パスワードを忘れた? アカウント作成
7220905 story
暗号

GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明 58

ストーリー by headless
公開 部門より
GitHubでは23日から新しいコード検索機能が利用できるようになったが、これにより多くのユーザーが秘密鍵やパスワードの格納されたファイルを誤って公開状態にしていることが明らかになったとのこと(The GitHub Blogの記事HotHardwareの記事SC Magazineの記事本家/.)。

ソースコードと秘密鍵などを同じ場所に保存し、そのままGitHubにアップロードしてしまうユーザーも多くいるようで、新しい検索機能でヒットするようになったことから表面化したものとみられる。 この話題はTwitterで広まり、Google Chromeのソースコードリポジトリにアクセスするための認証情報とされるものを含め、数多くの検索リンクが投稿された。その後、検索機能が一時的に使用できなくなり、被害の拡大を防ぐためではないかと推測されていたが、GitHubでは今回の件とは無関係だとしている。なお、現在のところ検索結果に秘密鍵などの情報は表示されないようだが、Googleなどのサーチエンジンを使用すれば引き続き検索は可能だ。GitHubは該当するユーザーに対し、個人情報を機密情報をリポジトリから即刻削除してパスワードや秘密鍵などを変更するように求めている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • だから言っただろ (スコア:5, おもしろおかしい)

    by iwakuralain (33086) on 2013年01月26日 19時35分 (#2313411)

    付箋紙に書いてPCに貼っておけとっ!!

    • by Anonymous Coward

      実際、どこでどうやって流出するかわからないからな。
      個人宅なら物理的に侵入されるようならどうせアウトなんだから、
      PCに貼っとくってのはいい考えかもしれん。

      • by Anonymous Coward on 2013年01月27日 0時20分 (#2313509)
        「た、たのむ俺はもう駄目だ、国に帰ったら俺のPCの左の上から二番目の付箋を破棄してくれ、可能ならDドライブの0クリアも、ぐはぁ!」
        親コメント
        • by Anonymous Coward

          >「た、たのむ俺はもう駄目だ、国に帰ったら俺のPCの左の上から二番目の付箋を破棄してくれ、可能ならDドライブの0クリアも、ぐはぁ!」
          ふ、あいつの趣味はわかっているつもりだったが、ここまでとは……
          選択:どうしますか?
          1-> 闇に葬る
          2-> githubへupload
          3-> もういちど見る

          • by Anonymous Coward

            「左から二番目」なんて重要な情報まで教える必要はないよね。
            「すべての付箋を破棄してくれ」とするべきだった。

    • by Anonymous Coward

      秘密鍵は16進数ダンプで。

      # 手書き!?

  • by Mozamimy (40461) on 2013年01月26日 19時01分 (#2313392) ホームページ
    GitHubでリポジトリを作ると、git initして云々といった、簡単な使い方の案内が出てきます。
    Gitを使いはじめるきっかけがGitHubで、よくわからないままにチュートリアル通りにコマンドを叩いた人たちがこうなってしまったと予想。

    # どうあれ、自分の叩いているコマンドの意味がわかっていないのは、開発者としてどうかと...
    • by Anonymous Coward

      秘密鍵は百歩譲るとして、パスワードを格納したファイルはアウトですよねぇ。

      • Re:チュートリアル (スコア:5, すばらしい洞察)

        by shesee (27226) on 2013年01月26日 20時07分 (#2313420) 日記
        いや譲るな。腐っても秘密鍵だぞ。
        親コメント
        • by s02222 (20350) on 2013年01月26日 23時50分 (#2313495)
          秘密鍵はファイルとして作られるとこまではそう言うもんだからしょうがないし、うっかりミスでアップロードするのもありうるけど、「パスワードを格納したファイル」なんてのは作った時点でアウト、の意味かと思った。

          ただまあ、突き詰めると、「パスワードファイルは論外」は、「秘密鍵を作ってファイルへ保存」という秘密鍵の運用そのものを真っ向否定していると言えなくもなく。

          色んなソフトが色んな用途に使う秘密鍵を、それぞれ単なるファイルとしてあちこちに置いておく、という運用を改めるべきかな。 なにかしら、統一的な秘密鍵管理ソフトを用意して、定められた正しい手順(かroot権限であれこれ特殊な操作をする)でないと読めない、みたいな。
          親コメント
          • by Anonymous Coward

            秘密鍵はファイルとして作られるとこまではそう言うもんだからしょうがないし、うっかりミスでアップロードするのもありうるけど、「パスワードを格納したファイル」なんてのは作った時点でアウト、の意味かと思った。

            もとACです。その意で合ってます。
            うっかりオペミス。しかも、気づかなかったよ、コンボです。

        • by Anonymous Coward on 2013年01月26日 20時23分 (#2313427)

          chrome extensionの鍵関係がめんどくさいのが悪い

          親コメント
          • by Anonymous Coward

            「パスワードマネージャが不便だからパスワード書いたファイルをアップロードしてしまうのだ」と同レベルのことをいってると気付け

            • by Anonymous Coward

              だが現実を無視しても何もならんのにも気づこうよ

              • by Anonymous Coward

                だが現実を無視しても何もならんのにも気づこうよ

                「chrome extension の鍵関係がめんどくさいからパスワードをファイルに平文で保存してます」
                「家の鍵を持ち歩くのが面倒だから郵便受けに鍵を入れてます」

                無視しているのは現実か自分の愚かさか。

          • by Anonymous Coward

            マーケットに代表で公開する人が鍵を管理すればいいのかも

    • by Anonymous Coward

      自分の叩いているコマンドの意味がわかっていないのは、開発者としてどうかと

      開発者の多く(たとえばスラド民の多くにも相当すると思うが)は、
      結局そんなもんだったということですね。
      なんか証明されてしまった気がする。

      全てのことに時間は割けないのでそれ当然だとは思うが。

      • by Anonymous Coward

        ライブラリのすべてを理解して使っているのか、ねちねちと以下省略

        • by Anonymous Coward

          すべてを理解して使ってないのは当然だと元コメで言っているだろ。
          そのくらい読め。

          偉そうに講釈たれている自分を棚に上げて偉そうに文句を言うなって事。
          もし言うならば面白いこと言え。
          ねちねちと以下省略

  • 気にしなくて良い (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2013年01月26日 22時49分 (#2313466)

    その程度の理解しかしてない開発者の作るものなど
    どうでも良いものか、若しくはセキュリティがボロボロのソフトだけだ。

    実質的な被害は何もないと言える。

    • by Anonymous Coward

      泡沫ソフトだけならいいけど、
      けっこうな大物ソフトでも、秘密鍵とパスワードファイルを同じ場所で公開、をやらかした人がいるから
      プロジェクトメンバーの管理という面でなにか根本的に不足があるんじゃないかと思ってしまいます。

      # 個別に指摘しても、何の対応説明もなければ当事者にお咎めもなかったし

  • by SAN0 (45971) on 2013年01月27日 19時48分 (#2313746)

    秘密鍵を変更してリポジトリから削除しても、すでに秘密鍵がを見られていたら、他人に自分の名前で署名をつけられてしまう。だから、誰かに公開鍵を渡していたら、それらを破棄してもらう必要がある。

    自分のことじゃないとはいえ、手間を考えたら、めまいがしてきた。
    流出したのが、外部に出さない開発時専用等のキーだけだったと思いたい。

    • by Anonymous Coward

      ♪りぼーくりぼーくたのしいな

      世界中に広まるのいつかな~

  • by Anonymous Coward on 2013年01月26日 18時58分 (#2313389)

    この話題はTwitterで広まり、Google Chromeのソースコードリポジトリにアクセスするための認証情報とされるものを含め、数多くの検索リンクが投稿された。

    Twitterが新しいバカ発見器に進化した瞬間か。

    • by Anonymous Coward

      だいぶ前からそういう認識の人はいましたよ。ここの日記でもそう書いてる人はいましたからね。
      あなたにとっての瞬間は他の人にとっては既に通り過ぎた道標かもしれません。

    • by Anonymous Coward

      git(ばか)のhub(中枢)ですしね。

    • by Anonymous Coward

      アップロードしてしまった時点で秘密鍵を変更しなければならないことは確定なのに、
      検索のリンク晒したことによって新たにどんな被害がでるのよ。
      バカと断定するからには説明出来ますよね?

      • by Anonymous Coward

        アップロードした段階で馬鹿確定だろ?

        • by Anonymous Coward

          そういうことか。
          Tweetしてる人がバカ呼ばわりされてんのかと思ったわ

          • by Anonymous Coward

            わかってもらえてうれしい。
            あなたは親切な人だ

            • by Anonymous Coward

              できればもうちょっとわかりやすく。。。とは思った。
              多分咀嚼できてない人多いと思うよ。
              Twitter上でバカが大漁からTwitter上でバカがさらされるようになったと言いたかったんだろうけど。

              • by Anonymous Coward

                進化してない人は置いていけばいいんだよ

  • こうういう可能性もあって
    * sf.net/sf.jp
    * github
    * ローカル
    と鍵分けておいて正解だった

    必要だったら差し替えよっと。

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2013年01月26日 23時02分 (#2313472)

    え、ライセンス満たすために秘密鍵を公開する必要があったって話じゃないの?

  • by Anonymous Coward on 2013年01月27日 1時35分 (#2313529)

    この調子だと、「手元でファイルを消す」だけで済ませる人も多そう。
    そうなると、バージョンを巻き戻せばあっという間に元通り。
    そういう時に、git filter-branchできちんと対処しましょう。
    http://network.station.ez-net.jp/special/git/usage/commit/remove-file.asp [ez-net.jp]
    に作業例が。

    • by Anonymous Coward on 2013年01月27日 11時16分 (#2313620)

      履歴から消すかどうかより、ちゃんとパスワード変える方が大事ですね。
      もう漏れてしまったパスワードなので。

      親コメント
      • by Anonymous Coward

        ここまでやっても他人にpullやらforkやらされてしまったリポジトリからは消せないしね。
        むしろ消したファイルがあったことが露見しやすくなるのではないか。

    • by Anonymous Coward

      勘違いするだろ、ネットで公開したら全部けせないんだから、早く変更

  • 多分やばいのだろうけど、いちいち外すのが面倒くさい。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...