Firefox ユーザーが誤って GitHub にアップロードしたとみられる cookie データベース数千件が見つかる 36
ストーリー by nagazou
やらかし 部門より
やらかし 部門より
headless 曰く、
数千人の Firefox ユーザーが誤ってアップロードしたとみられる Firefox の cookie データベースファイル「cookies.sqlite」が GitHub の公開リポジトリで見つかったそうだ (The Register の記事)。
発見した英国の列車・長距離バス予約アプリ Trainline のセキュリティエンジニア Aidan Marlin 氏は問題を HackerOne で報告したが、GitHub からはユーザーが自ら公開した認証情報は脆弱性報告報奨金プログラムの対象にならないと言われたうえ、公表も自由にしていいと言われたため、怒って The Register にタレ込んだらしい。
Marlin 氏は個人情報が関わっていることから英情報コミッショナーオフィス (ICO) にも報告したといい、誤ってデータベースをアップロードしたユーザーの責任ではあるものの、個人情報を含むファイルが 4,500 件近く見つかっている以上、GitHub も何らかの対応をすべきだと主張する。
GitHub ではユーザーが誤ってアップロードしたクラウドの認証情報をスキャンし、公開リポジトリで見つかった場合は該当のクラウドプロバイダーに通知して失効させるサービスを 2015 年から行っている。クラウドの認証情報とは異なるものだが、The Register では Firefox の cookie データベースもスキャン対象に追加すべきだと述べている。
原因がよくわからんけど (スコア:1)
同名のファイルをアップロードするときに間違っちゃうってこと?
それとも、関係ないファイルのアップロード時に何故か一緒にアップロードされちゃうの?
Re: (スコア:0)
ローカルリポジトリを新規作成するときに、なぜかFirefoxのデータを格納しているディレクトリを含んだツリーを指定してしまったとかじゃないかな?
Re:原因がよくわからんけど (スコア:1)
Selenium等の自動化プロジェクトでFirefoxを利用、プロファイルの保存先がリポジトリ内のディレクトリだった。
それ以外で誤って公開してしまう状況は何があるのだろう。
Re: (スコア:0)
ドットファイルをgitで管理しようとしてうかつに git add してしまうとか?
原因は色々 (スコア:1)
Search · filename:{cookies.sqlite} [github.com]
ざっと見た感じ、空っぽのファイルも多いし、古いものはセッションの期限が切れているはずだから、本当にヤバいのは多くて数百件ってとこだろう。
Re: (スコア:0)
いやその分類だと1個目は個人データを意図的に晒してるとしか表現できないし、
2個目以降は個人データが含まれない(含まれて精々IPアドレスがあるかどうか)し、
問題になるケースが無いと思う。
Re: (スコア:0)
ユーザー名がわかりそのユーザーがサービスを使っているというのは、結構な情報だよ。
(セッションが切れててもユーザー名がわかればね。OSユーザー名のことじゃないよ。)
脆弱性報告報奨金プログラムの対象にならない (スコア:0)
そらそうやろとしか。
Re: (スコア:0)
報奨金目当てのゴリ押しと思われたのかもしれませんね
GH規模になるとそういう話は極めて多そうですし、
担当者が食傷気味になっていて門前払い→腹いせにゴシップサイトにタレコミ
って流れが目に浮かぶ…
Re: (スコア:0)
思われたというか、報奨金目当てのゴリ押しそのものですね
数千人の Firefox ユーザー? (スコア:0)
もしそうならFirefox自体が対処すべきインシデントだと思うんだけど、
正しくは数千件のcookeyデータベースじゃね?
Re:数千人の Firefox ユーザー? (スコア:1)
> 正しくは数千件のcookeyデータベースじゃね?
いったいどのアプリがそんなデータベースを取り扱っているのですか?
※発音は正しく
馬鹿にGitHubを与えるな (スコア:0)
大方アホがアップロードしたcookies.sqliteがあるリポジトリをForkしてるかブランチ切ったかして大量に増殖したんじゃね、知らんけど
何にせよ『.』で始まる隠しファイルですらないし大抵の『.gitignore』雛形に『*..sqlite』が載ってたりするしでMozillaとGithubからすればしらねーよってなるのも当然
Re: (スコア:0)
Mozillaはなにもできることないじゃん
Re: (スコア:0)
> Mozillaはなにもできることないじゃん
ホントそれ。
#4156903 は状況を理解してから書き込んで!
Re: (スコア:0)
cookies.sqlite を暗号化して、鍵はレジストリにでも書き込むようにすればいいでしょ。
Re:数千人の Firefox ユーザー? (スコア:1)
今回の流出元となったLinuxにレジストリという概念はありません
Re: (スコア:0)
せめてその時のOSの認証情報とか一時ハッシュつかって簡単に暗号化しておくとか、
なにも無くはないと思う。
Mozillaがやらないといけないかと言われればそこまでとは思わないけど。
Re: (スコア:0)
というRegisterの原文タイトルが悪いな。本文は
となってるから、数千件というのが適切だろう。
何でもかんでもgithubを使おうとするアホ (スコア:0)
共同開発するオープンなプロジェクトでもない限り、githubを使う必要はない。
それなのに個人的な開発でもすぐにgithub使おうとし、あまつさえ初学者にまで使わせようとするプログラムの入門記事も溢れている。
先ずはローカルでgitを使う方法から始めて、ちゃんと使い分けを覚えろ。
Re: (スコア:0)
共同開発考える程じゃないけど、GPLやMITライセンスで公開するから、自作ソフトを広く使ってほしい、みたいなケースでGitHub以外にどこを使うのが良いんだ?
Re: (スコア:0, 荒らし)
べ、ベクター…
Re: (スコア:0)
ま、窓の社...
Re: (スコア:0)
Issue を投げるのにアカウントが必要だから作るのは開発者ばかりではない。
だから誤操作で変なものをアップしたりするのもままありそう。
Re: (スコア:0)
・バックアップになる
・外出先等でもコードを確認できる
・複数のPC(ノートPCとデスクトップとか)でコードの同期が簡単
と自分だけのプロジェクトでも十分利用するメリットがあるような
Re: (スコア:0)
> 自分だけのプロジェクトでも十分利用するメリットがあるような
ですね。
知り合いが大学の卒業研究してるときに、自宅PCと研究室のPCの間の同期をとるのに
github 使うを勧めました。
Re:何でもかんでもgithubを使おうとするアホ (スコア:1)
そのレベルでアドバイス必要な人ならOneDriveとかiCloudとかDropboxとか、そういうので良いんじゃないの?
わざわざGitHub使わせるメリットあるか?
Re: (スコア:0)
で、意図せぬ誤操作などで今回みたいな問題を起こすわけですね。
#素直にSSHで繋がるサーバーに置いておけばいいのに。
Re: (スコア:0)
githubでPrivate/Publicのチェックボックスを管理することより、サーバー1台を管理することの方が安全だとは思えないが
Re: (スコア:0)
どう思うかは自由だけれど、そのチェックボックス一つで公開できてしまうことを起因としたトラブルは、今に始まったことではないよね。
githubにはフールプルーフが欠如しており、安易に初心者に勧めること自体に問題がある。
Re:何でもかんでもgithubを使おうとするアホ (スコア:1)
初心者がsshサーバーを正しく運用するよりは簡単なんじゃね。
Re: (スコア:0)
> githubにはフールプルーフが欠如しており
「欠如している」という認識がおかしい。
https://www.weblio.jp/content/%E6%AC%A0%E5%A6%82 [weblio.jp]
>本来あって然るべきものが、抜け落ちていて、足りないさま。欠落などとも言う。
githubは原則公開、公開が嫌なら金払え(enterprise契約しろ)ってサービスなんだから、
気を抜くと公開になるのは当たり前。
githubにとって、公開されないようにするフールプルーフは「本来あって然るべきもの」ではない。
Re: (スコア:0)
だから個人的に非公開にしたいものには使うなって結論でいいんじゃないか。
Re: (スコア:0)
どうだろうな、過去はそれなりの開発者向けのサービスだっただろうが、gitでの管理自体もっと間口広く普及するのが望ましい技能ではある。
開発でなくても、作成物の共同履歴管理、テキスト主体コンテンツの発想はコンピュータを使いこなしたいユーザーには覚えて欲しいもの。
初学者には、まず個人的に使い始めるプロセスが必要だろう。
gitがそうであるならば、githubも言わずもがなだ。
クラウドの認証情報なら (スコア:0)
クラウドプロバイダーに通知して失効させることができるけど、基本的にローカル情報であるcookies.sqliteの情報なんて通知先がないじゃん。