开源博客的潜在信息泄露风险

39 天前
 jqknono

常用的开源平台 GitHub Pages 比较受欢迎,其要求公开仓库才允许公开访问。但仓库公开后,一些标记为草稿的文章也可以从 Git 仓库访问到。

开源博客可能会泄露个人信息,以下是一些常见的信息泄露关键词,欢迎评论补充。

敏感词

中文敏感词:

英文关键词:

正则搜索:

(密码|账号|身份证|银行卡|支付宝|微信|手机号|家庭住址|工作单位|社保卡|驾驶证|护照|信用卡|username|password|passwd|account|key\s*:|\.ini|credential|card|bank|alipay|wechat|passport|id\s*:|phone|address|company|jwt)

如果使用 VSCode 作为博客编辑器,可以使用正则搜索快速进行全站搜索,检查可能泄露信息的位置。

Git 历史

Git 历史可能包含信息泄露,通过简单的脚本即可扫描开源博客的历史提交信息。

如果是自己的仓库,可以通过以下方式清除历史。如果需要保留历史信息,则不要清除。

请务必确认理解命令含义,谨慎操作,操作前请备份重要数据。

git reset --soft ${first-commit}
git push -f
4658 次点击
所在节点    程序员
43 条回复
deplives
39 天前
还好我的主仓库是私有的
lazyyz
39 天前
确实需要注意隐私安全
mouyase
39 天前
建议把仓库设置为私有
googlefans
39 天前
文章中为啥要留下这些敏感个人信息呢
littlewing
39 天前
为什么要把这些信息 commit 到 git 仓库呢
jqknono
39 天前
@googlefans 比如技术博客分享的脚本
jqknono
39 天前
@littlewing 被提交到 git 的除了 feature 还有 bug
lry
39 天前
还好我用的是 private repo + cloudflare page
coolcoffee
39 天前
楼上 cloudflare page 是一种方式,通过私有仓库 action build 到公开仓库也是一种方式。

当然最直接的还是付费 Github Pro ,直接支持私有仓库发布 Pages 。
ryan4yin
39 天前
可以用一些脚本辅助,但最主要的还是自己要养成良好的安全习惯,写博客时自己就应该时刻注意这些。
Irilsy
39 天前
原来 github page 必须得公开仓库吗,还是学生一直都有学生包,完全没意识到。
SculptureSand
39 天前
刚好最近刷到一个专门用于检测密钥泄漏的项目
https://github.com/trufflesecurity/trufflehog
cosette
39 天前
公开仓库的 force push 没用,GitHub 有 activity (看网页的右侧边栏),我觉得可能很多人都没注意到这个功能,你的每一次最近操作都会存档。

如果真的不小心推送了敏感信息,应该联系 GitHub 客服处理,不要觉得重置了 commit history 就万事大吉了,GitHub 不止是 git 。
cosette
39 天前
如果使用 hugo 等静态博客系统,一种折中的方案是本地编译后把 public 文件夹内的产物上传到 GitHub 即可,这个 public 默认不会包括 drafts 。
Int100
39 天前
GitHub Pages 必须公开仓库????

我这从来都是 private repo ,一样用啊
Int100
39 天前
GitHub Pro 可以解决这个问题
imgradeone
39 天前
@Irilsy 具体来说是,私库要开 GitHub Pages 就必须开 GitHub Pro ,学生包刚好有 Pro 的功能
liuidetmks
39 天前
一般是把 html 和 markdown 分为两个仓库
bruce0
39 天前
我都是两个仓库, page 用一个 public 的仓库, 我自己写 Markdown 的在一个 private 仓库,通过 ci 自动发布到 public 的仓库
jqknono
39 天前
@cosette 我还不知道这个,感谢

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1088970

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX