Publicar la dirección IP del servidor proxy en github

0

¿Es seguro almacenar la dirección IP del proxy y el puerto en un archivo de configuración de shell en github? Veo a algunas personas haciendo eso y no me preocupo por eso.

    
pregunta konstunn 19.11.2016 - 16:30
fuente

2 respuestas

2

Probablemente no sea algo devastador, pero ciertamente es imprudente. Ignorar que un atacante lo use para descubrir (y alguien lo hará algún día), el problema más importante es almacenar archivos de configuración en su SCM representa una amenaza futura.

Cualquier infraestructura que tengas crecerá y evolucionará. Algún día alguien pondrá algo sensible (contraseñas, nombre de usuario, claves) en esos archivos de configuración sin pensarlo dos veces. Tan pronto como ejecutan 'git push', el caballo ha abandonado el establo.

    
respondido por el Josh Bressers 19.11.2016 - 16:41
fuente
1

Aparte de los excelentes puntos que Josh aumenta , es posible que también desee considerar las implicaciones de la organización.

La etiqueta de seguridad adecuada es aumentar la sensibilidad de los usuarios al hecho de que publicar información confidencial es algo malo.

Por lo tanto, muchas organizaciones (empleados, institutos de investigación, universidades ...) hacen que los nuevos usuarios firmen algo que explica claramente que, bajo ninguna circunstancia, se les permite compartir información de acceso o credenciales con algún tercero. Al llevar las cosas a Github, estarías rompiendo ese contrato de manera demostrativa.

Por favor, siéntete un poco más preocupado por lo que realmente necesitas compartir con el mundo, en lugar de sentirte "cómodo". Al menos use un repositorio privado (esto no se aplica solo a github, sino también a bitbucket, gitlab, sourceforge y al millón de otros servicios de almacenamiento de archivos / códigos que existen).

Estoy de acuerdo con Josh, las direcciones proxy probablemente no son lo que yo llamaría información confidencial, pero lo siguiente que sabe es que alguien está empujando direcciones de correo electrónico internas, tokens API para los servicios que usa la compañía o simplemente nombres de empleados buenos y sencillos. Deja solo las cosas como contraseñas. Debido a que en el momento en que alguien se da cuenta de que ha compartido información crítica, y potencialmente ha causado daños a la compañía de esa manera, su menor preocupación es la facilidad con la que puede restaurar su configuración de shell en otra PC.

    
respondido por el Marcus Müller 19.11.2016 - 19:10
fuente

Lea otras preguntas en las etiquetas