The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"GitHub по ошибке сохранял открытые пароли в логе"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от opennews (??) on 02-Май-18, 08:10 
GitHub инициировал (https://news.ycombinator.com/item?id=16972050) процесс смены паролей у некоторых пользователей из-за ошибки, ставшей причиной того, что пароли в открытом виде отражались во внутренних логах на серверах сервиса. Ошибка была выявлена в ходе проведения планового аудита инфраструктуры.


Утверждается, что доступ к проблемным логам был лишь у ограниченного числа сотрудников GitHub. Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время. Остальные пользователи не пострадали и их пароли хранятся на серверах GitHub только в виде хэша, созданного при помощи алгортима bcrypt.

URL: https://news.ycombinator.com/item?id=16972050
Новость: https://www.opennet.ru/opennews/art.shtml?num=48527

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "GitHub по ошибке сохранял открытые пароли в логе"  –1 +/
Сообщение от Android (??) on 02-Май-18, 08:10 
Сменю-ка пароль на всякий случай, хоть письмо не приходило
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GitHub по ошибке сохранял открытые пароли в логе"  +6 +/
Сообщение от Аноним (??) on 02-Май-18, 08:34 
> Сменю-ка пароль на всякий случай, хоть письмо не приходило

Ты уверен что хочешь вызвать функцию сброса пароля?

> Проблема затронула только пользователей, вызывавших функцию сброса пароля в последнее время.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "GitHub по ошибке сохранял открытые пароли в логе"  +2 +/
Сообщение от Дмитрий Марков email on 02-Май-18, 08:42 
смена пароля и сброс пароля это немного разные вещи
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от Аноним (??) on 02-Май-18, 09:05 
к сожалению, гитхаб об этом не в курсе, и затронутым юзерам предлагает именно дырявый //github.com/password_reset

(типа "мы прошлый раз не уверены что хорошо записали ваш пароль, повторите-как еще раз. Оп, вот теперь мы точно его сохранили.")

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "GitHub по ошибке сохранял открытые пароли в логе"  –5 +/
Сообщение от Аноним (??) on 02-Май-18, 08:47 
DevOpsы GitHub просто не умеют готовить стейжи в k8s.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "GitHub по ошибке сохранял открытые пароли в логе"  +9 +/
Сообщение от freehck email(ok) on 02-Май-18, 12:17 
Причём тут девопсы вообще? Тут скорее всего какой-нибудь разработчик вставил дебаг, выводящий на экран всякое разное, в том числе и пароль -- потом это кто-то плохо отревьюил (если вообще ревьюил), и таким образом это попало в прод. Никакой кубер от такого не спасёт.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "GitHub по ошибке сохранял открытые пароли в логе"  +1 +/
Сообщение от Аноним (??) on 02-Май-18, 16:58 
General Data Protection Regulation (GDPR) нарушен в любом случае.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

18. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от Аноним (??) on 02-Май-18, 23:29 
что забавно, в рельсах встроенная защита от этого. Тупо проверяет поле password и убирает его из вывода в лог
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от blackst0ne (ok) on 03-Май-18, 04:53 
Эта штука в рельсах настраиваемая. Можно отключить, можно проглядеть, если фильтруемое поле отличается от стандатрного `password`.
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от Аноним (??) on 03-Май-18, 18:07 
Она по-умолчанию включена. И да, поменять password на что-то ещё можно, но именно поэтому, не рекомендуется
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

7. "GitHub по ошибке сохранял открытые пароли в логе"  –6 +/
Сообщение от Аноним (??) on 02-Май-18, 10:34 
Разработчики Debian и GNOME как в воду глядели выбирая Gitlab для разворачивания на своих серверах, а не у васяна на гитхабе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от github on 02-Май-18, 17:00 
да лана, нужны нам их пароли, как телеге бензонасос.

А у наших васянов живут вполне коммерческие (и не обязательно public) проекты, вот там может и парольчик пригодиться.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от Аноним (??) on 02-Май-18, 18:07 
Blizzard слить с приватного гитхаба....
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "GitHub по ошибке сохранял открытые пароли в логе"  +1 +/
Сообщение от Аноним (??) on 02-Май-18, 18:56 
Можно незаметно подбросить бэкдор. Уж лучше пусть на своих серверах хостят.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от github on 03-Май-18, 20:26 
так его тем более интересней подбросить в закрытый проект, а то какой-нибудь излишне любопытный васян спалит всю малину.

А на своих серверах они не хочут, они хочут фыр-фыр-фыр и социальные отношения разработчиков.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

17. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от KOT040188 (ok) on 02-Май-18, 23:16 
Сейчас многие переходят на гитлаб…
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от Аноним (??) on 04-Май-18, 02:07 
https://blog.twitter.com/official/en_us/topics/company/2018/...

у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно, саутсорсили хранение данных пользователей кому-то третьему?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "GitHub по ошибке сохранял открытые пароли в логе"  +/
Сообщение от Аноним (??) on 04-Май-18, 19:46 
> https://blog.twitter.com/official/en_us/topics/company/2018/...
> у них что, один и тот же сервер авторизации? Или они, стильно-модно-молодежно,
> саутсорсили хранение данных пользователей кому-то третьему?

Явно не каждый проект строит свои датацентры. Очевидно хостятся у других дядь.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "GitHub и Twitter по ошибке сохраняли открытые пароли в логе"  +/
Сообщение от Анонимный БСДун email on 07-Май-18, 00:45 
Чуваки дебаг не выключили...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру