Posts Tagged ‘github’

Безопасность ваших паролей зависит от вас

Четверг, Январь 24th, 2013

Сегодня на Хабре появилась статья про обновленный поиск. Обновление хорошее, но более интересен один из комментариев в статье, который вскрывает вопиющую небрежность программистов, использующих публичные репозитории Github для своих проектов. Казалось бы, программисты своего рода IT-элита и должны быть достаточно осведомлены о вопросах компьютерной безопасности. Однако ссылка, приведенная в комментарии к статье на Хабре, говорит нам об обратном:

https://github.com/search?q=path:.ssh/id_rsa&type=Code&ref=searchresults

Как видно из результата работы поискового запроса некоторые разработчики не уделяют достаточно внимания вопросу сохранности своих SSH-ключей и в открытом доступе лежит целая куча ключей. Если добавить к этому лежащий (у некоторых) рядом файл known_hosts, то можно только представить размер дыры в безопасности серверов этих горе-программистов.

Проведем небольшое дополнительное исследование. Какие еще пароли могут храниться в репозитории на Github? Правильно — пароли к базе данных в файлах конфигурации веб-приложений. Поищем их:

https://github.com/search?q=path%3Awp-config.php&type=Code&ref=searchresults

https://github.com/search?q=path%3Aconfiguration.php&type=Code&ref=searchresults

https://github.com/search?q=path%3Aconfig.php&type=Code&ref=searchresults

https://github.com/search?q=path%3Adatabase.yml&type=Code&ref=searchresults

https://github.com/search?q=path%3Asettings.py&type=Code&ref=searchresults

Список можно продолжать долго, но выводы можно делать уже на основании этих запросов. Беглый осмотр показал, что, наряду с тестовыми БД на localhost с пользователем root без пароля, достаточно много логинов/паролей к реальным БД.

Вся эта ситуация лишний раз подтверждает, что чаще всего дыры в безопасности появляются по вине человеческого фактора. Помните — безопасность ваших паролей зависит прежде всего от вас самих. Внимательно следите за тем, что выкладываете в публичный доступ. Если даже ваш проект известен только вам и вы думаете, что никто не найдет его никогда — вы ошибаетесь! Гораздо проще предотвратить утечку, чем потом устранять последствия.

P.S. Данный материал написан исключительно в ознакомительных и исследовательских целях. Автор не пользовался ни одним из найденных паролей/ключей. Также автор снимает с себя ответственность за возможные последствия использования информации из статьи третьими лицами.

Code like it’s 1982

Четверг, Январь 24th, 2013

Сегодня в процессе обсуждения старых домашних компьютеров вроде Atari и ZX Spectrum я вспомнил, что недавно нашел листочки, на которых писал свои первые программы для Speccy. Подумал, что стоит сохранить для истории. Внукам буду показывать :) Кому интересно — репозиторий на Github с самой первой программой для ZX Spectrum. Писал ее я, как сейчас помню — в 1998 году, на районной олимпиаде по физике. Задания были тогда сложноватые, решил что знал и стал программировать на Basic с помощью ручки и листочка в клеточку. Сохранить код это, конечно, хорошо, но запустить его спустя 14 лет еще лучше. В этом нам поможет BASin — практически полноценная IDE с отладчиком и эмулятором для написания программ на Sinclair Basic. Результат видно на заглавной картинке из поста. Работает!