社区
教程
Wiki
注册
登录
创作新主题
社区所有版块导航
Python
python开源
Django
Python
DjangoApp
pycharm
DATA
docker
Elasticsearch
分享
问与答
闲聊
招聘
翻译
创业
分享发现
分享创造
求职
区块链
支付之战
aigc
aigc
chatgpt
WEB开发
linux
MongoDB
Redis
DATABASE
NGINX
其他Web框架
web工具
zookeeper
tornado
NoSql
Bootstrap
js
peewee
Git
bottle
IE
MQ
Jquery
机器学习
机器学习算法
Python88.com
反馈
公告
社区推广
产品
短视频
印度
印度
一周十大热门主题
ChatGPT 助力科研,使您科研创新与效率双提升!
GitHub(微博搜索)-20240417-1
Github霸榜,今年最火后端项目,北大学霸开源,万人催更!
ChatGPT,峰值已过?
2024 ChatGPT最新一区Top文章《ChatGPT+MATLAB 在岩土工程中的应用》快来看...
GitHub(微博搜索)-20240418-1
中国AIGC最值得关注企业&产品榜单揭晓!首份应用全景图谱发布
MySQL用得好好的,为啥非要转ES?
香港科技大学(广州)机器学习基础实验室招收多名2024Fall/2025Spring博士生、研究助理...
杨小渝研究员:高通量多尺度材料计算和机器学习,助力新材料研发“弯道超车”
关注
Py学习
»
Git
大量用户误提交cookie数据,GitHub未打算修复遭吐槽
OSC开源社区
• 2 年前 • 248 次点击
文 | 罗奇奇
出品 | OSC开源社区(ID:oschina2013)
据外媒 the Register 报导:伦敦铁路服务公司的安全工程师艾丹·马林(Aidan Marlin) 发现 GitHub 存储库正在提供数千个包含敏感数据的 Firefox cookie 数据库,这些数据可能被用于劫持已经过身份验证的会话。
这些 cookie.sqlite 数据库通常位于 Firefox 配置文件文件夹中,用于在浏览会话之间存储 cookie。它们可以通过使用特定的查询参数在 GitHub 上搜索找到,也就是所谓的 “Github search dork”(dork 可用于在开源的 Github 仓库中搜索敏感的个人和/或组织信息,如私钥,凭据,身份验证令牌等)。目前受影响的 GitHub 用户大多工作在跨多台计算机的公共环境,当他们从 Linux 主目录提交代码,并将其推送到公共存储库时,Sqlite 数据库就会被包含在内。
大多数情况下,用户并不知道他们已经主动上传了 cookie 数据库,所以这个 cookie 泄露问题其实用户占主要责任。但目前这个 Github dork 已有近4500次点击,所以马林认为 GitHub 也有义务注意并修复此问题。然而,GitHub 的一名代表告知马林“用户泄露的证书不在 Bug Bounty 计划的范围内”,这意味着 Github 近期未打算发布补丁修复此问题。马林认为 GitHub 没有认真对待用户的安全和隐私,这让他感到很沮丧:“它至少可以阻止这个 GitHub dork 得到搜索结果。”
坏消息是,
GitHub dorks 不是什么新鲜事,是个老问题;
好消息是,会话相关的 cookie 很快过期。或许正是出于此原因,Github 并未将此 Cookie 问题放在心上。
END
留言送书啦!
点击下方图片查看活动详情~
觉得不错,请点个
在看
呀
Python社区是高质量的Python/Django开发社区
本文地址:
http://www.python88.com/topic/123300
248 次点击
登录后回复