据外媒 the Register 报导:伦敦铁路服务公司的安全工程师艾丹·马林(Aidan Marlin) 发现 GitHub 存储库正在提供数千个包含敏感数据的 Firefox cookie 数据库,这些数据可能被用于劫持已经过身份验证的会话。
这些 cookie.sqlite 数据库通常位于 Firefox 配置文件文件夹中,用于在浏览会话之间存储 cookie。它们可以通过使用特定的查询参数在 GitHub 上搜索找到,也就是所谓的 “Github search dork”(dork 可用于在开源的 Github 仓库中搜索敏感的个人和/或组织信息,如私钥,凭据,身份验证令牌等)。目前受影响的 GitHub 用户大多工作在跨多台计算机的公共环境,当他们从 Linux 主目录提交代码,并将其推送到公共存储库时,Sqlite 数据库就会被包含在内。
大多数情况下,用户并不知道他们已经主动上传了 cookie 数据库,所以这个 cookie 泄露问题其实用户占主要责任。但目前这个 Github dork 已有近4500次点击,所以马林认为 GitHub 也有义务注意并修复此问题。然而,GitHub 的一名代表告知马林“用户泄露的证书不在 Bug Bounty 计划的范围内”,这意味着 Github 近期未打算发布补丁修复此问题。 马林认为 GitHub 没有认真对待用户的安全和隐私,这让他感到很沮丧:“它至少可以阻止这个 GitHub dork 得到搜索结果。”
坏消息是,GitHub dorks 不是什么新鲜事,是个老问题;好消息是,会话相关的 cookie 很快过期。或许正是出于此原因,Github 并未将此 Cookie 问题放在心上。
有UI不用,非要坚持用命令行,我只能“你知道回字有几种写法”来做比方了。