Sırlarını Bana Söylemeden Bana Sırlarını Söyle - Dünyadan Güncel Teknoloji Haberleri

Sırlarını Bana Söylemeden Bana Sırlarını Söyle - Dünyadan Güncel Teknoloji Haberleri
Ve hayır, “milyonlarca” mecazi değildir Geliştiricilerin, sırlarının (şifreler, API anahtarları, özel anahtarlar, kriptografik sertifikalar vb ) halka açık GitHub depolarına girip girmediğini öğrenmelerine yardımcı olmak istiyorlardı Hizmeti kullanan herkesin hem güvenliği hem de gönül rahatlığı için mümkün olduğunca şeffaf olmayı ve sürecin mümkün olduğunca büyük bir kısmını müşteri kontrolüne bırakmayı seçtiler Dolayısıyla bu makale GitGuardian’ın bir “ton” GitHub genel taahhüt verisini taradığını iddia ettiğinde, bu gerçek değil mecazidir 2022’de tam anlamıyla 10 milyonun üzerinde sayı buldular Bunun yerine bu, GitGuardian mühendislerinin yeni uygulamalarının mekanizmalarını uygularken çözmeleri gereken gerçek bir sorundur HasMySecretSızıntı denetleyicisi Web aracılığıyla ve hatta daha fazlasını kullanarak GitGuardian kalkanı CLI

Eğer kullanıyorsanız HasMySecretSızdırılan web Arayüzde, hash’i yerel olarak oluşturmak için bir Python betiğini kopyalayabilir ve çıktıyı tarayıcıya koyabilirsiniz Ve karşılığını aldı Sırlarınızın sızdırılıp sızdırılmadığını görmek istemiyorsanız bile müşterilerinizin, bilginin kendisini paylaşmadan hassas bilgileri paylaşmalarını kolaylaştırma çabalarınıza ilham vermek için kodlarına ve yöntemlerine bakmalısınız Yayına çıktığı ilk birkaç haftada 9 Bu, pazarlama materyallerinin ötesine geçerek hsml komutu için ggshield belgeleri

Dikkatli bir değerlendirme ve testten sonra, bir gizli parmak izi protokolü bu sırrı şifreler ve karma hale getirir ve ardından yalnızca kısmi bir karma GitGuardian ile paylaşılır



siber-2

Ama evet, GitHub’dan bir “ton” genel taahhüt ve özeti taradılar, taahhüt geçmişlerini dolaştılar ve şunu buldular: milyonlarca sırlar: şifreler, API anahtarları, özel anahtarlar, şifreleme sertifikaları ve daha fazlası Güvenliği daha da sağlamak için, istemci tarafına şifreleme ve sırrı karma haline getirme araç setini yerleştirdiler Halka açık GitHub depolarında bulunan geniş bir sır kütüphanesini ve geçmişlerini nasıl tarayıp, hassas bilgileri ifşa etmenize gerek kalmadan bunları sırlarınızla nasıl karşılaştırabilirler? Bu makale size nasıl yapılacağını anlatacak

GitGuardian, geliştiricilerin ve işverenlerinin, milyonlarca sırrı yayınlamadan, mevcut ve geçerli sırlarının bu 10+ milyon arasında olup olmadığını görmelerini, tehdit aktörlerinin bunları bulmasını ve toplamasını kolaylaştırarak ve çok sayıda cinlerin ortaya çıkmasına izin vermeden nasıl mümkün kılabilirdi? bir sürü şişeden mi çıktı? Tek kelime: parmak izi

GitGuardian, insanların kendi uygulamalarını kullanmasını sağlamak için ekstra çaba harcadı Günde beşe kadar ücretsiz olarak kontrol edebilirsiniz 000’den fazla sır kontrol edildi Sırrın kendisini tarayıcı tarafından iletilebilecek herhangi bir yere koymanız gerekmez ve betiği çalıştırmak için açtığınız terminal oturumunun dışına hiçbir şey göndermediğini kendinize kanıtlamak için 21 kod satırını kolayca inceleyebilirsiniz

Birincisi, eğer bir bitin kütlesini bir elektronunkine eşit olarak ayarlarsak, bir ton veri, standart Dünya yerçekiminde yaklaşık 121,9 katrilyon petabayt veri veya MacBook Pro depolama yükseltmelerinde 39,2 milyar milyar milyar ABD doları (hepsinden daha fazla) olacaktır dünyadaki para) HasMySecretSızıntı denetleyicisi Sızıntı olup olmadığını görmek için gerçek sırları paylaşmanıza gerek yok HasMySecretSızdırılan hizmet Henüz sömürülmemiş olabilirler, ancak bu muhtemelen sadece bir zaman meselesi Daha fazla güvence mi istiyorsunuz? Neyin aktarıldığını görmek için Fiddler veya Wireshark gibi bir trafik denetçisi kullanın

GitGuardian’ın mühendisleri, kendilerine güvenen müşterilerin bile bir API anahtarını veya başka bir sırrı web sayfasındaki bir kutuya yapıştırma konusunda endişeli olacağını biliyordu


24 Kasım 2023Hacker HaberleriGeliştirici Araçları / API Güvenliği

Bu makalenin başlığı muhtemelen bir memenin başlığına benziyor

Sırlarınız zaten kamuya açıklanmışsa, bilmek bilmemekten daha iyidir Bununla, hash’i tersine çevirecek ve şifresini çözecek kadar bilgi sahibi olmadan potansiyel eşleşme sayısını yönetilebilir bir sayıyla sınırlandırabilirler Bu yeterli değilse Chrome’da veya başka bir tarayıcıda F12 geliştirici araçlarını açın ve web arayüzünün hangi bilgileri yukarı yönde gönderdiğini izlemek için “Ağ” paneline gidin

Eğer kullanıyorsanız açık kaynak ggshield CLI hmsl komutunu kullandığınızda neler olduğunu görmek için CLI kodunu inceleyebilirsiniz