Как стать автором
Обновить

Комментарии 8

Черт, хранить пароли в коде оказалось не так безопасно, а говорят, что твой код никому не интересен

После того, как я выложил исходники (видео наблюдение на малине), ко мне на VPS было с несколько десятков попыток постучаться с разных IP на сервис с паролем/портом по умолчанию из кода GitHub.


Причем это не случайно. По тому, что хост по умолчанию был не актуальный. Явно специально нашли правильное имя хоста и пробовали.


Большинство IP китайские, кстати.


Получается, реальные ключи/пароле на GitHub — это актуально. Кулхацкеры мониторят GitHub.

А чего бы не актуально-то? Помнится, давным давно ещё был на самой заре твиттера бот, который находил на pastebin логины/мыльники/приватные данные и постил ссылки.

Вторая проблема в том, что программы всё чаще подключают в качестве внешних зависимостей Open Source проекты на том же GitHub, не проверяя их соответствующим образом.

Дятел за нашей цивилизацией уже вылетел.
Давно. Про бездумное использование чужих библиотек еще во времена Fortran-a уже писали.

Ну не знаю. Скачивал библиотеку для Open Weather. Да, там был зашит токен, но чисто для примера, он был не рабочий, о чём сообщалось в комментариях.

Ну обычно так и есть. В открытых репах какие-нибудь ключи обычно зашиты либо примеры, либо рабочие для локальной/тестовой среды которые и так в открытом доступе.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий