Discussions et informations sur ce qui se passe dans le monde de l'informatique.
Répondre

Github serait une backdoor involontaire ?

#1Messageil y a 10 mois

"GitGuardian se revendique comme la seule solution qui permet de rechercher les fuites de données sur GitHub, de manière automatisée. "Même les pirates sont plus lents, car ils le font manuellement", se félicite le co-fondateur de GitGuardian."

https://www.challenges.fr/high-tech/git ... ses_581437

Je trouve cela étonnant, qu'en pensez-vous ?

Github serait une backdoor involontaire ?

#2Messageil y a 10 mois

salut

En fait non rien d'étonnant, ceci est bien connu depuis les débuts de git (pas que github) :wink: C'est bien sûr "normalement" connu de tout développeur

Pour tout les sites web (mais pas que), il y a un fichier de configuration avec l'identifiant et le mot de passe en clair. Certains développeurs "tête en l'air" push ce fichier sur github et donc ensuite tout le monde peut voir ce fichier (il existe .gitignore).
wp-config.php avec wordpress
config.php avec phpbb
.ENV avec laravel
secrets.rb avec Ruby on Rails ...
une petite recherche web (EDIT: il faut être connecté github) :
- https://github.com/search?l=PHP&q=db_password&type=Code
- https://github.com/search?l=PHP&q=PRIVATE_KEY&type=Code

---------------------
un logiciel pour récupérer des infos "chaudes" sur github
https://korben.info/gitleaks-un-script- ... ettes.html

Développeurs, ne partagez pas vos clés avec n’importe qui

Github serait une backdoor involontaire ?

#3Messageil y a 10 mois

:sourire:
Merci !
Tes deux premiers liens m'emmènent nulle part, celui de Korben est intéressant.
...le truc à savoir est si la boite citée par Challenges est bien éthique et propose la mise en œuvre et non la facturation du script...

Répondre