La idea es encontrarlos, advertirlos, exponerlos, buscar métodos para que esto no pase, divertirnos un poco y por sobre todas las cosas aprender no solo de nuestros propios errores sino ayudando a los demás.
Antes de comenzar a publicar algunos repositorios con archivos de configuración, intentar crackear password en MD5 o SHA1 le pedimos a GitHub que nos encuentre todos aquellos archivos de extensión log con la clásica frase: “your password is”
La cadena final para buscarlos sería la siguiente:
"your password is" extension:log
https://github.com/search?l=&p=1&q=%22your+password+is%22+extension%3Alog&ref=advsearch&type=Code
nos vamos hasta la sección de código ya que el operador extension funciona para todo lo que es búsqueda de código y vemos con qué nos encontramos:
Por otro lado encontramos ofuscada la contraseña XD
Ahora bien la pregunta es, como podemos resolver este problema de publicar archivos que quizás no deberían ser públicos, incluso no deberían estar en los repositorios.
Lo primero que vamos a hacer en todo proyecto es analizar cuál es el contenido y los archivos que voy a estar subiendo, busqué las extensiones log por que generalmente se encuentran registrada los chat o mensajes de los mismos sistemas que por lo general crecen indefinidamente y podemos encontrar de todo. ¿Es necesario publicar un log en un repositorio público? Si la respuesta es NO entonces la clave está en configurar o crear el archivo .gitignore algo que GitHub está promoviendo para que los usen y especificar la siguiente línea
$ vim .gitignore
# File Logs
*.log
guardar ese archivo y el proximo commits que realicemos va a ignorar todos aquellos archivos que cumplan con esa condición, con esto vamos a tener en repositorio local la bitácora completa del archivo pero no lo vamos a subir a GitHub.
Simple? Rápido? Entonces a poner en práctica.
Saludos!
No hay comentarios.:
Publicar un comentario