首页 > 业界 > 关键词  > github最新资讯  > 正文

包含敏感数据数千个Firefox cookie出现在GitHub存储库中

2021-11-22 11:13 · 稿源: cnbeta

包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 GitHub 来找到它们,这就是所谓的搜索“dork”。

QQ截图20211122110231.png

总部位于伦敦的铁路旅行服务公司 Trainline 的安全工程师 Aidan Marlin 在通过 HackerOne 报告了他的发现,并被 GitHub 代表告知“我们用户暴露的凭据不在范围内后,提醒 The Register 这些文件的公开可用性。我们的漏洞赏金计划”。Marlin 然后问他是否可以公开他的发现,并被告知他可以自由这样做。

在发送给 The Register 的电子邮件中,Marlin 表示:“我很沮丧 GitHub 没有认真对待用户的安全和隐私。它至少可以防止这个 GitHub dork

的结果出现。如果上传这些 cookie 数据库的人知道他们做了什么,他们会尿裤子”。

Marlin 承认,受影响的 GitHub 用户在提交代码并将其推送到公共存储库时未能阻止他们的 cookies.sqlite 数据库被包含在内,因此应该受到一些指责。 “但是这个 dork 的点击量接近 4500 次,所以我认为 GitHub 也有注意的义务”。他说,并补充说他已经通知了英国信息专员办公室,因为个人信息处于危险之中。

Marlin 推测这种疏忽是从一个人的 Linux 主目录提交代码的结果。他解释说:“我想在大多数情况下,个人不知道他们已经上传了他们的 cookie 数据库,用户这样做的一个常见原因是跨多台机器的公共环境”。

Marlin 说,GitHub dorks 并不新鲜,但它们通常只影响单一服务,例如 AWS。这种特殊的失误令人不安,因为它可能允许攻击者访问任何面向互联网的网站,在提交 cookie 文件时,GitHub 用户已通过该网站进行身份验证。他补充说,可能也可以找到其他浏览器的傻瓜。

  • 相关推荐
  • 大家在看
  • 腾讯云服务器12.12限时秒杀-1核2G首年50元

    腾讯云服务器12.12多种机型限时抢购,1核2G服务器4.17元/月,2核4G服务器6.17元/月,专业技术7*24小时在线服务,腾讯云为企业和个人提供快捷,安全,稳定的云服务!

    广告
  • Android版Firefox Focus现在阻止网站通过cookie跟踪用户

    Firefox一直关注隐私,因此将其最好的功能之一引入Android版本的Focus浏览器是有意义的...Firefox将cookie存储到一个虚拟的"cookiejar"中,并阻止网站访问有关您在线行为的信息...由于一些网站无法在浏览器阻止访问cookie的情况下正常工作,因此它使用SmartBlock和其他相关功能来保持这些网站的运行...

  • 谷歌和Facebook在法国因违反cookie规定被罚款

    法国国家信息学和自由委员会(CNIL)以1.5亿欧元的罚款击败了Alphabet的谷歌,并以6000万欧元的罚款击败了Meta的Facebook。原因是两家公司都让用户很难拒绝在线cookie。CNIL数据保护和制裁负责人卡林·基弗(Karin Kiefer)表示,接受cookie只需点击一次,拒绝cookie也应该很容易。监管机构声称拥有facebook。com,谷歌。fr和youtube。据路透社报道,com不允许轻易拒绝饼干。这两家公司有三个月的时间来遵守订单,并提供一个简单的

  • Google和Facebook因违反Cookie规定在法国收到新一轮罚单

    法国国家信息学和自由委员会(CNIL)对Alphabet旗下的Google和Meta旗下的Facebook分别处以1.5亿欧元和6000万欧元的罚款。原因是这两家公司让用户难以拒绝应用在线Cookies。CNIL的数据保护和制裁主管Karin Kiefer说,接受Cookies只需一次点击,而拒绝应该同样简单,但这两家公司却没有做到。路透社报道说,监督机构声称facebook.com、google.fr和youtube.com设定规则不允许用户轻易拒绝Cookies。除了罚款外,接下来这两家公司有三个

  • 一对AMD Zen 4工程样品出现在[email protected]公共数据库

    本周早些时候,AMD在2022年CES上宣布了Zen 4,但他们并没有深入研究细节,而Ryzen7000系列的泄漏进程已经在互联网上逐渐开始。在[email protected]项目的公共数据库中发现了一对工程样本,该项目正在使用分布式计算来创建银河系的模型。他们在12月下旬分别运行了长达几天的应用程序。这对处理器确认属于"第25家族",因此我们知道他们是基于Zen 4架构的。他们的一个OPN以"665"结尾,而另一个以"666"结尾,表明他们在阵容中彼此相邻?

  • Firefox Relay隐私邮件中继域名被拉入“黑名单”引发网友强烈不满

    Mozilla 于 2021 年 11 月推出了名为“Firefox Relay”的邮件隐私中继服务,然而某一次性电子邮件服务“黑名单”维护者还是决定将 Firefox Relay 添加了进去,结果引发了广大用户的强烈不满...与此一些第三方在负责编译和维护此类邮件服务的域名黑名单,以供在线服务提供商不时参考(比如拒绝账户注册)......

  • FireFox火狐浏览器无法上网原因查明:程序员大小写搞错了

    最近两天,在用FireFox火狐浏览器的用户可能会出现无法连接上网的问题,起初以为是新版升级的问题,还有人怪罪于Win系统,然而现在问题查明了,是火狐自己的问题,程序员将部分代码的大小写搞错了...据官方介绍,在解析HTTP标头时,FireFox会用一个函数结束,该函数通常只处理大写的字段,如果是小写的字母那就会无法计算标头长度,从而导致FireForx代码陷入无限循环中......

  • TikTok视频很快将出现在机场、酒店和餐馆的屏幕

    TikTok已经像野火一样蔓延开来,它向我们展示了来自全球用户的有趣、娱乐和搞笑的片段。截止到目前,大多数人都是在手机和家用电视上观看内容,但这个社交媒体网络和Atmosphere之间的新伙伴关系却将把视频推向了更大的舞台,包括餐馆、健身房、机场和酒店。对于那些不熟悉Atmosphere的人来说,它是为企业提供的流媒体电视服务以及为客户的空间提供原创和定制的电视频道。Atmosphere目前有超1.9万名客户,包括塔可钟、Texas Roadhou

  • 华硕低调推出PL63迷你电脑 其中包含一个Thunderbolt 4 SKU

    科技行业并非所有的产品都是伴随着新闻发布会以及贸易展上推出的,华硕新发布的PL63迷你电脑就是其中之一。它可能不是市场上最独特的迷你PC,但据我们所知,它是第一个支持Thunderbolt4的产品,不过需要买到一个特定的SKU,因为大多数似乎只支持USB 3.2。PL63的架构是围绕英特尔第11代移动处理器构建的,有三种CPU可供选择,分别是Core i3-1115G4、Core i5-1135G7和Core i7-1165G7,它们都配有Iris Xe图形单元。其他功能包括支持两个SO-DIMMs,一个PCIe 3.0 NVMe驱动器,2.5 Gbps以太网/支持Wi-Fi,一个HDMI 2.0端口,DP 1.4以及通过两个U

  • 超10万星的GitHub项目再陷风波,其托管商惨遭三大唱片公司起诉

    围绕这个开源项目长达数年的争议已经转移到了一个新的层面,其网站托管商Uberspace在德国遭到了索尼、环球和华纳三大唱片巨头的起诉...虽然youtube-dl并没有尝试规避DRM保护,但RIAA引用了DMCA的反规避条款,称youtube-dl工具可用于从YouTube下载其艺术家未授权的音乐作品,而这违反了版权...youtube-dl开发人员在其网站上写道:项目主持人已经花了数千欧元进行法律辩护......

  • AAX成为首个与The Tie合作提供全套数据分析的加密交易所

    2022年1月13日—机构级加密货币交易所AAX宣布与The Tie达成合作伙伴关系,为其用户提供又一种加密货币分析工具...1、有价值的新闻资讯:为平台上交易的每一种资产,提供源自主流媒体、金融出版物和加密货币新闻网站最有价值的实时资讯...2、加密货币情绪评分:独有的市场情绪评分,就加密货币恐惧和贪婪指数进行对比...SigDev将来自数千个主流来源的实时新闻(直接来自加密货币发行机构及交易所的更新、SEC文件、监管裁决等)与情绪分析、市场信息和链上数据整合到一个强大且直观的界面中......

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天