Sırlarını Bana Söylemeden Bana Sırlarını Söyle - Dünyadan Güncel Teknoloji Haberleri

Sırlarını Bana Söylemeden Bana Sırlarını Söyle - Dünyadan Güncel Teknoloji Haberleri
Geliştiricilerin, sırlarının (şifreler, API anahtarları, özel anahtarlar, kriptografik sertifikalar vb HasMySecretSızdırılan hizmet



siber-2

2022’de tam anlamıyla 10 milyonun üzerinde sayı buldular

GitGuardian, insanların kendi uygulamalarını kullanmasını sağlamak için ekstra çaba harcadı Yayına çıktığı ilk birkaç haftada 9 Henüz sömürülmemiş olabilirler, ancak bu muhtemelen sadece bir zaman meselesi HasMySecretSızıntı denetleyicisi Sızıntı olup olmadığını görmek için gerçek sırları paylaşmanıza gerek yok Hizmeti kullanan herkesin hem güvenliği hem de gönül rahatlığı için mümkün olduğunca şeffaf olmayı ve sürecin mümkün olduğunca büyük bir kısmını müşteri kontrolüne bırakmayı seçtiler

Sırlarınız zaten kamuya açıklanmışsa, bilmek bilmemekten daha iyidir Sırlarınızın sızdırılıp sızdırılmadığını görmek istemiyorsanız bile müşterilerinizin, bilginin kendisini paylaşmadan hassas bilgileri paylaşmalarını kolaylaştırma çabalarınıza ilham vermek için kodlarına ve yöntemlerine bakmalısınız

Dikkatli bir değerlendirme ve testten sonra, bir gizli parmak izi protokolü bu sırrı şifreler ve karma hale getirir ve ardından yalnızca kısmi bir karma GitGuardian ile paylaşılır

Eğer kullanıyorsanız açık kaynak ggshield CLI hmsl komutunu kullandığınızda neler olduğunu görmek için CLI kodunu inceleyebilirsiniz Bu yeterli değilse Chrome’da veya başka bir tarayıcıda F12 geliştirici araçlarını açın ve web arayüzünün hangi bilgileri yukarı yönde gönderdiğini izlemek için “Ağ” paneline gidin

GitGuardian’ın mühendisleri, kendilerine güvenen müşterilerin bile bir API anahtarını veya başka bir sırrı web sayfasındaki bir kutuya yapıştırma konusunda endişeli olacağını biliyordu

Eğer kullanıyorsanız HasMySecretSızdırılan web Arayüzde, hash’i yerel olarak oluşturmak için bir Python betiğini kopyalayabilir ve çıktıyı tarayıcıya koyabilirsiniz

GitGuardian, geliştiricilerin ve işverenlerinin, milyonlarca sırrı yayınlamadan, mevcut ve geçerli sırlarının bu 10+ milyon arasında olup olmadığını görmelerini, tehdit aktörlerinin bunları bulmasını ve toplamasını kolaylaştırarak ve çok sayıda cinlerin ortaya çıkmasına izin vermeden nasıl mümkün kılabilirdi? bir sürü şişeden mi çıktı? Tek kelime: parmak izi Bununla, hash’i tersine çevirecek ve şifresini çözecek kadar bilgi sahibi olmadan potansiyel eşleşme sayısını yönetilebilir bir sayıyla sınırlandırabilirler


24 Kasım 2023Hacker HaberleriGeliştirici Araçları / API Güvenliği

Bu makalenin başlığı muhtemelen bir memenin başlığına benziyor HasMySecretSızıntı denetleyicisi Web aracılığıyla ve hatta daha fazlasını kullanarak GitGuardian kalkanı CLI Güvenliği daha da sağlamak için, istemci tarafına şifreleme ve sırrı karma haline getirme araç setini yerleştirdiler

Birincisi, eğer bir bitin kütlesini bir elektronunkine eşit olarak ayarlarsak, bir ton veri, standart Dünya yerçekiminde yaklaşık 121,9 katrilyon petabayt veri veya MacBook Pro depolama yükseltmelerinde 39,2 milyar milyar milyar ABD doları (hepsinden daha fazla) olacaktır Bu, pazarlama materyallerinin ötesine geçerek hsml komutu için ggshield belgeleri

Ama evet, GitHub’dan bir “ton” genel taahhüt ve özeti taradılar, taahhüt geçmişlerini dolaştılar ve şunu buldular: milyonlarca sırlar: şifreler, API anahtarları, özel anahtarlar, şifreleme sertifikaları ve daha fazlası 000’den fazla sır kontrol edildi Günde beşe kadar ücretsiz olarak kontrol edebilirsiniz Ve hayır, “milyonlarca” mecazi değildir Bunun yerine bu, GitGuardian mühendislerinin yeni uygulamalarının mekanizmalarını uygularken çözmeleri gereken gerçek bir sorundur dünyadaki para) ) halka açık GitHub depolarına girip girmediğini öğrenmelerine yardımcı olmak istiyorlardı Daha fazla güvence mi istiyorsunuz? Neyin aktarıldığını görmek için Fiddler veya Wireshark gibi bir trafik denetçisi kullanın Ve karşılığını aldı Halka açık GitHub depolarında bulunan geniş bir sır kütüphanesini ve geçmişlerini nasıl tarayıp, hassas bilgileri ifşa etmenize gerek kalmadan bunları sırlarınızla nasıl karşılaştırabilirler? Bu makale size nasıl yapılacağını anlatacak Dolayısıyla bu makale GitGuardian’ın bir “ton” GitHub genel taahhüt verisini taradığını iddia ettiğinde, bu gerçek değil mecazidir Sırrın kendisini tarayıcı tarafından iletilebilecek herhangi bir yere koymanız gerekmez ve betiği çalıştırmak için açtığınız terminal oturumunun dışına hiçbir şey göndermediğini kendinize kanıtlamak için 21 kod satırını kolayca inceleyebilirsiniz