アカウント名:
パスワード:
付箋紙に書いてPCに貼っておけとっ!!
実際、どこでどうやって流出するかわからないからな。個人宅なら物理的に侵入されるようならどうせアウトなんだから、PCに貼っとくってのはいい考えかもしれん。
>「た、たのむ俺はもう駄目だ、国に帰ったら俺のPCの左の上から二番目の付箋を破棄してくれ、可能ならDドライブの0クリアも、ぐはぁ!」ふ、あいつの趣味はわかっているつもりだったが、ここまでとは……選択:どうしますか?1-> 闇に葬る2-> githubへupload3-> もういちど見る
「左から二番目」なんて重要な情報まで教える必要はないよね。「すべての付箋を破棄してくれ」とするべきだった。
秘密鍵は16進数ダンプで。
# 手書き!?
秘密鍵は百歩譲るとして、パスワードを格納したファイルはアウトですよねぇ。
秘密鍵はファイルとして作られるとこまではそう言うもんだからしょうがないし、うっかりミスでアップロードするのもありうるけど、「パスワードを格納したファイル」なんてのは作った時点でアウト、の意味かと思った。
もとACです。その意で合ってます。うっかりオペミス。しかも、気づかなかったよ、コンボです。
chrome extensionの鍵関係がめんどくさいのが悪い
「パスワードマネージャが不便だからパスワード書いたファイルをアップロードしてしまうのだ」と同レベルのことをいってると気付け
だが現実を無視しても何もならんのにも気づこうよ
「chrome extension の鍵関係がめんどくさいからパスワードをファイルに平文で保存してます」「家の鍵を持ち歩くのが面倒だから郵便受けに鍵を入れてます」
無視しているのは現実か自分の愚かさか。
マーケットに代表で公開する人が鍵を管理すればいいのかも
自分の叩いているコマンドの意味がわかっていないのは、開発者としてどうかと
開発者の多く(たとえばスラド民の多くにも相当すると思うが)は、結局そんなもんだったということですね。なんか証明されてしまった気がする。
全てのことに時間は割けないのでそれ当然だとは思うが。
ライブラリのすべてを理解して使っているのか、ねちねちと以下省略
すべてを理解して使ってないのは当然だと元コメで言っているだろ。そのくらい読め。
偉そうに講釈たれている自分を棚に上げて偉そうに文句を言うなって事。もし言うならば面白いこと言え。ねちねちと以下省略
その程度の理解しかしてない開発者の作るものなどどうでも良いものか、若しくはセキュリティがボロボロのソフトだけだ。
実質的な被害は何もないと言える。
泡沫ソフトだけならいいけど、けっこうな大物ソフトでも、秘密鍵とパスワードファイルを同じ場所で公開、をやらかした人がいるからプロジェクトメンバーの管理という面でなにか根本的に不足があるんじゃないかと思ってしまいます。
# 個別に指摘しても、何の対応説明もなければ当事者にお咎めもなかったし
秘密鍵を変更してリポジトリから削除しても、すでに秘密鍵がを見られていたら、他人に自分の名前で署名をつけられてしまう。だから、誰かに公開鍵を渡していたら、それらを破棄してもらう必要がある。
自分のことじゃないとはいえ、手間を考えたら、めまいがしてきた。流出したのが、外部に出さない開発時専用等のキーだけだったと思いたい。
♪りぼーくりぼーくたのしいな
世界中に広まるのいつかな~
この話題はTwitterで広まり、Google Chromeのソースコードリポジトリにアクセスするための認証情報とされるものを含め、数多くの検索リンクが投稿された。
Twitterが新しいバカ発見器に進化した瞬間か。
だいぶ前からそういう認識の人はいましたよ。ここの日記でもそう書いてる人はいましたからね。あなたにとっての瞬間は他の人にとっては既に通り過ぎた道標かもしれません。
git(ばか)のhub(中枢)ですしね。
アップロードしてしまった時点で秘密鍵を変更しなければならないことは確定なのに、検索のリンク晒したことによって新たにどんな被害がでるのよ。バカと断定するからには説明出来ますよね?
アップロードした段階で馬鹿確定だろ?
そういうことか。Tweetしてる人がバカ呼ばわりされてんのかと思ったわ
わかってもらえてうれしい。あなたは親切な人だ
できればもうちょっとわかりやすく。。。とは思った。多分咀嚼できてない人多いと思うよ。Twitter上でバカが大漁からTwitter上でバカがさらされるようになったと言いたかったんだろうけど。
進化してない人は置いていけばいいんだよ
こうういう可能性もあって* sf.net/sf.jp* github* ローカルと鍵分けておいて正解だった
必要だったら差し替えよっと。
あいや、自分ではリポジトリを作業ファイルでしかやってないから平気だけど...
しかしクリーニングとかどうやるんだろ、これ
最近は分散型vcs全盛だから一度上げたら消せないんですよねー。
え、ライセンス満たすために秘密鍵を公開する必要があったって話じゃないの?
この調子だと、「手元でファイルを消す」だけで済ませる人も多そう。そうなると、バージョンを巻き戻せばあっという間に元通り。そういう時に、git filter-branchできちんと対処しましょう。http://network.station.ez-net.jp/special/git/usage/commit/remove-file.asp [ez-net.jp]に作業例が。
履歴から消すかどうかより、ちゃんとパスワード変える方が大事ですね。もう漏れてしまったパスワードなので。
ここまでやっても他人にpullやらforkやらされてしまったリポジトリからは消せないしね。むしろ消したファイルがあったことが露見しやすくなるのではないか。
勘違いするだろ、ネットで公開したら全部けせないんだから、早く変更
多分やばいのだろうけど、いちいち外すのが面倒くさい。
まぁ必要になるものは全部まとめておきたいって思いますよね。僕は秘匿すべきものについてはLAN内のgitリポジトリにおいて、それをサブモジュールとして指定しています。公開したものにはサブモジュールの場所がかかれたままですが、まぁそれは使う人が勝手に書き換えてねってことで。
仕事でもconfidentialなはずのパスワード書いたファイルがリポジトリにコミットされていることはまれによくある。# もちろんAC
ビルドスクリプトもvcs突っ込んでるからftpアップロード用のパスワードとかベタ書きしてあるわw
多分やばいって…
良い悪いを判断できない脳が確実にやばい。
> Win/Macで共用したりとか大抵双方にクライアントありますが。
> オープンソースでこれは自分で開発するってこと?
> (rebaseとかWin/Macで共用したりとか)するだけの単純なプロジェクトなら別に問題はないですね。
自分一人でForkもせず普通に使う分には簡単でしょうね(Macが絡むと日本語ファイル名の問題はありますが)rebaseやmergeは特にForkしているプロジェクトで面倒な(難しい)場面が多いでは?
それを言うならGithubで秘密鍵うんぬんもGitの問題・・・XCodeの最新版付属のGitがあるのでGitを別途インストールしてもそっち使われないんです。Macでパス通す方法がよく分からないのとシンボリックリンク貼ってもXCodeのアップデートに支障がでそうなので躊躇しました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
だから言っただろ (スコア:5, おもしろおかしい)
付箋紙に書いてPCに貼っておけとっ!!
Re: (スコア:0)
実際、どこでどうやって流出するかわからないからな。
個人宅なら物理的に侵入されるようならどうせアウトなんだから、
PCに貼っとくってのはいい考えかもしれん。
Re:だから言っただろ (スコア:1)
Re: (スコア:0)
>「た、たのむ俺はもう駄目だ、国に帰ったら俺のPCの左の上から二番目の付箋を破棄してくれ、可能ならDドライブの0クリアも、ぐはぁ!」
ふ、あいつの趣味はわかっているつもりだったが、ここまでとは……
選択:どうしますか?
1-> 闇に葬る
2-> githubへupload
3-> もういちど見る
Re: (スコア:0)
「左から二番目」なんて重要な情報まで教える必要はないよね。
「すべての付箋を破棄してくれ」とするべきだった。
Re: (スコア:0)
秘密鍵は16進数ダンプで。
# 手書き!?
チュートリアル (スコア:3, 興味深い)
Gitを使いはじめるきっかけがGitHubで、よくわからないままにチュートリアル通りにコマンドを叩いた人たちがこうなってしまったと予想。
# どうあれ、自分の叩いているコマンドの意味がわかっていないのは、開発者としてどうかと...
Re: (スコア:0)
秘密鍵は百歩譲るとして、パスワードを格納したファイルはアウトですよねぇ。
Re:チュートリアル (スコア:5, すばらしい洞察)
Re:チュートリアル (スコア:2)
ただまあ、突き詰めると、「パスワードファイルは論外」は、「秘密鍵を作ってファイルへ保存」という秘密鍵の運用そのものを真っ向否定していると言えなくもなく。
色んなソフトが色んな用途に使う秘密鍵を、それぞれ単なるファイルとしてあちこちに置いておく、という運用を改めるべきかな。 なにかしら、統一的な秘密鍵管理ソフトを用意して、定められた正しい手順(かroot権限であれこれ特殊な操作をする)でないと読めない、みたいな。
Re: (スコア:0)
秘密鍵はファイルとして作られるとこまではそう言うもんだからしょうがないし、うっかりミスでアップロードするのもありうるけど、「パスワードを格納したファイル」なんてのは作った時点でアウト、の意味かと思った。
もとACです。その意で合ってます。
うっかりオペミス。しかも、気づかなかったよ、コンボです。
Re:チュートリアル (スコア:1)
chrome extensionの鍵関係がめんどくさいのが悪い
Re: (スコア:0)
「パスワードマネージャが不便だからパスワード書いたファイルをアップロードしてしまうのだ」と同レベルのことをいってると気付け
Re: (スコア:0)
だが現実を無視しても何もならんのにも気づこうよ
Re: (スコア:0)
だが現実を無視しても何もならんのにも気づこうよ
「chrome extension の鍵関係がめんどくさいからパスワードをファイルに平文で保存してます」
「家の鍵を持ち歩くのが面倒だから郵便受けに鍵を入れてます」
無視しているのは現実か自分の愚かさか。
Re: (スコア:0)
マーケットに代表で公開する人が鍵を管理すればいいのかも
Re: (スコア:0)
開発者の多く(たとえばスラド民の多くにも相当すると思うが)は、
結局そんなもんだったということですね。
なんか証明されてしまった気がする。
全てのことに時間は割けないのでそれ当然だとは思うが。
Re: (スコア:0)
ライブラリのすべてを理解して使っているのか、ねちねちと以下省略
Re: (スコア:0)
すべてを理解して使ってないのは当然だと元コメで言っているだろ。
そのくらい読め。
偉そうに講釈たれている自分を棚に上げて偉そうに文句を言うなって事。
もし言うならば面白いこと言え。
ねちねちと以下省略
気にしなくて良い (スコア:2, すばらしい洞察)
その程度の理解しかしてない開発者の作るものなど
どうでも良いものか、若しくはセキュリティがボロボロのソフトだけだ。
実質的な被害は何もないと言える。
Re: (スコア:0)
泡沫ソフトだけならいいけど、
けっこうな大物ソフトでも、秘密鍵とパスワードファイルを同じ場所で公開、をやらかした人がいるから
プロジェクトメンバーの管理という面でなにか根本的に不足があるんじゃないかと思ってしまいます。
# 個別に指摘しても、何の対応説明もなければ当事者にお咎めもなかったし
公開鍵の無効化も (スコア:2)
秘密鍵を変更してリポジトリから削除しても、すでに秘密鍵がを見られていたら、他人に自分の名前で署名をつけられてしまう。だから、誰かに公開鍵を渡していたら、それらを破棄してもらう必要がある。
自分のことじゃないとはいえ、手間を考えたら、めまいがしてきた。
流出したのが、外部に出さない開発時専用等のキーだけだったと思いたい。
Re: (スコア:0)
♪りぼーくりぼーくたのしいな
世界中に広まるのいつかな~
ようこそ同類ワールドへ (スコア:1)
Twitterが新しいバカ発見器に進化した瞬間か。
Re: (スコア:0)
だいぶ前からそういう認識の人はいましたよ。ここの日記でもそう書いてる人はいましたからね。
あなたにとっての瞬間は他の人にとっては既に通り過ぎた道標かもしれません。
Re: (スコア:0)
git(ばか)のhub(中枢)ですしね。
Re: (スコア:0)
アップロードしてしまった時点で秘密鍵を変更しなければならないことは確定なのに、
検索のリンク晒したことによって新たにどんな被害がでるのよ。
バカと断定するからには説明出来ますよね?
Re: (スコア:0)
アップロードした段階で馬鹿確定だろ?
Re: (スコア:0)
そういうことか。
Tweetしてる人がバカ呼ばわりされてんのかと思ったわ
Re: (スコア:0)
わかってもらえてうれしい。
あなたは親切な人だ
Re: (スコア:0)
できればもうちょっとわかりやすく。。。とは思った。
多分咀嚼できてない人多いと思うよ。
Twitter上でバカが大漁からTwitter上でバカがさらされるようになったと言いたかったんだろうけど。
Re: (スコア:0)
進化してない人は置いていけばいいんだよ
まあいいか (スコア:1, 荒らし)
こうういう可能性もあって
* sf.net/sf.jp
* github
* ローカル
と鍵分けておいて正解だった
必要だったら差し替えよっと。
M-FalconSky (暑いか寒い)
Re:まあいいか (スコア:1, 荒らし)
あいや、自分ではリポジトリを作業ファイルでしかやってないから平気だけど...
しかしクリーニングとかどうやるんだろ、これ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
最近は分散型vcs全盛だから一度上げたら消せないんですよねー。
GPLv3こわい (スコア:1)
え、ライセンス満たすために秘密鍵を公開する必要があったって話じゃないの?
後始末はしっかりと (スコア:1)
この調子だと、「手元でファイルを消す」だけで済ませる人も多そう。
そうなると、バージョンを巻き戻せばあっという間に元通り。
そういう時に、git filter-branchできちんと対処しましょう。
http://network.station.ez-net.jp/special/git/usage/commit/remove-file.asp [ez-net.jp]
に作業例が。
Re:後始末はしっかりと (スコア:1)
履歴から消すかどうかより、ちゃんとパスワード変える方が大事ですね。
もう漏れてしまったパスワードなので。
Re: (スコア:0)
ここまでやっても他人にpullやらforkやらされてしまったリポジトリからは消せないしね。
むしろ消したファイルがあったことが露見しやすくなるのではないか。
Re: (スコア:0)
勘違いするだろ、ネットで公開したら全部けせないんだから、早く変更
APIのキーを入れたままのソースをそのまま公開してしまうことはよくある (スコア:0)
多分やばいのだろうけど、いちいち外すのが面倒くさい。
Re:APIのキーを入れたままのソースをそのまま公開してしまうことはよくある (スコア:1)
まぁ必要になるものは全部まとめておきたいって思いますよね。
僕は秘匿すべきものについてはLAN内のgitリポジトリにおいて、
それをサブモジュールとして指定しています。
公開したものにはサブモジュールの場所がかかれたままですが、
まぁそれは使う人が勝手に書き換えてねってことで。
屍体メモ [windy.cx]
Re:APIのキーを入れたままのソースをそのまま公開してしまうことはよくある (スコア:1)
仕事でもconfidentialなはずのパスワード書いたファイルがリポジトリにコミットされていることはまれによくある。
# もちろんAC
Re: (スコア:0)
ビルドスクリプトもvcs突っ込んでるからftpアップロード用のパスワードとかベタ書きしてあるわw
Re: (スコア:0)
多分やばいって…
良い悪いを判断できない脳が確実にやばい。
Re: (スコア:0)
> Win/Macで共用したりとか
大抵双方にクライアントありますが。
> オープンソースで
これは自分で開発するってこと?
Re: (スコア:0)
> (rebaseとかWin/Macで共用したりとか)
するだけの単純なプロジェクトなら別に問題はないですね。
Re: (スコア:0)
自分一人でForkもせず普通に使う分には簡単でしょうね(Macが絡むと日本語ファイル名の問題はありますが)
rebaseやmergeは特にForkしているプロジェクトで面倒な(難しい)場面が多いでは?
Re: (スコア:0)
1.8だかでうまくいくようになっとる。
brewの最新版使いや。
Re: (スコア:0)
それを言うならGithubで秘密鍵うんぬんもGitの問題・・・
XCodeの最新版付属のGitがあるのでGitを別途インストールしてもそっち使われないんです。Macでパス通す方法がよく分からないのとシンボリックリンク貼ってもXCodeのアップデートに支障がでそうなので躊躇しました。