28.01.2022

GitHub делится личными данными тысяч ничего не подозревающих пользователей Firefox

Хранилища, размещенные на платформе GitHub, просто доступны и полны личных данных юзеров Firefox. Почему сайт их не защищает?

GitHub – пользующаяся популярностью платформа для разработки программного обеспечения, чья аудитория издавна перевалила за 40 млн пользователей. Веб-сайт предлагает бесплатный хостинг для проектов с открытым начальным кодом или поддержку частных репозиториев – места, в котором хранятся и поддерживаются какие-либо данные. Эти способности означают, что миллионы пользователей имеют свои учетные записи на сайте, и многие из них стремятся бросить там свои данные. Оказывается, не все они должны быть там, и GitHub не будет нести особенной ответственности за их невнимательность. Правильно ли это?

Как работает GitHub?

Хоть какой, у кого есть доступ в веб и электронную почту, может создать учетную запись на GitHub. Выполнения этих 2-ух требований достаточно, чтобы пользователь мог расположить код своего авторства в ресурсах портала. Несмотря на то что это кажется очень удобным решением, для начинающих программистов оно может перевоплотиться в русскую рулетку.

Публикуя сделанный код, мы должны помнить, что только личные хранилища остаются нашей исключительной собственностью. Все, что мы добавляем на публике, автоматически становится доступным каждому пользователю портала. Благодаря этому программеры могут учиться на собственных и чужих ошибках и интенсивно участвовать в интересных проектах. За этим великолепием простоты, правда, скрываются все недочеты социальных сетей, но подправленные по максимуму.

Начинающие программеры могут столкнуться с разрушительной критикой, в то время как продвинутые разработчики должны учесть, что их работа будет и далее использоваться. Кроме того, написание кода, который мы желали бы показать миру, — это только начало. Истинной проблемой для нескольких тысяч активных юзеров оказалась сила файлов cookie и то, как работает веб-браузер.

Какие пользовательские данные мы можем отыскать в публичных хранилищах GitHub?

В общедоступных репозиториях GitHub просто искать, и многие опытные разработчики делают это для утехи. Около дюжины дней назад Эйдан Марлин, проф специалист по безопасности, решил провести некое время подобным образом.

Он увидел, что, сформулировав соответствующий запрос к общедоступным репозиториям GitHub, можно было получить итог нескольких тысяч ответов с файлами cookie, хранящимися в браузере Firefox. Это базы данных cookie.sqlite, сгенерированные в сеансе браузера, применяемые автором при публикации. 

Они сопровождают размещенный код, потому что запускаются из домашнего каталога Linux. В этой ситуации за ним следуют дополнительные ненадобные данные, такие как временные файлы веб-браузеров. Несмотря на то что это поведение связано с ошибками юзера, было так много ответов только для 1-го браузера, что Марлин решил сообщить об этом платформе через HakerOne.

В ответ GitHub заявил, что это не неувязка на стороне портала, и закрыл отчет.

Почему данные GitHub не являются неувязкой для Firefox?

Мозилла прокомментировала проблему аналогичным образом, но ответ ее пресс-секретаря должен внести в GitHub некую ясность. Производитель Firefox подтверждает, что предлагаемый метод обнародования конфиденциальных данных возможен, если не типичен. Не считая того, не только для Firefox, но и для всех веб-браузеров. Единственное, что он может посоветовать в этой ситуации, — это использовать Firefox Sync, версию браузера с дополнительным шифрованием.

Это непонятное решение проблемы, но Mozilla совершенно справедливо не увидела недочетов в своем продукте и дипломатично предложила дополнительные меры предосторожности. Когда мы используем GitHub, данные в браузере сохраняются точно так же, как при переводе в онлайн-банке либо онлайн-регистрации к врачу. Дополнительный пароль либо шифрование базы данных файлов cookie не являются стандартными, так как в любом случае срок действия файлов cookie стремительно истекает. Таким образом, достаточно того, что сайт, который мы посещаем, не позволяет сделать их доступными. Вся неувязка в том, что GitHub позволяет.

Почему происходит утечка данных на GitHub?

Портал не комментировал ситуацию, но реакция на сообщение о дилемме позволяет предположить, что он не желает заботиться о безопасности своих пользователей. И это должно быть по двум причинам. Нет обстоятельств доверять своим пользователям, и эффективное ограничение задачи находится исключительно в его компетенции.

Почему юзер GitHub не обязательно является разработчиком?

При использовании GitHub его юзеры должны иметь возможность контролировать то, что они публикуют. Неувязка в том, что у GitHub нет обстоятельств требовать этот навык от своих юзеров, сайт позволяет любому, кто хочет использовать все его ресурсы. Он не инспектирует знания тех, кто создает учетную запись.

Именовать специализированный портал недостаточно только программистам, которые всегда продвинуты и сознательно употребляют доступные инструменты. Для этого необходимо ограничить доступность веб-сайта и исключить из него гаджеты для программирования и новичков. GitHub избегает этой идеи и позволяет всем выступать на публике, негласно рекомендуя вам оформить собственную страховку.

Как GitHub наращивает риск передачи данных?

Опытнейший разработчик приключений пользователей, которые по ошибке поделились своими личными данными, имеет право подшучивать. Но сами преступники могут и не подозревать, что сделали что-то опасное. Ведь их ошибка – всего только одна база данных cookie.sqlite. По прошествии нескольких дней либо даже часов с момента публикации он никому не принесет никаких релевантных данных. Неувязка в том, что их ошибка – не одна из миллиона, а правило, которое можно использовать в общественном хранилище GitHub.

Многие такие базы данных, размещенные минутку назад, похожи на со вкусом оформленный подарок. Просто сделайте копию, расположите ее в папку Firefox Profiles, и мы окажемся всюду, где владелец данных соизволил войти в систему при совместном использовании кода. Вы не всегда сможете найти что-то интересное, но в общественных репозиториях Github есть легко доступный материал в массовых количествах. Это делает их хорошим полем исследования не только для тоскующих программистов. Только GitHub может полностью ограничить возникающие опасности.

Сообщает hi-tech.news

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *