The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +1 +/
Сообщение от opennews (ok) on 25-Янв-13, 18:05 
На днях сервис GitHub ввёл в строй (https://github.com/blog/1381-a-whole-new-code-search) новую систему поиска по репозиториям, основанную на открытом движке ElasticSearch (http://www.elasticsearch.org/) и позволяющую использовать расширенные средства фильтрации контента (например, учитывать расширения файлов) и учитывающую активность репозиториев. Находчивые пользователи сразу нашли способ (http://www.h-online.com/open/news/item/GitHub-search-exposes...) использования поиска для выуживания из репозиториев приватных файлов.


Как правило такие фалы были добавлены по ошибке и потом сразу удалены, но без физической чистки (https://help.github.com/articles/remove-sensitive-data) репозитория. С учетом версионного характера сохранения всех изменений, данные фактически остались доступны в репозитории. Например, с использованием запросов вида "BEGIN RSA PRIVATE KEY (https://github.com/search?q=extension%3Akey+BEGIN+RSA+P...)" с дополнительными фильтрами были  выявлены по ошибке добавленные приватные SSH-ключи, в том числе (https://twitter.com/0xabad1dea/status/294552123776049152) таким способом были найдены параметры входа по SSH для одного очень крупного китайского сайта. В настоящее время поисковый сервис отключен (https://status.github.com/), судя по всему из-за технических проблем с кластером.

URL: http://www.h-online.com/open/news/item/GitHub-search-exposes...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35925

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  –4 +/
Сообщение от Crazy Alex (ok) on 25-Янв-13, 18:05 
Воот. Не бывает эффективных технологий, не требующих полноценного освоения. Хотели использовать в Git три команды, не понимая, как оно работает - получайте. Отчего-то не жалко таких "разработчиков" ни разу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от rshadow (ok) on 25-Янв-13, 23:00 
Все правильно. А то что в гите с каждой версией что-то в интерфейсе меняют, так это не недоработки. Это просто на потеху Торвальдсу.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от Crazy Alex (ok) on 26-Янв-13, 16:12 
В данном случае люди явно вообще не понимали, что такое VCS.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

2. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +7 +/
Сообщение от Аноним (??) on 25-Янв-13, 18:20 
Эврика! google://site: <target> BEGIN RSA PRIVATE KEY
Например, google://site:pastebin.com BEGIN RSA PRIVATE KEY - довольно неплохо, да :). Реально привкеи каких-то овощей попадаются :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от kay (ok) on 25-Янв-13, 18:34 
вот только неизвестно от каких они хостов
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +1 +/
Сообщение от Аноним (??) on 25-Янв-13, 18:37 
-----BEGIN RSA PRIVATE KEY ... - 1 paste tool since 2002!
pastebin.com/fbajUhsK
Apr 19, 2010 – rbfPgYDdmgWc/lkpMufFe/-----BEGIN RSA PRIVATE KEY-----. FUCK A DUCKFUCK A DUCKFUCK A DUCKFUCK A DUCKFUCK A ...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +1 +/
Сообщение от аноним0 on 25-Янв-13, 19:27 
в поиске гитхаба закрыли, а в поиске гугла все на месте)
https://www.google.com/search?btnG=1&pws=0&q=site:github.com...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от Аноним (??) on 25-Янв-13, 21:42 
Обновление кэща еще не произошло
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  –1 +/
Сообщение от YetAnotherOnanym (ok) on 26-Янв-13, 00:47 
И чем они отличаются от недоумков, расшаривающих весь диск C: через DC-хаб?
Кстати, неплохо было бы знать имена героев, запихнувших такое в гит - чтобы потом написанный ими софт обходить за версту.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от angra (ok) on 26-Янв-13, 02:02 
Недоумком здесь выглядите вы. Например человек может писать отличный софт для математических расчетов, но при этом абсолютно не разбираться в безопасности. От этого его софт хуже не станет. По большому счету забота о безопасности нужна только в довольно узком спектре задач.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от Crazy Alex (ok) on 26-Янв-13, 16:13 
Если человек не осваивает инструмент, которым пользуется - он недоумок. С большой вероятностью он и в других областях некомпетентен. Это примерно как работать на станке, не прочтя инструкцию по работе с ним.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от kurokaze (ok) on 26-Янв-13, 21:45 
Хехе, в Чернобыле был использован РБМК с дефектной конструкцией, нарушающий предписания безопасности. Так что как не работай - получилось то что получилось
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +3 +/
Сообщение от Crazy Alex (ok) on 27-Янв-13, 00:29 
Оставляя в стороне Чернобыль и разборы, что именно там произошло - версионник  несколько попроще реактора. И конкретно с гитом разобрала масса народу. Да, для этого надо прочитать мануал вроде Pro Git. Но для программиста версионник - это один из базовых инструментов, и не научиться с ним работать - верх невежества.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

23. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +2 +/
Сообщение от Anonymous1 on 27-Янв-13, 15:30 
> Хехе, в Чернобыле был использован РБМК с дефектной конструкцией, нарушающий предписания
> безопасности. Так что как не работай - получилось то что получилось

Чего только не напишут украинцы, лишь бы свалить свою вину на русских...
Там, в Чернобыле, к сожалению, только ВВЭР-ы были, как и на всех промышленных АЭС. И когда местные умники решили получать тепло (и электроэнергию) в процессе остановки реактора, полностью отключили автоматику и получили то, что получили.
А теперь пишут "реактор был аварийный" "трубы были кривые", и так далее... Вот уже и РБМК там оказался...


Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от xv email(??) on 28-Янв-13, 13:56 
> Там, в Чернобыле, к сожалению, только ВВЭР-ы были

ЩИТО
http://ru.wikipedia.org/wiki/%D0%A7%D0%B...
Выучи матчасть уже, умник.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

27. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от Aktis on 29-Янв-13, 00:19 
С каких пор википедия у стала истиной в последней инстанции?
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

12. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +1 +/
Сообщение от Аноним (??) on 26-Янв-13, 16:45 
> Например человек может писать отличный софт для математических расчетов, но при этом
> абсолютно не разбираться в безопасности.

Вы уж простите, но если замечательный математик не смотрит под ноги и в результате падает в открытый люк с кипятком на дне - мы таки будем считать его достойным кандидатом на премию Дарвина. Как раз за то что вроде бы умный человек, а облажался на такой элементарщине, известной даже школьникам.

Да-да, профессионализм в конкретной области ни разу не извиняет овощнутость в элемнетарщине. Узкая специализация на одной области еще не означает что во всех остальных местах надо выглядеть полным кретином.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

15. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +1 +/
Сообщение от ram_scan on 26-Янв-13, 20:19 
> Например человек может писать отличный софт для математических расчетов, но при этом абсолютно не разбираться в безопасности. От этого его софт хуже не станет.

И много вы знаете гениев среди людей, которые себе ложку в ухо несут ? Простите, если человек не научился до седых яиц вытирать себе жопу, смотреть под ноги и мыть руки перед едой, то о каких профессиональных качествах вообще говорить можно ?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от anonymous (??) on 26-Янв-13, 21:28 
Вспомнил Перельмана, отказавшегося от миллиона долларов :)
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

24. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от анонимус (??) on 28-Янв-13, 06:48 
от специалиста не требуется быть компетентным во всех сферах деятельности, но организовать процесс, частью которого является в том числе и безопасность, он был обязан
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от YetAnotherOnanym (ok) on 26-Янв-13, 18:35 
> человек может писать отличный софт для математических расчетов, но при этом абсолютно не разбираться в безопасности

Не может такой человек писать отличный софт ни для каких целей.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +2 +/
Сообщение от Аноним (??) on 26-Янв-13, 19:15 
> Не может такой человек писать отличный софт ни для каких целей.

Это будет тепличный рафинированный софт, разваливающийся от тычка в него пальцем. Если бы так же строили дома, то у вас обрушивался бы потолок от того что вы сели на кресло которое стояло не строго по центру комнаты. Т.к. видите ли на другие варианты рассчитано не было.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

19. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от kurokaze (ok) on 26-Янв-13, 21:47 
> Не может такой человек писать отличный софт ни для каких целей.

D. J. Bernstein смотрит на тебя с недоумением

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

21. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +1 +/
Сообщение от Crazy Alex (ok) on 27-Янв-13, 00:30 
А с какого перепугу вы решили, что он не разбирается в безопасности???
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "Новый поиск на GitHub привёл к выявлению забытых в репозитор..."  +/
Сообщение от Andrey Mitrofanov on 27-Янв-13, 14:07 
> сервис GitHub ввёл

I find it fascinating that DVCS aficionados haven't noticed that GitHub takes the D out of DVCS very effectively, thereby making git actually useful for most normal people.

— Branko Čibej ///в тему~~, из декабрьского LWN.net ///А пр Hurd  там же =ближе к fbsd-ешникам

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру