セキュリティの失敗事例と心配事
(2020/6/13)
やらかした経験があるもの
パスワード使い回しでGyazoにログインされてしまった TwitterのパスワードをGyazoってたのでついでにTwitterを乗っ取られてしまった
制限をかけずにmongoを動かしたらどこかからアクセスされた 秘密データをGitHubにアゲてしまった
パスワードを直書きしたソースコードをGitHubにアゲてしまった なんとなく心配なもの
.ssh/id_rsa とか~/.s3cfgとかの流出
.bashrcに記述してるHerokuのDBのパスワードなどの流出
この手のものをバックアップしたりしてるうちにどこかで流出しそう
たぶん安全だろうと思っているもの
生パスワードをパソコンに保存してる人はいないと思うが、秘密鍵とか認証トークンとかをパソコンに保存してる人は沢山いるだろう。これは危険である。暗号化した秘密鍵とか認証トークンとかだけ保存しておき、必要になったときに復号して使うのが良いかもしれない。自分のパソコンの中に秘密データが全然無ければかなり安心感があるだろう。パソコンを紛失したり盗まれたりしても余裕で対応できる。