GitHub 和微信合作。。。脱裤子放屁

2022-12-20 12:41:49 +08:00
 superrichman

https://github.blog/changelog/2022-12-19-tencent-wechat-is-now-a-github-secret-scanning-partner/

GitHub will forward access tokens found in public repositories to Tencent WeChat, who will notify affected users.

Github 扫瞄项目中泄漏的 token ,然后发给微信,然后微信再通知用户???这是什么中间商赚差价的操作? Github 你 tm 就不能直接通知用户?

PS: 一点阴谋论, 有没有其它信息发给微信了?

15276 次点击
所在节点    程序员
89 条回复
T0m008
2022-12-20 14:10:20 +08:00
@superrichman 你能枚举到 token 不正说明 token 被破解了,不安全了吗,正好需要通知微信和用户更换新的 token
superrichman
2022-12-20 14:21:50 +08:00
@jamosLi 邮件当然是每天都看的。
接口出现信息泄露,临时设置为不可访问不是正常操作吗?

@T0m008 我举的这个例子不能算是 token 被破解。因为攻击者只是放了个字典,由 GitHub 完成请求的提交,攻击者看不到回显的结果。但是有可能造成实际的破坏。就好像随机砸死一位幸运观众 🐶
2kCS5c0b0ITXE5k2
2022-12-20 14:22:14 +08:00
建议 OP 马上放弃 Github! 建议 OP 马上放弃 Github! 建议 OP 马上放弃 Github!
讨论完毕
ttyhtg
2022-12-20 14:24:16 +08:00
个人失误导致人人都可以获取到的 token ,为什么那么介意某个人或者某个组织获取到?关注点是不是有点儿偏差?
人家 github 这种做法所付出的成本实际是为用户个人的失误买单,尽量减少个人失误可能导致的个人及所在组织和服务的损失?好心没好报?

人家文档里说的很清楚啊,你们在这里吵什么?


Secret scanning 在 GitHub.com 上以两种形式提供:

1 。 在所有公共存储库上自动运行。 与机密扫描合作伙伴提供的模式匹配的任何字符串都将直接报告给相关合作伙伴。
2 。 使用具有 GitHub Advanced Security 许可证的 GitHub Enterprise Cloud 的组织可以为组织拥有的仓库启用和配置额外扫描。与机密扫描合作伙伴、其他服务提供商或你的组织定义的模式匹配的任何字符串都会在存储库的“安全”选项卡中报告为警报。 如果公共存储库中的字符串与合作伙伴模式匹配,则也会向合作伙伴报告该字符串。



1 、联系 GitHub 以启动流程。
2 、识别要扫描的相关密码,并创建正则表达式来捕获它们。
3 、针对在公共仓库中发现的密码匹配项,创建一个密码警报服务,以便从 GitHub 接受包含 secret scanning 消息有效负载的 web 挂钩。
4 、在密码警报服务中实施签名验证。
5 、在密码警报服务中实施密码撤销和用户通知。
6 、提供误报的反馈(可选)。
cweijan
2022-12-20 14:25:32 +08:00
阿里和腾讯的 token 检测估计也是这种方式, Github 怎么可能直接推送, 它又不知道你的 Token 是否正确, 阴谋论都是 sb.
codehz
2022-12-20 14:31:12 +08:00
github 其实是给自己节约资源,因为一直以来各大云厂商都是用类似 https://api.github.com/events 直接获取所有推送上去的 commit 信息(
这样 github 压力很大的,所以自然要专门给 token 扫描提供第一方的支持
xFrye
2022-12-20 14:32:11 +08:00
小龙哥有很多值得喷的地方,但 op 看到微信就逮着无脑骂有点不可取哦
chrawsl
2022-12-20 14:36:44 +08:00
这有什么好阴谋论的?都泄露到 github 了不就已经公开了吗,发给微信提醒一下 token 主人挺好的呀
anzu
2022-12-20 14:38:19 +08:00
几年前有个同事把代码放到 github ,后来阿里云就短信通知技术负责人 AccessKey 泄露了,虽然那个账户权限不大。
不知道是 github 通知阿里云的还是阿里云自己扫的。
这些配置有固定名称、格式,很容易检索和匹配。
Timzzzzz
2022-12-20 14:43:45 +08:00
你这不是为了喷而喷吗?
Focus9
2022-12-20 14:45:56 +08:00
微信是原罪拉
optional
2022-12-20 14:52:46 +08:00
说明你不懂 token ,你要是能枚举到一个合法 token ,建议你不要薅微信,直接对着银行来
alne
2022-12-20 14:58:46 +08:00
@zxCoder v2 什么地方,只要和中国沾上关系那就是原罪。
flyqie
2022-12-20 14:58:57 +08:00
搞不懂楼主的逻辑。

1. 代码里的 key 不存在需要模糊检索对应用户的可能性,有就是有没有就是没有。

2. 微信的 key 想要撞出来是比较难的,微信开发团队没那么傻逼。

3. 要是幸运的撞出来了,那你扔到 public 本身也就是泄露,不存在误伤,因为确实有恶意用户专门盯着 public 扫然后尝试利用,扫描范围自然也包括你上传的那个 public 项目。
xiaomingVTEX
2022-12-20 15:02:43 +08:00
初一看 不明所以,看了原文,不觉得问题,GitHub 会将泄漏的 token 发送给腾讯微信,腾讯微信会通知 token 所有者 token 泄漏

腾讯微信现成为 GitHub 扫密合作伙伴
2022 年 12 月 19 日
GitHub 秘密扫描通过在存储库中搜索已知类型的秘密来保护用户。通过识别和标记这些秘密,我们的扫描有助于防止数据泄露和欺诈。

我们与腾讯微信合作,扫描他们的令牌,并使用 GitHub Advanced Security 帮助保护我们共同用户在所有公共存储库和私有存储库上的安全。腾讯微信令牌允许用户验证微信公众号和小程序开发者,获取有关业务应用程序的敏感信息,并可用于验证商家身份。

GitHub 会将在公共存储库中找到的访问令牌转发给腾讯微信,后者将通知受影响的用户。腾讯微信鼓励用户删除 GitHub 上泄露的 API token ,并在微信支付商户平台或微信公众平台创建新的 token 。有关腾讯微信令牌的更多信息,请参见[此处]( https://pay.weixin.qq.com/docs/merchant/development/key-leak-mitigation-guide.html)

> 来自 GitHub 的警告
>
> 将提交推送到 GitHub 后,应将提交中的所有敏感数据视为泄露。 如果你提交了密码,请更改密码! 如果您提交了密> 钥,请生成新密钥。 删除泄露的数据并不能解决其初始暴露问题,尤其是在仓库的现有克隆或复刻中。
zhzy0077
2022-12-20 15:13:04 +08:00
op 是程序员吗 这开源项目里的 token 每天不知道多少爬虫在爬 就算不区分是不是微信的全塞给微信又有什么问题?你都放在开源 repo 里了 早被爬干净了。

怀疑是在骗我的铜币
mozhizhu
2022-12-20 15:33:09 +08:00
正常操作,之前不小心把阿里的 token 放到 npm 里面去了,第二天就收到阿里的邮件提醒了
JustSong
2022-12-20 15:38:48 +08:00
绝了,token 怎么枚举你告诉我?你是不是对 n 的 m 次方的大小有误解?
PureWhiteWu
2022-12-20 15:54:05 +08:00
打了好长一串,算了,全删了。
dethan
2022-12-20 15:59:54 +08:00
@PureWhiteWu 你叫不醒一个装睡的人,这根本就不是一个技术问题

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/903703

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX