パスワードを忘れた? アカウント作成
15491641 story
Firefox

Firefox ユーザーが誤って GitHub にアップロードしたとみられる cookie データベース数千件が見つかる 36

ストーリー by nagazou
やらかし 部門より
headless 曰く、

数千人の Firefox ユーザーが誤ってアップロードしたとみられる Firefox の cookie データベースファイル「cookies.sqlite」が GitHub の公開リポジトリで見つかったそうだ (The Register の記事)。

発見した英国の列車・長距離バス予約アプリ Trainline のセキュリティエンジニア Aidan Marlin 氏は問題を HackerOne で報告したが、GitHub からはユーザーが自ら公開した認証情報は脆弱性報告報奨金プログラムの対象にならないと言われたうえ、公表も自由にしていいと言われたため、怒って The Register にタレ込んだらしい。

Marlin 氏は個人情報が関わっていることから英情報コミッショナーオフィス (ICO) にも報告したといい、誤ってデータベースをアップロードしたユーザーの責任ではあるものの、個人情報を含むファイルが 4,500 件近く見つかっている以上、GitHub も何らかの対応をすべきだと主張する。

GitHub ではユーザーが誤ってアップロードしたクラウドの認証情報をスキャンし、公開リポジトリで見つかった場合は該当のクラウドプロバイダーに通知して失効させるサービスを 2015 年から行っている。クラウドの認証情報とは異なるものだが、The Register では Firefox の cookie データベースもスキャン対象に追加すべきだと述べている。

  • 同名のファイルをアップロードするときに間違っちゃうってこと?
    それとも、関係ないファイルのアップロード時に何故か一緒にアップロードされちゃうの?

    ここに返信
    • by Anonymous Coward

      ローカルリポジトリを新規作成するときに、なぜかFirefoxのデータを格納しているディレクトリを含んだツリーを指定してしまったとかじゃないかな?

      • by Anonymous Coward on 2021年11月22日 14時27分 (#4156919)

        Selenium等の自動化プロジェクトでFirefoxを利用、プロファイルの保存先がリポジトリ内のディレクトリだった。

        それ以外で誤って公開してしまう状況は何があるのだろう。

        • by Anonymous Coward

          ドットファイルをgitで管理しようとしてうかつに git add してしまうとか?

  • by Anonymous Coward on 2021年11月23日 0時27分 (#4157216)

    Search · filename:{cookies.sqlite} [github.com]

    4,447 code results

    • Linuxユーザが環境を持ち運ぶためにホームディレクトリをそのままアップロードしたもの
    • Seleniumの自動ブラウザ操作に含まれているもの
    • CTFの問題の一部として提供されているもの
    • /test/ディレクトリにあることから何らかのテスト用と思われるもの
    • cookies.sqlite-walやcookies.sqlite-shmが重複してカウントされているもの

    ざっと見た感じ、空っぽのファイルも多いし、古いものはセッションの期限が切れているはずだから、本当にヤバいのは多くて数百件ってとこだろう。

    ここに返信
    • by Anonymous Coward

      いやその分類だと1個目は個人データを意図的に晒してるとしか表現できないし、
      2個目以降は個人データが含まれない(含まれて精々IPアドレスがあるかどうか)し、
      問題になるケースが無いと思う。

    • by Anonymous Coward

      ユーザー名がわかりそのユーザーがサービスを使っているというのは、結構な情報だよ。
      (セッションが切れててもユーザー名がわかればね。OSユーザー名のことじゃないよ。)

  • by Anonymous Coward on 2021年11月22日 13時50分 (#4156895)

    そらそうやろとしか。

    ここに返信
    • by Anonymous Coward

      報奨金目当てのゴリ押しと思われたのかもしれませんね
      GH規模になるとそういう話は極めて多そうですし、
      担当者が食傷気味になっていて門前払い→腹いせにゴシップサイトにタレコミ
      って流れが目に浮かぶ…

      • by Anonymous Coward

        思われたというか、報奨金目当てのゴリ押しそのものですね

  • by Anonymous Coward on 2021年11月22日 14時07分 (#4156903)

    もしそうならFirefox自体が対処すべきインシデントだと思うんだけど、
    正しくは数千件のcookeyデータベースじゃね?

    ここに返信
    • > 正しくは数千件のcookeyデータベースじゃね?

      いったいどのアプリがそんなデータベースを取り扱っているのですか?

      ※発音は正しく

      • 大方アホがアップロードしたcookies.sqliteがあるリポジトリをForkしてるかブランチ切ったかして大量に増殖したんじゃね、知らんけど
        何にせよ『.』で始まる隠しファイルですらないし大抵の『.gitignore』雛形に『*..sqlite』が載ってたりするしでMozillaとGithubからすればしらねーよってなるのも当然

    • by Anonymous Coward

      Mozillaはなにもできることないじゃん

      • by Anonymous Coward

        > Mozillaはなにもできることないじゃん

        ホントそれ。
        #4156903 は状況を理解してから書き込んで!

      • by Anonymous Coward

        せめてその時のOSの認証情報とか一時ハッシュつかって簡単に暗号化しておくとか、
        なにも無くはないと思う。

        Mozillaがやらないといけないかと言われればそこまでとは思わないけど。

    • by Anonymous Coward

      Thousands of Firefox users accidentally commit login cookies on GitHub

      というRegisterの原文タイトルが悪いな。本文は

      Thousands of Firefox cookie databases containing sensitive data are available on request from GitHub repositories

      となってるから、数千件というのが適切だろう。

  • by Anonymous Coward on 2021年11月22日 14時48分 (#4156929)

    共同開発するオープンなプロジェクトでもない限り、githubを使う必要はない。
    それなのに個人的な開発でもすぐにgithub使おうとし、あまつさえ初学者にまで使わせようとするプログラムの入門記事も溢れている。
    先ずはローカルでgitを使う方法から始めて、ちゃんと使い分けを覚えろ。

    ここに返信
    • by Anonymous Coward

      共同開発考える程じゃないけど、GPLやMITライセンスで公開するから、自作ソフトを広く使ってほしい、みたいなケースでGitHub以外にどこを使うのが良いんだ?

    • by Anonymous Coward

      Issue を投げるのにアカウントが必要だから作るのは開発者ばかりではない。
      だから誤操作で変なものをアップしたりするのもままありそう。

    • by Anonymous Coward

      ・バックアップになる
      ・外出先等でもコードを確認できる
      ・複数のPC(ノートPCとデスクトップとか)でコードの同期が簡単
      と自分だけのプロジェクトでも十分利用するメリットがあるような

      • by Anonymous Coward

        > 自分だけのプロジェクトでも十分利用するメリットがあるような

        ですね。

        知り合いが大学の卒業研究してるときに、自宅PCと研究室のPCの間の同期をとるのに
        github 使うを勧めました。

        • by Anonymous Coward on 2021年11月23日 18時19分 (#4157515)

          そのレベルでアドバイス必要な人ならOneDriveとかiCloudとかDropboxとか、そういうので良いんじゃないの?
          わざわざGitHub使わせるメリットあるか?

        • by Anonymous Coward

          で、意図せぬ誤操作などで今回みたいな問題を起こすわけですね。
          #素直にSSHで繋がるサーバーに置いておけばいいのに。

          • by Anonymous Coward

            githubでPrivate/Publicのチェックボックスを管理することより、サーバー1台を管理することの方が安全だとは思えないが

            • by Anonymous Coward

              どう思うかは自由だけれど、そのチェックボックス一つで公開できてしまうことを起因としたトラブルは、今に始まったことではないよね。
              githubにはフールプルーフが欠如しており、安易に初心者に勧めること自体に問題がある。

              • by Anonymous Coward on 2021年11月23日 5時26分 (#4157246)

                初心者がsshサーバーを正しく運用するよりは簡単なんじゃね。

              • by Anonymous Coward

                > githubにはフールプルーフが欠如しており

                「欠如している」という認識がおかしい。

                https://www.weblio.jp/content/%E6%AC%A0%E5%A6%82 [weblio.jp]
                >本来あって然るべきものが、抜け落ちていて、足りないさま。欠落などとも言う。

                githubは原則公開、公開が嫌なら金払え(enterprise契約しろ)ってサービスなんだから、
                気を抜くと公開になるのは当たり前。
                githubにとって、公開されないようにするフールプルーフは「本来あって然るべきもの」ではない。

              • by Anonymous Coward

                だから個人的に非公開にしたいものには使うなって結論でいいんじゃないか。

    • by Anonymous Coward

      どうだろうな、過去はそれなりの開発者向けのサービスだっただろうが、gitでの管理自体もっと間口広く普及するのが望ましい技能ではある。
      開発でなくても、作成物の共同履歴管理、テキスト主体コンテンツの発想はコンピュータを使いこなしたいユーザーには覚えて欲しいもの。
      初学者には、まず個人的に使い始めるプロセスが必要だろう。

      gitがそうであるならば、githubも言わずもがなだ。

  • by Anonymous Coward on 2021年11月22日 18時29分 (#4157070)

    クラウドプロバイダーに通知して失効させることができるけど、基本的にローカル情報であるcookies.sqliteの情報なんて通知先がないじゃん。

    ここに返信
typodupeerror

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

読み込み中...