incident
今天晚上我在看 官方 STEEM – PYTHON 库原代码 https://github.com/steemit/steem-python 的时候 , 无意发现了一个 叫 Gareth Nelson 的人在一个目录下留下评论:
wtf is a WIF for a known account doing in here? bye
翻译过来就是:
竟然把一个我们知道帐号的WIF放上来? 祝好运!
这是在 steemit/steem-python/tests/steem/test_steem.py 这个脚本里, 不过现在在代码库里已经被删除了, 只不过 在github 代码控制里删除并不是真正意义的删除, 代码管理其实还是会保留历史记录.
开发团队把一个70级的大鱼帐号拿来当测试 – 泄露钥匙, 有惊无险
大家可以去这里围观.
我猜想, 一定是 开发者在本地测试的时候用的自己的帐号, 因为从 test_steem.py 上(包含了几个测试用例), 他把自己的三个 重要的 key 都写在了PYTHON 原代码里:
开发团队把一个70级的大鱼帐号拿来当测试 – 泄露钥匙, 有惊无险
可能那天他少喝了杯咖啡, 结果一不小心就把代码提交了, 并且 push 同步到远程 production 分支上了, 结果发现的时候已经晚了, 因为 github 会忠实记录所有的改变, 包括删除也是一种改变.
不用想, 开发者已经更改了这些钥匙, 只不过, 这是我们开发者一定得注意避免的, 就是尽量不要把帐号密码写在代码里, 实在一定要写的话, 一定得用测试帐号, 并且一定要把这些信息加密保存在文件里更安全一些.
这次泄露钥匙, 有惊无险.
这篇文章的目的并不是指出开发者的问题, 我们仅是讨论而已, 就事论事, 避免以后犯同样的错误.
英文: A SteemIt Development Incident
强烈推荐
- 英国代购-畅购英伦
- TopCashBack 返现 (英国购物必备, 积少成多, 我2年来一共得了3000多英镑)
- Quidco 返现 (也是很不错的英国返现网站, 返现率高)
- 注册就送10美元, 免费使用2个月的 DigitalOcean 云主机(性价比超高, 每月只需5美元)
- 注册就送10美元, 免费使用4个月的 Vultr 云主机(性价比超高, 每月只需2.5美元)
- 注册就送10美元, 免费使用2个月的 阿里 云主机(性价比超高, 每月只需4.5美元)
- 注册就送20美元, 免费使用4个月的 Linode 云主机(性价比超高, 每月只需5美元) (折扣码: PodCastInit2022)
- PlusNet 英国光纤(超快, 超划算! 用户名 doctorlai)
- 刷了美国运通信用卡一年得到的积分 换了 485英镑
- 注册就送50英镑 – 英国最便宜最划算的电气提供商
- 能把比特币莱特币变现的银行卡! 不需要手续费就可以把虚拟货币法币兑换
微信公众号: 小赖子的英国生活和资讯 JustYYUK