Sto lavorando su un'app Web e potrei eventualmente voler coinvolgere altri nel progetto. Ho due serie di credenziali GitHub: una chiamata Foo che richiama a foo.com/endpoint
e una chiamata Foo - TEST CREDENTIALS che richiama a foo.local/endpoint
. L'idea è che posso condividere le credenziali di test con altri sviluppatori e possono modificare il loro /etc/hosts
per i test locali.
In genere sono una persona fidata, ma esiste un modo in cui un utente malintenzionato potrebbe utilizzare ragionevolmente queste credenziali di prova per il male? Secondo me, dovrebbero:
- Assicurati che il DNS per la connessione della vittima a
foo.local
punti al loro server. - Assicurati che la vittima acceda a
foo.local
anzichéfoo.com
. - Spero che la vittima accechi ciecamente l'accesso e non noti i - TEST CREDENTIALS nel nome dell'applicazione nella schermata di autorizzazione di GitHub.
Questo mi sembra abbastanza inverosimile, quindi ho intenzione di affermare che è sicuro distribuire queste credenziali di prova ai colleghi. Qualcuno può dimostrarmi in errore fornendo un metodo di attacco più efficace?