În ciuda a mai mult de un deceniu de reamintire, îndemnuri și de-a dreptul cicălitoare, un număr surprinzător de dezvoltatori încă nu se pot decide să-și păstreze codul liber de acreditările care oferă cheile regatului lor oricui își ia timp să le caute.
Deficiența provine din practicile de codificare imature în care dezvoltatorii încorporează chei criptografice, jetoane de securitate, parole și alte forme de acreditări direct în codul sursă pe care îl scriu. Acreditările facilitează accesul programului de bază a bazelor de date sau serviciilor cloud necesare pentru ca acesta să funcționeze conform intenției. Am publicat un astfel de PSA în 2013, după ce am descoperit căutări simple care au găsit zeci de conturi care păreau să expune acreditările securizarea conturilor SSH de la computer la server. Una dintre acreditări părea să acorde acces la un cont pe Chromium.org, depozitul care stochează codul sursă pentru browserul open source al Google.
În 2015, Uber a învățat pe calea grea cât de dăunătoare poate fi practica. Unul sau mai mulți dezvoltatori pentru serviciul de călătorie au încorporat o cheie de securitate unică în cod și apoi au partajat acel cod pe o pagină publică GitHub. Hackerii au copiat apoi cheia și au folosit-o pentru a accesa o bază de date internă Uber și, de acolo, fura date sensibile aparținând a 50.000 de șoferi Uber.
Comentarii recente