UTVIKLING

Amazon-utviklere bør skjerpe seg

Mange røper nøklene sine i kildekode.

Det kan bli dyrt å røpe nøklene til kontoen din hos Amazon, ikke ulikt hvis du er slepphendt med fysiske nøkler eller betalingskort og pinkode...
Det kan bli dyrt å røpe nøklene til kontoen din hos Amazon, ikke ulikt hvis du er slepphendt med fysiske nøkler eller betalingskort og pinkode...
24. mars 2014 - 12:54

Alle som leier virtuelle servere av skygiganten Amazon får generert et nøkkelpar som i praksis består av en personlig aksess-ID og et hemmelig passord.

Nøklene er alt som trengs for å benytte kontoen, med de ekstra kostnadene eller faren for datatap som det kan medføre. De bør derfor oppbevares på en trygg måte, og absolutt ikke deles med hvem som helst.

Likevel er det nettopp det mange utviklere har gjort. Private nøkler til Amazon Web Services-kontoer florerer i kildekode-prosjekter på GitHub.

Dermed skal det ikke mer enn et enkelt søk for å avdekke hvem som uforvarende har delt innloggingsdetaljene sine med hele verden.

Det dreier seg om nærmere 10.000 tilfeller som har gjort dette, skriver australske IT News.

GitHub er et nettsamfunn laget for å samarbeide om utviklingsprosesser, og det er verdens største depot av åpen kildekode-prosjekter.

Hvorvidt det skyldes slurv, uvitenhet eller uhell (prosjektet skulle ikke vært delt offentlig) er vanskelig å vite, men faktum er at mange ikke beskytter nøklene sine.

– En av de beste måtene du kan beskytte kontoen din på er å sørge for ikke å ha en tilgangsnøkkel til root-kontoen din, oppfordrer Amazon på egne nettsider. En slik nøkkel blir ikke automatisk generert, og det er svært sjelden at den trengs.

I stedet bør man lage en eller flere AWS Identity and Access Management (IAM)-kontoer, og gi disse de nødvendige rettigheter. Amazon har laget en egen «beste praksis»-manual for trygg omgang med aksessnøkler.

I motsatt fall risikerer man en sjokkregning, noe det etter hvert finnes en del eksempler på. En utvikler digi.no skrev om i desember klarte ved et uhell å røpe AWS-nøklene sine. De lå nettopp i kildekoden på et GitHub-prosjekt han kom i skade for å endre fra lukket til åpent for alle.

Foruten tipset om å sjekke Amazons beste praksis, så gjentar vi rådet fra den gangen:

Det er enkelt å søke gjennom GitHub-prosjekter etter nøkler og passord. Sjekk både dine egne og dine venner prosjekter for å hindre konto-lekkasje. Vær også ekstra påpasselig når du gjør gamle private prosjekter åpne.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.