Email or username:

Password:

Forgot your password?
Top-level
Сірьога-Сенсей

@bano @astrr и потом случается самсунг 🤣

//(или ктото другой кто хранил клучи в публичных репах)

3 comments
D:\side\

@SergoZar публичные-то? Да пожалуйста :blobcatthumbsup:

@bano @astrr

アストラ!אסטרה

@SergoZar @bano

А в чем проблема хранить публичные ключи на публичном сервере?

I'm Mary Poppins, y'all

@astrr @SergoZar @bano теоретически - в том, что получив доступ к аккаунту на публичном сервисе, злоумышленник может добавить свой ключ и в список публичных тоже получить доступ на серверы. При условии, что список людей периодически перекачивается (а особенно если это автоматизировано).

Риск несколько снижается, если подключена двухфакторная авторизация. Однако я бы перед тем как использовать такую штуку еще прочитал в документации к API какой скоуп нужен для управления ключами и провёл ревизию авторизованных через oauth приложений на предмет того, у каких из них есть достаточный скоуп, и что с этим всем делать. А то недавно была статья о том, что человек авторизовался через github-овый oauth на сомнительном сайте, а приложение помимо всего прочего запросило достаточно прав чтобы выставлять от имени пользователя звёздочки проектам, ну а сомнительный сайт этим пользовался с аккаунтов всех кто там авторизовался накручивал лайки. Пользователь узнал об этом из-за того, что словил бан за накрутку.

@astrr @SergoZar @bano теоретически - в том, что получив доступ к аккаунту на публичном сервисе, злоумышленник может добавить свой ключ и в список публичных тоже получить доступ на серверы. При условии, что список людей периодически перекачивается (а особенно если это автоматизировано).

Риск несколько снижается, если подключена двухфакторная авторизация. Однако я бы перед тем как использовать такую штуку еще прочитал в документации к API какой скоуп нужен для управления ключами и провёл ревизию авторизованных...

Go Up