Sırlarını Bana Söylemeden Bana Sırlarını Söyle - Dünyadan Güncel Teknoloji Haberleri

Sırlarını Bana Söylemeden Bana Sırlarını Söyle - Dünyadan Güncel Teknoloji Haberleri
Bununla, hash’i tersine çevirecek ve şifresini çözecek kadar bilgi sahibi olmadan potansiyel eşleşme sayısını yönetilebilir bir sayıyla sınırlandırabilirler ) halka açık GitHub depolarına girip girmediğini öğrenmelerine yardımcı olmak istiyorlardı Bu yeterli değilse Chrome’da veya başka bir tarayıcıda F12 geliştirici araçlarını açın ve web arayüzünün hangi bilgileri yukarı yönde gönderdiğini izlemek için “Ağ” paneline gidin Yayına çıktığı ilk birkaç haftada 9


24 Kasım 2023Hacker HaberleriGeliştirici Araçları / API Güvenliği

Bu makalenin başlığı muhtemelen bir memenin başlığına benziyor Sırlarınızın sızdırılıp sızdırılmadığını görmek istemiyorsanız bile müşterilerinizin, bilginin kendisini paylaşmadan hassas bilgileri paylaşmalarını kolaylaştırma çabalarınıza ilham vermek için kodlarına ve yöntemlerine bakmalısınız HasMySecretSızıntı denetleyicisi Sızıntı olup olmadığını görmek için gerçek sırları paylaşmanıza gerek yok

Ama evet, GitHub’dan bir “ton” genel taahhüt ve özeti taradılar, taahhüt geçmişlerini dolaştılar ve şunu buldular: milyonlarca sırlar: şifreler, API anahtarları, özel anahtarlar, şifreleme sertifikaları ve daha fazlası Geliştiricilerin, sırlarının (şifreler, API anahtarları, özel anahtarlar, kriptografik sertifikalar vb

Dikkatli bir değerlendirme ve testten sonra, bir gizli parmak izi protokolü bu sırrı şifreler ve karma hale getirir ve ardından yalnızca kısmi bir karma GitGuardian ile paylaşılır 2022’de tam anlamıyla 10 milyonun üzerinde sayı buldular dünyadaki para)

Birincisi, eğer bir bitin kütlesini bir elektronunkine eşit olarak ayarlarsak, bir ton veri, standart Dünya yerçekiminde yaklaşık 121,9 katrilyon petabayt veri veya MacBook Pro depolama yükseltmelerinde 39,2 milyar milyar milyar ABD doları (hepsinden daha fazla) olacaktır

GitGuardian, insanların kendi uygulamalarını kullanmasını sağlamak için ekstra çaba harcadı

Sırlarınız zaten kamuya açıklanmışsa, bilmek bilmemekten daha iyidir Hizmeti kullanan herkesin hem güvenliği hem de gönül rahatlığı için mümkün olduğunca şeffaf olmayı ve sürecin mümkün olduğunca büyük bir kısmını müşteri kontrolüne bırakmayı seçtiler Bunun yerine bu, GitGuardian mühendislerinin yeni uygulamalarının mekanizmalarını uygularken çözmeleri gereken gerçek bir sorundur Sırrın kendisini tarayıcı tarafından iletilebilecek herhangi bir yere koymanız gerekmez ve betiği çalıştırmak için açtığınız terminal oturumunun dışına hiçbir şey göndermediğini kendinize kanıtlamak için 21 kod satırını kolayca inceleyebilirsiniz HasMySecretSızıntı denetleyicisi Web aracılığıyla ve hatta daha fazlasını kullanarak GitGuardian kalkanı CLI



siber-2

Halka açık GitHub depolarında bulunan geniş bir sır kütüphanesini ve geçmişlerini nasıl tarayıp, hassas bilgileri ifşa etmenize gerek kalmadan bunları sırlarınızla nasıl karşılaştırabilirler? Bu makale size nasıl yapılacağını anlatacak Ve karşılığını aldı Daha fazla güvence mi istiyorsunuz? Neyin aktarıldığını görmek için Fiddler veya Wireshark gibi bir trafik denetçisi kullanın

Eğer kullanıyorsanız açık kaynak ggshield CLI hmsl komutunu kullandığınızda neler olduğunu görmek için CLI kodunu inceleyebilirsiniz 000’den fazla sır kontrol edildi HasMySecretSızdırılan hizmet Dolayısıyla bu makale GitGuardian’ın bir “ton” GitHub genel taahhüt verisini taradığını iddia ettiğinde, bu gerçek değil mecazidir Henüz sömürülmemiş olabilirler, ancak bu muhtemelen sadece bir zaman meselesi

GitGuardian, geliştiricilerin ve işverenlerinin, milyonlarca sırrı yayınlamadan, mevcut ve geçerli sırlarının bu 10+ milyon arasında olup olmadığını görmelerini, tehdit aktörlerinin bunları bulmasını ve toplamasını kolaylaştırarak ve çok sayıda cinlerin ortaya çıkmasına izin vermeden nasıl mümkün kılabilirdi? bir sürü şişeden mi çıktı? Tek kelime: parmak izi Güvenliği daha da sağlamak için, istemci tarafına şifreleme ve sırrı karma haline getirme araç setini yerleştirdiler Ve hayır, “milyonlarca” mecazi değildir

GitGuardian’ın mühendisleri, kendilerine güvenen müşterilerin bile bir API anahtarını veya başka bir sırrı web sayfasındaki bir kutuya yapıştırma konusunda endişeli olacağını biliyordu Günde beşe kadar ücretsiz olarak kontrol edebilirsiniz

Eğer kullanıyorsanız HasMySecretSızdırılan web Arayüzde, hash’i yerel olarak oluşturmak için bir Python betiğini kopyalayabilir ve çıktıyı tarayıcıya koyabilirsiniz Bu, pazarlama materyallerinin ötesine geçerek hsml komutu için ggshield belgeleri