02-Май-18, (5)

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 08:47 , 02-Май-18, (4) –5

GitHub по ошибке сохранял открытые пароли в логе, freehck, 12:17 , 02-Май-18, (8) +9

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 16:58 , 02-Май-18, (13) +1
GitHub по ошибке сохранял открытые пароли в логе, Аноним, 23:29 , 02-Май-18, (18)

GitHub по ошибке сохранял открытые пароли в логе, blackst0ne, 04:53 , 03-Май-18, (20)

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 18:07 , 03-Май-18, (21)

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 10:34 , 02-Май-18, (7) –6

GitHub по ошибке сохранял открытые пароли в логе, github, 17:00 , 02-Май-18, (14)

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 18:07 , 02-Май-18, (15)
GitHub по ошибке сохранял открытые пароли в логе, Аноним, 18:56 , 02-Май-18, (16) +1

GitHub по ошибке сохранял открытые пароли в логе, github, 20:26 , 03-Май-18, (22)

GitHub по ошибке сохранял открытые пароли в логе, KOT040188, 23:16 , 02-Май-18, (17)
GitHub по ошибке сохранял открытые пароли в логе, Аноним, 02:07 , 04-Май-18, (23)

GitHub по ошибке сохранял открытые пароли в логе, Аноним, 19:46 , 04-Май-18, (24)

GitHub и Twitter по ошибке сохраняли открытые пароли в логе, Анонимный БСДун, 00:45 , 07-Май-18, (25)

Сообщения по теме [Сортировка по времени | RSS]

1. "GitHub по ошибке сохранял открытые пароли в логе" –1 +/–

Сообщение от Android (??) on 02-Май-18, 08:10

Сменю-ка пароль на всякий случай, хоть письмо не приходило

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GitHub по ошибке сохранял открытые пароли в логе" +6 +/–

Сообщение от Аноним (??) on 02-Май-18, 08:34

> Сменю-ка пароль на всякий случай, хоть письмо не приходило
Ты уверен что хочешь вызвать функцию сброса пароля?
> Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "GitHub по ошибке сохранял открытые пароли в логе" +2 +/–

Сообщение от Дмитрий Марков on 02-Май-18, 08:42

смена пароля и сброс пароля это немного разные вещи

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от Аноним (??) on 02-Май-18, 09:05

к сожалению, гитхаб об этом не в курсе, и затронутым юзерам предлагает именно дырявый //github.com/password_reset
(типа "мы прошлый раз не уверены что хорошо записали ваш пароль, повторите-как еще раз. Оп, вот теперь мы точно его сохранили.")

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "GitHub по ошибке сохранял открытые пароли в логе" –5 +/–

Сообщение от Аноним (??) on 02-Май-18, 08:47

DevOpsы GitHub просто не умеют готовить стейжи в k8s.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "GitHub по ошибке сохранял открытые пароли в логе" +9 +/–

Сообщение от freehck (ok) on 02-Май-18, 12:17

Причём тут девопсы вообще? Тут скорее всего какой-нибудь разработчик вставил дебаг, выводящий на экран всякое разное, в том числе и пароль -- потом это кто-то плохо отревьюил (если вообще ревьюил), и таким образом это попало в прод. Никакой кубер от такого не спасёт.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "GitHub по ошибке сохранял открытые пароли в логе" +1 +/–

Сообщение от Аноним (??) on 02-Май-18, 16:58

General Data Protection Regulation (GDPR) нарушен в любом случае.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от Аноним (??) on 02-Май-18, 23:29

что забавно, в рельсах встроенная защита от этого. Тупо проверяет поле password и убирает его из вывода в лог

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от blackst0ne (ok) on 03-Май-18, 04:53

Эта штука в рельсах настраиваемая. Можно отключить, можно проглядеть, если фильтруемое поле отличается от стандатрного `password`.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от Аноним (??) on 03-Май-18, 18:07

Она по-умолчанию включена. И да, поменять password на что-то ещё можно, но именно поэтому, не рекомендуется

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

7. "GitHub по ошибке сохранял открытые пароли в логе" –6 +/–

Сообщение от Аноним (??) on 02-Май-18, 10:34

Разработчики Debian и GNOME как в воду глядели выбирая Gitlab для разворачивания на своих серверах, а не у васяна на гитхабе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от github on 02-Май-18, 17:00

да лана, нужны нам их пароли, как телеге бензонасос.
А у наших васянов живут вполне коммерческие (и не обязательно public) проекты, вот там может и парольчик пригодиться.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от Аноним (??) on 02-Май-18, 18:07

Blizzard слить с приватного гитхаба....

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "GitHub по ошибке сохранял открытые пароли в логе" +1 +/–

Сообщение от Аноним (??) on 02-Май-18, 18:56

Можно незаметно подбросить бэкдор. Уж лучше пусть на своих серверах хостят.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от github on 03-Май-18, 20:26

так его тем более интересней подбросить в закрытый проект, а то какой-нибудь излишне любопытный васян спалит всю малину.
А на своих серверах они не хочут, они хочут фыр-фыр-фыр и социальные отношения разработчиков.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от KOT040188 (ok) on 02-Май-18, 23:16

Сейчас многие переходят на гитлаб…

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от Аноним (??) on 04-Май-18, 02:07

https://blog.twitter.com/official/en_us/topics/company/2018/...
у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно, саутсорсили хранение данных пользователей кому-то третьему?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "GitHub по ошибке сохранял открытые пароли в логе" +/–

Сообщение от Аноним (??) on 04-Май-18, 19:46

> https://blog.twitter.com/official/en_us/topics/company/2018/...
> у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно,
> саутсорсили хранение данных пользователей кому-то третьему?
Явно не каждый проект строит свои датацентры. Очевидно хостятся у других дядь.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "GitHub и Twitter по ошибке сохраняли открытые пароли в логе" +/–

Сообщение от Анонимный БСДун on 07-Май-18, 00:45

Чуваки дебаг не выключили...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "GitHub по ошибке сохранял открытые пароли в логе"	–1 +/–
Сообщение от Android (??) on 02-Май-18, 08:10
Сменю-ка пароль на всякий случай, хоть письмо не приходило
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "GitHub по ошибке сохранял открытые пароли в логе"	+6 +/–
	Сообщение от Аноним (??) on 02-Май-18, 08:34
	> Сменю-ка пароль на всякий случай, хоть письмо не приходило Ты уверен что хочешь вызвать функцию сброса пароля? > Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "GitHub по ошибке сохранял открытые пароли в логе"	+2 +/–
	Сообщение от Дмитрий Марков on 02-Май-18, 08:42
	смена пароля и сброс пароля это немного разные вещи
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от Аноним (??) on 02-Май-18, 09:05
	к сожалению, гитхаб об этом не в курсе, и затронутым юзерам предлагает именно дырявый //github.com/password_reset (типа "мы прошлый раз не уверены что хорошо записали ваш пароль, повторите-как еще раз. Оп, вот теперь мы точно его сохранили.")
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

4. "GitHub по ошибке сохранял открытые пароли в логе"	–5 +/–
Сообщение от Аноним (??) on 02-Май-18, 08:47
DevOpsы GitHub просто не умеют готовить стейжи в k8s.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "GitHub по ошибке сохранял открытые пароли в логе"	+9 +/–
	Сообщение от freehck (ok) on 02-Май-18, 12:17
	Причём тут девопсы вообще? Тут скорее всего какой-нибудь разработчик вставил дебаг, выводящий на экран всякое разное, в том числе и пароль -- потом это кто-то плохо отревьюил (если вообще ревьюил), и таким образом это попало в прод. Никакой кубер от такого не спасёт.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	13. "GitHub по ошибке сохранял открытые пароли в логе"	+1 +/–
	Сообщение от Аноним (??) on 02-Май-18, 16:58
	General Data Protection Regulation (GDPR) нарушен в любом случае.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	18. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от Аноним (??) on 02-Май-18, 23:29
	что забавно, в рельсах встроенная защита от этого. Тупо проверяет поле password и убирает его из вывода в лог
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	20. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от blackst0ne (ok) on 03-Май-18, 04:53
	Эта штука в рельсах настраиваемая. Можно отключить, можно проглядеть, если фильтруемое поле отличается от стандатрного `password`.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	21. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от Аноним (??) on 03-Май-18, 18:07
	Она по-умолчанию включена. И да, поменять password на что-то ещё можно, но именно поэтому, не рекомендуется
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору

7. "GitHub по ошибке сохранял открытые пароли в логе"	–6 +/–
Сообщение от Аноним (??) on 02-Май-18, 10:34
Разработчики Debian и GNOME как в воду глядели выбирая Gitlab для разворачивания на своих серверах, а не у васяна на гитхабе.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	14. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от github on 02-Май-18, 17:00
	да лана, нужны нам их пароли, как телеге бензонасос. А у наших васянов живут вполне коммерческие (и не обязательно public) проекты, вот там может и парольчик пригодиться.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	15. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от Аноним (??) on 02-Май-18, 18:07
	Blizzard слить с приватного гитхаба....
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "GitHub по ошибке сохранял открытые пароли в логе"	+1 +/–
	Сообщение от Аноним (??) on 02-Май-18, 18:56
	Можно незаметно подбросить бэкдор. Уж лучше пусть на своих серверах хостят.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	22. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от github on 03-Май-18, 20:26
	так его тем более интересней подбросить в закрытый проект, а то какой-нибудь излишне любопытный васян спалит всю малину. А на своих серверах они не хочут, они хочут фыр-фыр-фыр и социальные отношения разработчиков.
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору

17. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
Сообщение от KOT040188 (ok) on 02-Май-18, 23:16
Сейчас многие переходят на гитлаб…
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

23. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
Сообщение от Аноним (??) on 04-Май-18, 02:07
https://blog.twitter.com/official/en_us/topics/company/2018/... у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно, саутсорсили хранение данных пользователей кому-то третьему?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	24. "GitHub по ошибке сохранял открытые пароли в логе"	+/–
	Сообщение от Аноним (??) on 04-Май-18, 19:46
	> https://blog.twitter.com/official/en_us/topics/company/2018/... > у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно, > саутсорсили хранение данных пользователей кому-то третьему? Явно не каждый проект строит свои датацентры. Очевидно хостятся у других дядь.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору

25. "GitHub и Twitter по ошибке сохраняли открытые пароли в логе"	+/–
Сообщение от Анонимный БСДун on 07-Май-18, 00:45
Чуваки дебаг не выключили...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору