GitHub делится личными данными тысяч ничего не подозревающих пользователей Firefox

Виталий Стриж, 21 ноября 2021 в 17:33. 51

GitHub делится личными данными тысяч ничего не подозревающих пользователей Firefox

Хранилища, размещенные на платформе GitHub, легко доступны и полны личных данных пользователей Firefox. Почему сайт их не защищает?

GitHub – популярная платформа для разработки программного обеспечения, чья аудитория давно перевалила за 40 млн пользователей. Сайт предлагает бесплатный хостинг для проектов с открытым исходным кодом или поддержку частных репозиториев – места, в котором хранятся и поддерживаются какие-либо данные. Эти возможности означают, что миллионы пользователей имеют свои учетные записи на веб-сайте, и многие из них стремятся оставить там свои данные. Оказывается, не все они должны быть там, и GitHub не будет нести особой ответственности за их невнимательность. Правильно ли это?

Любой, у кого есть доступ в интернет и электронную почту, может создать учетную запись на GitHub. Выполнения этих двух требований достаточно, чтобы пользователь мог разместить код своего авторства в ресурсах портала. Хотя это кажется очень удобным решением, для начинающих программистов оно может превратиться в русскую рулетку.

Публикуя созданный код, мы должны помнить, что только частные хранилища остаются нашей исключительной собственностью. Все, что мы добавляем публично, автоматически становится доступным каждому пользователю портала. Благодаря этому программисты могут учиться на собственных и чужих ошибках и активно участвовать в интересных проектах. За этим великолепием простоты, правда, скрываются все недостатки социальных сетей, но подправленные по максимуму.

Начинающие программисты могут столкнуться с разрушительной критикой, в то время как продвинутые разработчики должны учитывать, что их работа будет и дальше использоваться. Кроме того, написание кода, который мы хотели бы показать миру, — это только начало. Настоящей проблемой для нескольких тысяч активных пользователей оказалась сила файлов cookie и то, как работает веб-браузер.

В общедоступных репозиториях GitHub легко искать, и многие опытные разработчики делают это для развлечения. Около дюжины дней назад Эйдан Марлин, профессиональный специалист по безопасности, решил провести некоторое время подобным образом.

Он заметил, что, сформулировав соответствующий запрос к общедоступным репозиториям GitHub, можно было получить результат нескольких тысяч ответов с файлами cookie, хранящимися в браузере Firefox. Это базы данных cookie.sqlite, сгенерированные в сеансе браузера, используемые автором при публикации.

Они сопровождают опубликованный код, потому что запускаются из домашнего каталога Linux. В этой ситуации за ним следуют дополнительные ненужные данные, такие как временные файлы веб-браузеров. Хотя это поведение связано с ошибками пользователя, было так много ответов только для одного браузера, что Марлин решил сообщить об этом платформе через HakerOne.

В ответ GitHub заявил, что это не проблема на стороне портала, и закрыл отчет.

Mozilla прокомментировала проблему аналогичным образом, но ответ ее пресс-секретаря должен внести в GitHub некоторую ясность. Производитель Firefox подтверждает, что предлагаемый способ обнародования конфиденциальных данных возможен, если не типичен. Кроме того, не только для Firefox, но и для всех веб-браузеров. Единственное, что он может порекомендовать в этой ситуации, — это использовать Firefox Sync, версию браузера с дополнительным шифрованием.

Это сомнительное решение проблемы, но Mozilla совершенно справедливо не увидела недостатков в своем продукте и дипломатично предложила дополнительные меры предосторожности. Когда мы используем GitHub, данные в браузере сохраняются точно так же, как при переводе в онлайн-банке или онлайн-регистрации к врачу. Дополнительный пароль или шифрование базы данных файлов cookie не являются стандартными, поскольку в любом случае срок действия файлов cookie быстро истекает. Таким образом, достаточно того, что веб-сайт, который мы посещаем, не позволяет сделать их доступными. Вся проблема в том, что GitHub позволяет.

Портал не комментировал ситуацию, но реакция на сообщение о проблеме позволяет предположить, что он не хочет заботиться о безопасности своих пользователей. И это должно быть по двум причинам. Нет причин доверять своим пользователям, и эффективное ограничение проблемы находится исключительно в его компетенции.

При использовании GitHub его пользователи должны иметь возможность контролировать то, что они публикуют. Проблема в том, что у GitHub нет причин требовать этот навык от своих пользователей, сайт позволяет любому, кто хочет использовать все его ресурсы. Он не проверяет знания тех, кто создает учетную запись.

Назвать специализированный портал недостаточно только программистам, которые всегда продвинуты и сознательно используют доступные инструменты. Для этого необходимо ограничить доступность сайта и исключить из него гаджеты для программирования и новичков. GitHub избегает этой идеи и позволяет всем выступать публично, негласно рекомендуя вам оформить собственную страховку.

Опытный разработчик приключений пользователей, которые по ошибке поделились своими личными данными, имеет право подшучивать. Однако сами преступники могут и не подозревать, что сделали что-то опасное. Ведь их ошибка – всего лишь одна база данных cookie.sqlite. По прошествии нескольких дней или даже часов с момента публикации он никому не принесет никаких релевантных данных. Проблема в том, что их ошибка – не одна из миллиона, а правило, которое можно использовать в публичном хранилище GitHub.

Многие такие базы данных, размещенные минуту назад, похожи на со вкусом оформленный подарок. Просто сделайте копию, поместите ее в папку Firefox Profiles, и мы окажемся везде, где владелец данных соизволил войти в систему при совместном использовании кода. Вы не всегда можете найти что-то интересное, но в публичных репозиториях Github есть легко доступный материал в массовых количествах. Это делает их отличным полем исследования не только для скучающих программистов. Только GitHub может полностью ограничить возникающие угрозы.

По материалам: hi-tech.news

Публикации по теме
Самая большая картина в мире из песка (видео) 17 февраля 2022, 16:32 Самая большая картина в мире из песка (видео)

В Объединенных Арабских Эмиратах создали самую большую в мире картину из песка. Огромная работа представляет десять выдающихся личностей из этой страны и контуры страны. На создание всего этого произведения художнику понадобился целый месяц.Арабские страны конкурируют друг с другом во многих...

Создана беспроводная клавиатура, которая имеет форму пары перчаток 17 февраля 2022, 14:32

Названная в честь того факта, что она вдохновлена ​​парой перчаток, Glove80 представляет собой раздельную клавиатуру с эргономичным дизайном и раскладкой, которая буквально повторяет форму человеческих рук. Разработанные в течение 6 лет, с более чем 500 сравнительными A/B-тестами, общая форма Glove80...

Создана беспроводная клавиатура, которая имеет форму пары перчаток
НАСА публикует первые изображения с IXPE. На них сверхновая Кассиопея А 16 февраля 2022, 13:12 НАСА публикует первые изображения с IXPE. На них сверхновая Кассиопея А

IXPE — новый космический аппарат НАСА для рентгеновских исследований. Телескоп был запущен в космос в декабре. Теперь у нас есть возможность увидеть первые снимки, снятые устройством. Они представляют собой сверхновые Кассиопеи А. На одном из них изображен объект в оттенках синего и пурпурного.НАСА...