セキュリティの失敗事例と心配事
(2020/6/13)
やらかした経験があるもの
WebサーバをApacheからnginxに変えたらファイルが全部見えてしまった
パスワード使い回しでGyazoにログインされてしまった
TwitterのパスワードをGyazoってたのでついでにTwitterを乗っ取られてしまった
制限をかけずにmongoを動かしたらどこかからアクセスされた
秘密データをGitHubにアゲてしまった
パスワードを直書きしたソースコードをGitHubにアゲてしまった
なんとなく心配なもの
.ssh/id_rsa とか ~/.s3cfg とかの流出 .bashrc に記述してるHerokuのDBのパスワードなどの流出 この手のものをバックアップしたりしてるうちにどこかで流出しそう
たぶん安全だろうと思っているもの
EpisoPassデータ
生パスワードをパソコンに保存してる人はいないと思うが、秘密鍵とか認証トークンとかをパソコンに保存してる人は沢山いるだろう。これは危険である。暗号化した秘密鍵とか認証トークンとかだけ保存しておき、必要になったときに復号して使うのが良いかもしれない。自分のパソコンの中に秘密データが全然無ければかなり安心感があるだろう。パソコンを紛失したり盗まれたりしても余裕で対応できる。