gitee 码云私有仓库不可靠啊!配置文件的帐号密码一样泄漏!

2020-05-26 12:10:47 +08:00
 coderabbit

最近阿里云一直给我发漏洞邮件。我基本都不看的,但今天早上我看了下是我的一个 PHP 被人 fock 后拿去使用。我按阿里云上给的地址打开。好家伙完完整整的展现在我眼前所有配置的帐号密码都在!连接数据库也能连接!真是坑啊!然后我仔细一看我没有登陆 gitee 我准备登陆后联系对方。却发现登陆后这个仓库是个私有的仓库,既然是私有仓库我居然能看到配置。太坑啦!大伙最好别把你们的配置文件的帐号密码放在 gitee 了!

https://imgchr.com/i/tP5sl4 https://imgchr.com/i/tP5y6J https://imgchr.com/i/tP5fk6

11109 次点击
所在节点    程序员
59 条回复
micean
2020-05-26 12:31:36 +08:00
试了以下未登录访问自己的私有库文件,没啥问题啊
legiorange
2020-05-26 12:33:54 +08:00
@micean 能被采集到
labulaka521
2020-05-26 12:41:59 +08:00
还是存储到 github 吧,国内的不可靠
wizardoz
2020-05-26 12:47:39 +08:00
国内几家各种改来改去,烦了,累了。自建 gitlab 了。
superrichman
2020-05-26 12:49:46 +08:00
这个仓库是先被 fork 再设的私有还是设了私有之后还被 fork 的?
lasuar
2020-05-26 12:50:20 +08:00
私有仓库被别人怎么 fork ?看不到啊
lasuar
2020-05-26 12:51:22 +08:00
你说的这个是 P1 级的产品 BUG,你确定是设置私有仓库后被别人 fork 了吗?
lasuar
2020-05-26 12:51:48 +08:00
应该是 P0 级
favourstreet
2020-05-26 12:52:27 +08:00
不看阿里云的报警这也太心大了。别说 gitee 了,把 AK/SK 之类的东西明文放到公网上,别管什么地方,都要提前留一手,侥幸心理害人……
redtea
2020-05-26 12:57:26 +08:00
数据库直接连接不加跳板吗?
Mithril
2020-05-26 13:00:10 +08:00
私库不登陆还能看是什么鬼操作。。。这玩意难道不算 0 级 bug ?
luob
2020-05-26 13:01:46 +08:00
有一说一,无论私有公开,所有的代码文件都应当保持随时可以被开源的状态。生产环境的密码只能出现在生产环境,不应该出现在其他任何地方。
coderabbit
2020-05-26 13:04:10 +08:00
@superrichman 我的仓库公有,别人的私有!我能看到别人私有的项目代码!然后我好奇的连接配置账号密码正确!
@lasuar 我的是共有的,对方的私有…
imn1
2020-05-26 13:11:27 +08:00
@coderabbit #13
你应该加个 append
就是说你自己没放账号密码,但你检视对方私有库时却看到对方的账号密码?
lasuar
2020-05-26 13:36:32 +08:00
@coderabbit 你的密码改了吧,把对方的仓库地址贴一下
kylix
2020-05-26 13:37:31 +08:00
gitee 反正我是不敢用的,个人观点
Mithril
2020-05-26 13:43:10 +08:00
@kylix 他们家已经出了好几次问题了吧
oschina
2020-05-26 13:43:58 +08:00
私有仓库,只要对方把你加到他的仓库成员,就可以访问,否则你永远访问不到私有仓库!!!
oschina
2020-05-26 13:45:56 +08:00
任何 Gitee 的私有项目都不可能被采集到,从你的截图可以看到你是一个公开项目。
zoharSoul
2020-05-26 13:48:11 +08:00
什么乱七八糟的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/675553

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX