全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器IP归属甄别会员请立即修改密码Sharktech防护
查看: 1970|回复: 28

[疑问] Github Action据说会泄露密码 最近IBMYes和Cloud189Checkin都用上了

[复制链接]
发表于 2020-6-29 12:23:36 | 显示全部楼层 |阅读模式
本帖最后由 宝丽金 于 2020-6-29 13:44 编辑

据说,
.github/workflows/.yml 代码中有输出账号和密码
只要登陆到Github的用户
就可以访问你项目的Actions中的build内容

IBMYes和Cloud189Checkin都用了

是不是得去做点什么?


Cloud189Checkin作者在github上面建议使用的人重新部署
发表于 2020-6-29 13:19:05 | 显示全部楼层
本帖最后由 gcp 于 2020-6-29 13:22 编辑

程序写的有问题,和Github本身没关系。
https://github.com/malaohu/Cloud ... 458fb9d045a50ba1c72

另外早就有工具在GitHub公共库 寻找用户不小心上传的私有数据
https://github.com/UnkL4b/GitMiner
发表于 2020-6-29 15:20:07 | 显示全部楼层
IBMYes的另一个问题是v2的userid是同一个,得修改后重新push
发表于 2020-6-29 12:50:33 | 显示全部楼层
所以,为啥要输入账户密码?
私人令牌是你这种用法吗
发表于 2020-6-29 12:26:39 | 显示全部楼层
能盗啥,一个破git账号又没用,密码都是随机生成的,火狐这功能真挺赞的
发表于 2020-7-5 12:21:22 | 显示全部楼层
Hostloc自动签到用的Github会不会也泄露密码?

点评

程序中也没有任何打印输出账号密码的行为  发表于 2020-7-5 12:38
其他人的不清楚,反正我写的不会,账号密码都是存在secrets中,通过环境变量读取的,可以自己去看代码  发表于 2020-7-5 12:35
发表于 2020-7-5 12:16:21 | 显示全部楼层
  1. python3 C189Checkin.py <<EOF
  2.         ${{ secrets.USER }}
  3.         ${{ secrets.PWD }}
  4.         EOF
复制代码

这种方式好像不会泄露,只会显示星号。
发表于 2020-6-29 12:25:32 来自手机 | 显示全部楼层
可以盗我什么?除了xjj
发表于 2020-6-29 12:28:02 | 显示全部楼层
自己丢个定时任务不香?再者楼上说得很对,盗你XJJ、DMM?
发表于 2020-6-29 12:34:42 | 显示全部楼层
项目的Actions中的build内容
--------这个在哪看的
发表于 2020-6-29 12:37:27 | 显示全部楼层
.yml 是调用吧,难不成别人能调用?
发表于 2020-6-29 12:45:27 | 显示全部楼层
变量,会用不?
不会,igthub项目用私有,不公开,除了你谁都看不到代码
发表于 2020-6-29 12:48:17 | 显示全部楼层
楼上加一,转为private,除了自己和微软还有谁能看到?
发表于 2020-6-29 12:49:10 | 显示全部楼层
私有啊,你为啥要公开?
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|全球主机交流论坛

GMT+8, 2020-12-3 00:08 , Processed in 0.074133 second(s), 14 queries , MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表