GitHub nu e okcupid, nu sunt acolo ca să îmi fac prieteni.
Și da, e de development, d-aia am șters-o. Mai bine să învețe de acum o lecție folositoare, mai ales având în vedere că jegul ăsta o să fie folosit cu date personale în producție.
E trist pentru că puteau măcar să nu lase % la host pentru userul ăla. Mi-e greu să cred că lanțul ăsta de decizii proaste e doar o greșeală care nu va fi repetată.
Abordarea mea ar fi fost, în ordine:
un mesaj în privat celui ce a făcut acel commit
și/sau un pull request cu o variantă securizată
public shaming după câteva zile, dar fără a demonstra că am fost birjar în ultimii zece ani.
Aparent “descoperitorul” este “Security Bug Bounty Hunter”. Deci ar trebui sa stie mai bine modul corect de a aborda o organizatie in legatura cu security issues. Abordarea a fost in schimb “din topor”/“dau cu bata in balta”. Did not win any friends.
Am vazut ceva similar chiar azi, cu noul film de la Dragos Bucur & co - “Doua lozuri”, aparent facut independent, si diferit de filmele romanesti de arta (in sensul ca e o comedie, nu incearca sa prinda ceva la Cannes etc. O chestie buna IMO). Un grup de "oameni"de pe net s-a apucat sa dea note mici pe IMDB, din nu stiu ce motiv. Pentru un film mic, 300 de voturi cat au dat ei au fost deajuns sa strice nota. S-a mai indreptat intre timp, dar e acelasi gen de atitudine - “las ca-i invat eu cum sta treaba cu lumea reala”.
In alta ordine de idei, “stocarea secretelor”, nu e o problema usor de rezolvat, si clar nu intr-un hackaton in care lumea incerca sa faca ceva ce sa mearga in 12 ore, nu sa scrie codul de productie. Cut the folks some slack.
Tipul am înțeles că este faimos printre cei mai bătrâni din industrie (sysadmini) pentru atitudinea pe care o are. Așa e omul, nu are treabă cu publicitatea negativă.
În altă ordine de idei, orice developer care a trecut de juniorat ar trebui să știe că nu dai commit la fișiera cu parole și api key-uri. E plin netul cu relatări despre câte date de autentificare pentru AWS sau alte servicii se gasesc pe Github.
@horia141 în cazul de fată soluția e foarte simplă: cp config.file config.file.dist && echo "config.file" > .gitignore
adică faci un fisier în care ai structura fișierului de configurare cu niște dummy data iar în fișierul de configurare încărcat de aplicație ai datele reale, dar aceasta nu va fi niciodată inclus într-un commit fiindcă l-ai trecut în gitignore.
Și mai e un aspect aici: de ce serverul de MySQL accepta conexiuni de la orice IP? Tocmai pentru că cineva ar fi putut face publice datele de acces, ar fi fost bine ca accesul să fie restricționat.
on topic: I think everyone is missing the elephant in the room - bad publicity? someone doesn’t like that project? this literally started a shit storm si toate comentariile pe langa de fapt vor sa demonteze proiectul in sine.
Eh, nu e chiar așa. Python e pe piață de peste 20 de ani, sunt mulți developeri care se pricep și la el. Pe când Node.js e mai nou, mai puțini programatori plus că mulți s-au specializat pe el.
aplicatia sa poata fi folosita la nivel national, sa nu pice serverele
sa nu existe gauri de securitate, fara parole prin fisiere ce pot fi accesate din exterior
limbajul folosit sa fie unul cunoscut astfel daca e nevoie de a mari considerabil echipa, sa existe specialisti pe piata, eventual deja sa se stie plusurile si minusurile limbajului
sintaxa sa fie de actualitate… imi pot da cu parerea la php si 2 proiecte n-au ce cauta acolo… PHP 7? SOLID?
https://github.com/gov-ithub/RoadRo_iOS parca existau deja aplicatii dezvoltate pe tema asta, nu de guvern, dar cred ca era mai rentabil un parteneriat cu firmele respective, au totusi o baza de date de incidente, de utilizatori si au deja in desfasurare cazuri de incidente raportate
