nada que ver aquí.

publicado en: 2014-04-01

Recientemente, un artículo apareció en mi feed no-rss sobre el número de desarrolladores que han incluido descuidadamente credenciales sensibles para que el mundo las vea:

http://www.net-security.org/secworld.php?id=16566

Un par de cosas me llamaron la atención sobre este artículo:

¿Cómo demonios alguien puede administrar un sitio web con ‘seguridad’ y ‘php’ en sus urls… ?
¿Qué tan perezoso puede ser el desarrollador promedio?

En serio, la pereza generalmente se considera una gran virtud entre los programadores (http://c2.com/cgi/wiki?LazinessImpatienceHubris) pero esto nunca se ha aplicado a la seguridad, a pesar de mi propia inclinación personal por resolver problemas con ‘chmod -R 0777’. (temporalmente Dave!)

Hay un ejército de desarrolladores, listados como colaboradores en los repositorios ofensivos, que argumentarán hasta ponerse rojos en la cara sobre todo tipo de cosas como editores, lenguajes, frameworks, plataformas, grillas css y frameworks de pruebas. Estos mismos desarrolladores incluirán contraseñas sensibles en un repositorio, para ser preservadas como ámbar en una cueva helada, porque simplemente no pueden molestarse en escribir 100 líneas de código para encriptar adecuadamente cosas que nunca deberían estar en un repo.

Si eres uno de esos desarrolladores, por favor, mete una rodaja de cebolla en tu agujero de orinar y piensa en esto un poco.

Si eres una empresa que practica este anti-patrón, por favor, usa la cebolla entera.

Si escribes frameworks que fomentan el uso de ‘config/hackear-mi-db-pony-pequeño.yml’ usa toda la bolsa.

OpenSSl no es tan difícil. Encripta tu mierda. Al menos encripta la mierda de tu cliente.

Solo no dejes la contraseña que tu jefe, cliente o fundadores usan para todo lo demás (porque sabes que lo hacen) tirada en la congelación criogénica de un repo de GitHub. Público o privado.

Los patrones de diseño para resolver esto son simples;

https://github.com/ahoward/sekrets

es uno.

Si estás en Ruby, puedes tener este directamente.

Si no, por favor, escribe uno en tu lenguaje de elección.

Pero hagas lo que hagas, no seas perezoso a la hora de incluir contraseñas. Es simplemente completa y totalmente - hora de aficionados #salsadeblandos.