Pubblicazione dell'indirizzo IP del server proxy su github

0

È sicuro memorizzare l'indirizzo IP e la porta del proxy in un file di configurazione della shell su github? Vedo che alcune persone lo fanno e non ti preoccupare.

    
posta konstunn 19.11.2016 - 16:30
fonte

2 risposte

2

Probabilmente non è qualcosa di devastante, ma certamente non è saggio. Ignorando un utente malintenzionato che lo utilizza per la scoperta (e qualcuno lo farà un giorno o l'altro), il problema più grande è la memorizzazione dei file di configurazione nel tuo SCM che rappresenta una minaccia futura.

Qualunque infrastruttura tu abbia, crescerà e si evolverà. Un giorno qualcuno metterà qualcosa di sensibile (password, nome utente, chiavi) in quei file di configurazione senza pensarci due volte. Non appena corrono 'git push', il cavallo ha lasciato il granaio.

    
risposta data 19.11.2016 - 16:41
fonte
1

A parte gli eccellenti punti Josh rilanci , potresti anche prendere in considerazione le implicazioni organizzative.

Un'appropriata etichetta di sicurezza aumenta la sensibilità degli utenti sul fatto che pubblicare informazioni riservate è una cosa negativa.

Quindi, molte organizzazioni (dipendenti, istituti di ricerca, università ...) fanno firmare ai nuovi utenti qualcosa che spiega chiaramente che, in nessuna circostanza, possono condividere le informazioni di accesso o le credenziali con terze parti. Spingendo le cose a github, si sarebbe manifestativamente infranto quel contratto.

Per favore sentiti un po 'più preoccupato di ciò che hai veramente bisogno di condividere con il mondo, contro ciò che sembra "comodo". Almeno utilizza un repository privato (questo non si applica solo a github, ma anche a bitbucket, gitlab, sourceforge e altri milioni di servizi di archiviazione di file / codice).

Sono d'accordo con Josh, gli indirizzi proxy non sono probabilmente quelli che chiamerei informazioni riservate - ma la prossima cosa è che qualcuno sta spingendo indirizzi email interni, token API per servizi che l'azienda utilizza o semplicemente semplici nomi di impiegati. Per non parlare di cose come le password. Perché quando qualcuno scopre di aver condiviso informazioni critiche e potenzialmente ha causato danni all'azienda in quel modo, la tua preoccupazione minore è la facilità con cui puoi ripristinare la configurazione della shell su un altro PC.

    
risposta data 19.11.2016 - 19:10
fonte

Leggi altre domande sui tag