This topic created in 2857 days ago, the information mentioned may be changed or developed.
早上看到一篇文章,说有一位程序员把自己服务器的登录信息上传到 github 上面,public 的。当然,所有人都可以看到,然后这位兄台的服务器就被人用来挖矿了,有热心网友发现问题后,删除了挖矿程序,安装了火绒。 原文链接找不到了。。。。。
然后看到后,我也去尝试性的搜了下关键词《密码》、《邮箱密码》等,发现有好多发送邮件的代码,邮箱及密码都没有注释掉。 当成工作记录也无所谓,但是入职申请的一些账号密码就不要记录在上面了吧。
看到这个的各位,还是去看看自己有没有犯这样的错误。 还是提醒一下各位:github 项目默认都是公开的,自己的隐私、用户名密码还是要记得删除掉再上传。 不要抱有侥幸心理!!
 | 1 Nitroethane Jun 30, 2018 via Android 稍微靠谱点的公司应该会有检查工具之类的吧。代码上传到 GitHub 之前跑一下工具看有没有敏感数据之类的。 |
 | 2 ZeoKarl Jun 30, 2018 按理说这些配置 key 的东西应该放在一个统一的文件里面吧,然后把这个文件忽略掉.难道我记错了. |
 | 3 klesh Jun 30, 2018 楼主,注释掉是不行的。你是想说删除掉吧? |
 | 4 chinvo Jun 30, 2018  1 正确做法是所有可配置项放到配置文件,并用 .gitignore 忽略 涉密内容用 Valut,并把 Valut 配置放环境变量或者配置文件 |
 | 5 est Jun 30, 2018 via Android 什么? githib 不就是永硕网盘么? |
 | 6 blackjar Jun 30, 2018 1 10_million_password_list_top_999_Without_dolphins.txt |
 | 7 input2output Jun 30, 2018 1 |
 | 8 TripleZ Jun 30, 2018 via Android 开源其实还是要做很多工作的吧…… 可以理解成对自己开源代码不负责… |
 | 9 mritd Jun 30, 2018 via iPhone 其实,你发到这里,基本看到的人都有这种尝试 |
 | 10 oracle128g Jun 30, 2018 via iPhone 我的阿里云 rds 就是直接 push 上去了的,但是设置了 IP 白名单 |
 | 11 dorothyREN Jun 30, 2018 前两天还看到一个仓库里面都是服务器账号密码,于是我好心的 fork 了一下。 |
 | 12 limbo0 Jun 30, 2018 via Android 黑客早就做渗透了,会挖掘 github 上的信息 |
 | 13 loading Jun 30, 2018 via iPhone 直接把配置文件放到其他文件夹或者系统变量里面,gitignore 我还是不放心。 |
 | 14 agdhole Jun 30, 2018 via Android 统一放在 .env |
 | 15 msg7086 Jul 1, 2018 Rails 5.2 的 Encrypted Credentials 了解一下。 |
 | 16 likuku Jul 1, 2018 登录信息?君不见最近两三年里因为员工把 ssh 私 key 丢上 github 公开项目,导致的一些严重安全事故。 |
 | 17 oIMOo 曾经不小心把含密码的配置文件 push 上去,一分钟之内撤掉了。 从此以后,一定先 gitignore |
Select Language