BTC
$81,861.11
+
5.67%
ETH
$1,597.95
+
8.07%
USDT
$0.9996
-
0.00%
XRP
$2.0044
+
9.46%
BNB
$578.23
+
3.44%
USDC
$0.9999
-
0.02%
SOL
$114.50
+
7.37%
DOGE
$0.1560
+
6.55%
TRX
$0.2402
+
4.48%
ADA
$0.6244
+
9.61%
LEO
$9.4070
+
2.62%
LINK
$12.37
+
8.89%
AVAX
$18.01
+
8.36%
TON
$2.9900
-
2.31%
XLM
$0.2345
+
6.63%
HBAR
$0.1696
+
11.96%
SHIB
$0.0₄1208
+
10.14%
SUI
$2.1393
+
9.13%
OM
$6.7221
+
7.60%
BCH
$297.18
+
8.72%
S'inscrire
Sélection de la langue
Français frItaliano itРусский ruEnglish enУкраїнська ukPortuguês pt-brEspañol esFilipino fil
Logo
Marchés
Partager cet article

Un nouvel outil trouvera des secrets, y compris des clés Crypto , dans votre code public

Un outil intelligent parcourt GitHub à la recherche de clés et de mots de passe Secret que les programmeurs ont rendus publics par inadvertance.

Par John Biggs
Mise à jour 13 sept. 2021, 11:38 a.m. Publié 29 oct. 2019, 6:01 p.m. Traduit par IA

Coder des projets Crypto est déjà assez difficile sans courir le risque de perdre vos clés privées. Shhgit, une application Web et un outil téléchargeable par Paul Pricevise au moins à réduire les risques que cela se produise.

L'application, open source, analyse le dépôt de code GitHub à la recherche de fichiers et données dangereux. En tant que codeur débutant, vous avez peut-être laissé vos mots de passe ou vos clés privées dans un dépôt public sans vous en rendre compte. Dans ce cas, les pirates et autres personnes malintentionnées peuvent facilement accéder à vos données.

La Suite Ci-Dessous
Ne manquez pas une autre histoire.Abonnez vous à la newsletter Crypto Long & Short aujourd. Voir Toutes les Newsletters
En vous inscrivant, vous recevrez des emails sur les produits CoinDesk et vous acceptez nos conditions d'utilisation et politique de confidentialité.

« Découvrir ces secrets sur GitHub n'a rien de nouveau », a écrit Price, un programmeur et expert en sécurité connu sous le pseudonymeDarkport. « Il existe de nombreux outils open source disponibles pour vous aider, selon votre position. Du côté de l'adversaire, des outils populaires tels quegitrob et truggleHog concentrez-vous sur l'exploration de l'historique des commits pour trouver des jetons Secret provenant de référentiels, d'utilisateurs ou d'organisations spécifiques.

Sshgit rend ces secrets plus publics : il propose une interface qui les affiche simplement tels qu'ils apparaissent sur GitHub. Cela signifie que les pirates pourraient le surveiller pour détecter d'éventuelles failles d'exploitation. Mais il encourage également un codage sécurisé, car les utilisateurs savent que leurs dépôts publics ne sont pas sécurisés.

Toutes les informations découvertes par sshgit ne sont pas dangereuses, mais vous pouvez également le configurer pour rechercher les signatures qui vous intéressent particulièrement, comme, par exemple, les adresses de portefeuille Ethereum .

En tant que personne ayant déjà confié les clés privées d'un portefeuille Bitcoin à un compte GitHub public, laissez-moi vous dire : j'aurais pu l'utiliser il y a quelques années.

Le produit est gratuit,téléchargeable ici. Price recherche des sponsors pour payer l'hébergement car, comme vous pouvez l'imaginer, son trafic est assez élevé car les gens recherchent des secrets.

capture d'écran - 29/10/2019 à 12h25 - 57h

Clésimage via Shutterstock

hackingNewsCodeTech
John Biggs

John Biggs est entrepreneur, consultant, écrivain et Maker. Il a travaillé pendant quinze ans comme rédacteur pour Gizmodo, CrunchGear et TechCrunch et possède une solide expérience des startups du secteur du hardware, de l'impression 3D et de la blockchain. Ses articles ont été publiés dans Men's Health, Wired et le New York Times. Il anime le podcast Technotopia, qui prône un avenir meilleur. Il a écrit cinq livres, dont le meilleur ouvrage sur le blogging, Bloggers Boot Camp, et un livre sur la montre la plus chère jamais créée, la montre de Marie-Antoinette. Il vit à Brooklyn, New York.

Picture of CoinDesk author John Biggs