@drawoharaik ❤️ dit! << klik mij 🐛 🫖 🧚
/death-to-password-committers
gepubliceerd op: 2014-04-01

Recentelijk kwam een artikel langs in mijn niet-rss feed over het aantal ontwikkelaars dat gevoelige referenties onbedacht heeft ingecheckt voor de hele wereld om te zien:

Een paar dingen vielen me op over dit artikel:

Serieuze lui, luiheid wordt algemeen beschouwd als een grote deugd onder programmeurs (http://c2.com/cgi/wiki?LazinessImpatienceHubris) maar dit heeft nooit betrekking gehad op beveiliging, ondanks mijn persoonlijke voorkeur voor het oplossen van problemen met 'chmod -R 0777'. (tijdelijk Dave!)

Er is een leger ontwikkelaars, aangegeven als bijdragers aan de betreffende repos, die zullen argumenteren tot ze rood in het gezicht zijn over allerlei dingen zoals editors, talen, frameworks, platforms, css-grids en testframeworks. Dezezelfde ontwikkelaars zullen gevoelige wachtwoorden in een repository checken, om bewaard te worden als barnsteen in een ijskoud grot, omdat ze gewoon niet de moeite willen nemen om 100 regels code te schrijven om dingen goed te versleutelen die nooit in een repo moeten komen.

Als je een van die ontwikkelaars bent, steek dan een uienslice in je plaspijp en denk hier eens even over.

Als je een bedrijf bent dat deze anti-pattern toepast, gebruik dan de hele ui.

Als je frameworks schrijft die het gebruik van 'config/hack-my-db-little-pony.yml' aanmoedigen, gebruik dan de hele zak.

OpenSSl is niet zo moeilijk. Versleutel je spul. Versleutel tenminste de spul van je klant.

Gewoon niet het wachtwoord dat je baas, klant of oprichters voor alles gebruiken (want je weet dat ze dat doen) in de cryogene vries van een GitHub-repo laten liggen. Publiek of privé.

De designpatronen om dit op te lossen zijn eenvoudig;

is een.

Als je in Ruby bent, kun je deze gewoon hebben.

Als niet, schrijf er dan een in je keuzetaal.

Maar wat je ook doet, wees niet lui als het gaat om het inchecken van wachtwoorden. Het is gewoon compleet en totaal - amateuruurtje #weaksauce.