Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

GitHub améliore son moteur de recherche, qui dévoile des fichiers sensibles

Une clef privée doit être privée... simple non ?

Comme a son habitude, GitHub a annoncé quelques petites améliorations ces derniers jours. L'une d'entre est concerne son système de recherche qui a été entièrement revu afin d'être plus complet et plus efficace... un peu trop même puisque l'on trouve parfois des fichiers qui n'ont rien à faire dans un dépôt public.

GitHub continue de s'améliorer. Ainsi, depuis le début du mois, on a vu apparaître une nouvelle section au sein des profils utilisateurs : les contributions. Celle-ci permet de voir si vous êtes actifs ou non sur différents projets via une liste des plus populaires ou des plus récents auxquels vous avez participé, mais aussi une représentation graphique de votre activité de l'année passée :

 

GitHub Contributions GitHub Contributions

 

Il est aussi possible de supprimer et de créer des branches depuis l'interface en ligne, restaurer une branche qui aurait été supprimée après la fermeture d'une Pull request, d'afficher et de trier la liste de ces dernières, de créer des listes de tâches à effectuer sous forme de cases à cocher dans vos textes via le Markdown maison, mais aussi de fermer un bug via un simple message lors d'un commit.

 

Mais c'est le changement le plus récent qui met en lumière l'innocence de certains développeurs : le nouveau moteur de recherche. Celui-ci exploite Elasticsearch et dispose d'un design plus simple, ainsi que d'un nouveau mode avancé. Il permet de chercher des morceaux de code spécifiques, des noms de dépôts, des utilisateurs, mais aussi des fichiers par taille, par dossier, par extension...

 

Les requêtes que l'on peut effectuer sont nombreuses et certaines font déjà jaser :

Dans ces quatre exemples, on peut en effet trouver dans la liste des réponses des clefs privées que certains développeurs ont cru bon de placer dans un dépôt public. Pour rappel (voir notre dossier dédié à MEGA), dans le cadre du chiffrement asymétrique, une clef privée est confidentielle puisqu'elle permet de lire un message chiffré avec votre clef publique (un tiers vous envoyant un message) mais aussi de signer un message pour vous identifier comme l'auteur. Autant dire que la divulgation d'un tel élément peut avoir des conséquences assez graves.

 

Le moteur de recherche de GitHub n'est bien entendu en rien responsable, puisqu'il ne fait que mettre en lumière les erreurs de certains membres du service. Espérons que ceux qui sont concernés réagiront promptement.

15 commentaires
Avatar de Winderly Abonné
Avatar de WinderlyWinderly- 24/01/13 à 10:27:40

Signaler ce commentaire aux modérateurs :

met en lumière l'innocence de certains développeurs

Comme je suis pas développeur et que j'y comprend de toute façon pas grand chose, c'est ce que je retiendrai de l'article.
Quand on donne à tous les clés servant à protéger un lieu, on mérite de se faire cambrioler (à mon avis).

Avatar de GruntZ Abonné
Avatar de GruntZGruntZ- 24/01/13 à 10:44:10

Signaler ce commentaire aux modérateurs :

Dépôt public vs. infos privées

Édité par GruntZ le 24/01/2013 à 10:44
Avatar de toufou INpactien
Avatar de toufoutoufou- 24/01/13 à 11:05:54

Signaler ce commentaire aux modérateurs :

Foutre une clé privée RSA sur un dépôt public... faut être vraiment tête en l'air !

Édité par toufou le 24/01/2013 à 11:06
Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/01/13 à 11:10:28

Signaler ce commentaire aux modérateurs :

toufou a écrit :

Foutre une clé privée RSA sur un dépôt public... faut être vraiment tête en l'air !

Mais le pire c'est le nombre de réponses Le pire c'est que ça ne s'arrête pas aux requêtes évoqués...

Avatar de atem18 INpactien
Avatar de atem18atem18- 24/01/13 à 11:39:47

Signaler ce commentaire aux modérateurs :

On voit que certains développeurs ont tout compris au chiffrement asymétrique. Je ne veux même pas savoir à quel point leurs applications doivent être sécurisées...

Avatar de Khalev Abonné
Avatar de KhalevKhalev- 24/01/13 à 12:33:55

Signaler ce commentaire aux modérateurs :

David_L a écrit :

Mais le pire c'est le nombre de réponses Le pire c'est que ça ne s'arrête pas aux requêtes évoqués...

C'est quoi le pire au final?

Avatar de tsyr2ko INpactien
Avatar de tsyr2kotsyr2ko- 24/01/13 à 12:38:39

Signaler ce commentaire aux modérateurs :

Et les databases.yml des projets symfony ? :)

Pas mal aussi, faut filtrer les résultats, mais ça peut occasionner certains résultats intéressants :)

Édité par tsyr2ko le 24/01/2013 à 12:39
Avatar de elroy_INPACT INpactien
Avatar de elroy_INPACTelroy_INPACT- 24/01/13 à 13:37:25

Signaler ce commentaire aux modérateurs :

euh sinon personne utilise bitbucket car c'est vraiment bien, on a des dépôts privés illimités !!

Avatar de David_L Équipe
Avatar de David_LDavid_L- 24/01/13 à 13:47:42

Signaler ce commentaire aux modérateurs :

elroy_INPACT a écrit :

euh sinon personne utilise bitbucket car c'est vraiment bien, on a des dépôts privés illimités !!

Je doute que le but de GH qui fait la promo de l'Open Source soit de favoriser la mise en place de dépôts privés en masse

Avatar de Gliss INpactien
Avatar de GlissGliss- 24/01/13 à 14:29:52

Signaler ce commentaire aux modérateurs :

Dans la majorité des cas, il y a "test"/'sample"/"helloworld" dans le nom du dépot ou de la clé. Il ne faut pas non plus confondre quelqu'un qui commit sa propre clé privée avec quelqu'un qui fait une lib avec du chiffrage et qui envoie un exemple.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2