كيف تكتشف تسريب أسرارك دون الحاجة إلى مشاركتها.

كيف تكتشف تسريب أسرارك دون الحاجة إلى مشاركتها. قد يبدو عنوان هذا المقال وكأنه دعابة. بدلاً من ذلك، إنها مشكلة حقيقية واجهها مهندسو GitGuardian عند تنفيذ آليات خدمة HasMySecretLeaked الجديدة الخاصة بهم. أرادوا مساعدة المطورين في معرفة ما إذا كانت أسرارهم (كلمات المرور ، مفاتيح API ، المفاتيح الخاصة ، الشهادات المشفرة ، وما إلى ذلك) قد طريقها إلى مستودعات GitHub العامة. كيف يمكنهم تمشيط مكتبة واسعة من الأسرار الموجودة في مستودعات GitHub العامة وتاريخها ومقارنتها بأسرارك دون الحاجة إلى الكشف عن معلومات حساسة؟ ستخبرك هذه المقالة كيف.

إذا قمنا بضبط كتلة البت تساوي كتلة إلكترون واحد ، فإن طنًا من البيانات سيكون حوالي 121.9 كوينتيليون بيتابايت من البيانات عند جاذبية الأرض القياسية أو 39.2 مليار مليار مليار دولار أمريكي في ترقيات تخزين MacBook Pro (أكثر من كل المال في العالم). لذلك عندما تزعم هذه المقالة أن GitGuardian قام بمسح “طن” من بيانات الالتزامات العامة على GitHub ، فهذا أمر رمزي ، وليس حرفيًا.

لكن نعم ، قاموا بمسح “طن” من الالتزامات العامة و gists من GitHub ، وعبروا تاريخ الالتزامات ، ووجدوا ملايين الأسرار: كلمات المرور ، مفاتيح API ، المفاتيح الخاصة ، الشهادات المشفرة ، والمزيد. ولا ، “ملايين” ليست مجازية. لقد وجدوا بالفعل أكثر من 10 ملايين في عام 2022.

ماذا يمكن لـGitGuardian عمله.

كيف يمكن لـ GitGuardian أن يجعل من الممكن للمطورين وأصحاب العمل رؤية ما إذا كانت أسرارهم الحالية والصحيحة كانت من بين تلك الأعداد التي تزيد عن 10 ملايين دون ببساطة نشر ملايين الأسرار. مما يجعل من السهل على الجهات الفاعلة في التهديد العثور عليها وحصادها. وترك العديد من الجن خارج العديد من الزجاجات؟ كلمة واحدة: بصمات الأصابع.

بعد بعض التقييم والاختبارات المتأنية. طوروا بروتوكول بصمات الأصابع السرية الذي يقوم بتشفير السر وتجزئته. ثم يتم مشاركة جزء من التجزئة فقط مع GitGuardian. وبهذا. يمكنهم تحديد عدد المطابقات المحتملة إلى عدد قابل للإدارة دون معرفة ما يكفي من التجزئة لعكسها وفك تشفيرها. لضمان مزيد من الأمان. وضعوا مجموعة أدوات تشفير وتجزئة السر على جانب العميل.

إذا كنت تستخدم واجهة ويب HasMySecretLeaked. يمكنك نسخ برنامج Python نصي لإنشاء التجزئة محليًا ووضع الناتج فقط في المتصفح. لن تضطر أبدًا إلى وضع السر نفسه في أي مكان يمكن إرساله بواسطة المتصفح ويمكنك بسهولة مراجعة أسطر التعليمات البرمجية الـ 21 لإثبات لنفسك أنه لا يرسل أي شيء خارج جلسة الجهاز الطرفي التي قمت بفتحها لتشغيل البرنامج النصي. إذا لم يكن ذلك كافيًا. فافتح أدوات المطور F12 في Chrome أو متصفح آخر وانتقل إلى لوحة “الشبكة” لمراقبة المعلومات التي ترسلها واجهة الويب إلى الاتجاه الصاعد.

إذا كنت تستخدم ggshield CLI.

إذا كنت تستخدم ggshield CLI مفتوح المصدر. يمكنك فحص رمز CLI لمعرفة ما يحدث عند استخدام الأمر hmsl. تريد المزيد من التأكيد؟ استخدم مفتش حركة المرور مثل Fiddler أو Wireshark لعرض ما يتم إرساله.

علم مهندسو GitGuardian أن حتى العملاء الذين يثقون بهم سيكونون قلقين بشأن لصق مفتاح API أو بعض الأسرار الأخرى في صندوق على صفحة ويب. لكل من الأمان والراحة النفسية لكل من يستخدم الخدمة. اختاروا أن يكونوا شفافين قدر الإمكان ووضعوا أكبر قدر ممكن من العملية تحت سيطرة العميل. يتجاوز هذا مواد التسويق الخاصة بهم وينتقل إلى وثائق ggshield للأمر hsml.

هل اتبعت GitGuardian كل خطوة.

اتبعت GitGuardian كل خطوة ممكنة للتأكد من أن الأشخاص الذين يستخدمون برنامج التحقق من HasMySecretLeaked لا يحتاجون إلى مشاركة الأسرار الفعلية لمعرفة ما إذا كانت قد تسربت. وقد آتت ثمارها. تم التحقق من أكثر من 9,000 سر في الأسابيع القليلة الأولى من إطلاقه.

إذا تم تسريب أسرارك بالفعل إلى المجال العام. فمن الأفضل أن تعرف ذلك بدلاً من عدم معرفته. قد لا يتم استغلالها بعد، ولكن من المحتمل أن يكون ذلك مجرد مسألة وقت. يمكنك التحقق من خمسة أسرار يوميًا مجانًا عبر برنامج التحقق من HasMySecretLeaked عبر الويب. وحتى المزيد باستخدام GitGuardian shield CLI. وحتى لو لم تكن تبحث لمعرفة ما إذا كانت أسرارك قد تسربت. فيجب عليك إلقاء نظرة على رمزهم وطرقهم لمساعدتك في إلهام جهودك لجعل من السهل على عملائك مشاركة المعلومات الحساسة دون مشاركة المعلومات نفسها.

كيف تكتشف تسريب أسرارك دون الحاجة إلى مشاركتها. تابعً على Facebook او Instagram او YouTube او X لقراءة المزيد من المحتوى الحصري الذي ننشره.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

اختار العملة