Nyligen kom en artikel på min inte-rss-flöde om antalet utvecklare som har checkat in känsliga autentiseringsuppgifter för hela världen att se:

• http://www.net-security.org/secworld.php?id=16566

Ett par saker slog mig om denna artikel:

• Hur fan kan någon driva en webbplats med ‘security’ och ‘php’ i dess urls… ?

• Hur mycket latare kan den genomsnittliga utvecklaren vara?

På riktigt, lathet anses generellt sett vara en stor dygd bland programmerare (http://c2.com/cgi/wiki?LazinessImpatienceHubris) men detta har aldrig gällt säkerhet, trots min egen personliga benägenhet för att lösa problem med ‘chmod -R 0777’. (tillfälligt Dave!)

Det finns en armé av utvecklare, listade som bidragande till de överträdelserna repon, som kommer att argumentera tills de är röda i ansiktet om alla sorters saker som redigerare, språk, ramverk, plattformar, css-nät och testramverk. Dessa samma utvecklare kommer att checka in känsliga lösenord i ett repository, för att bevaras som bärnsten i en isig grotta, för att de helt enkelt inte orkar skriva 100 rader kod för att kryptera saker som aldrig borde vara i ett repo.

Om du är en av dessa utvecklare, sätt ett löksnitt i ditt kiss-hål och fundera på detta lite.

Om du är ett företag som praktiserar denna antimönstret, använd hela löken.

Om du skriver ramverk som uppmuntrar användningen av ‘config/hack-my-db-little-pony.yml’ använd hela påsen.

OpenSSl är inte så svårt. Kryptera din skit. Åtminstone kryptera din klients skit.

Bara gör inte det lösenord din chef, kund eller grundare använder för allt annat (för du vet att de gör) ligga i den kryogeniska frysnings av ett GitHub-repo. Offentligt eller privat.

Designmönstren för att lösa detta är enkla;

• https://github.com/ahoward/sekrets

är ett.

Om du är i Ruby kan du helt enkelt ha detta.

Annars skriv ett i ditt val av språk.

Men vad du än gör, var inte lat när det gäller att checka in lösenord. Det är bara helt och hållet - amatörtimme #weaksauce.