Je continue à rester dubitatif. Par exemple, Fedora et d'autres communautés publient tout les dépots ansible de leur infrastructure, et ça n'a pas résulté, autant que je sache, en des exploitations majeurs ou mineurs de l'infra.
Mon équipe fait de même sur Gitlab.com, et le seul incident que j'ai du gérer en plus de 10 ans, c'était des mots de passes faibles sur une infra préexistante. Le seul incident majeur qu'il y a eu sur l'infra Fedora était en 2008.
Et c'est pas faute de ne pas avoir de failles à exploiter depuis, j'ai personnellement trouvé 4 soucis de xss dans la forge pagure, et une faille qui permettait d’exécuter du code en root sans trace dans les playbooks de déploiement (via le bastion de Fedora, une execution de code adns /tmp pour déployer un badge).
Rien de tout ça n'a été facilité par le fait d'avoir une cartographie détaillé de qui fait quoi dans Fedora, juste par le fait d'avoir du code lisible par tout le monde et des infras publiques.
Donc en pratique, j'ai le sentiment que ça joue plus sur la peur qu'autre chose. Au mieux, j'ai le sentiment que ça va faciliter le phising mais pas plus que Linkedin.
[^] # Re: c'est pas terrible
Posté par Misc (site web personnel) . En réponse au lien Les API publiques de GitHub détournées. Évalué à 5 (+2/-0).
Je continue à rester dubitatif. Par exemple, Fedora et d'autres communautés publient tout les dépots ansible de leur infrastructure, et ça n'a pas résulté, autant que je sache, en des exploitations majeurs ou mineurs de l'infra.
Mon équipe fait de même sur Gitlab.com, et le seul incident que j'ai du gérer en plus de 10 ans, c'était des mots de passes faibles sur une infra préexistante. Le seul incident majeur qu'il y a eu sur l'infra Fedora était en 2008.
Et c'est pas faute de ne pas avoir de failles à exploiter depuis, j'ai personnellement trouvé 4 soucis de xss dans la forge pagure, et une faille qui permettait d’exécuter du code en root sans trace dans les playbooks de déploiement (via le bastion de Fedora, une execution de code adns /tmp pour déployer un badge).
Rien de tout ça n'a été facilité par le fait d'avoir une cartographie détaillé de qui fait quoi dans Fedora, juste par le fait d'avoir du code lisible par tout le monde et des infras publiques.
Donc en pratique, j'ai le sentiment que ça joue plus sur la peur qu'autre chose. Au mieux, j'ai le sentiment que ça va faciliter le phising mais pas plus que Linkedin.