Noa 🦀 · @_Akanoa_
6th Oct 2021 from TwitLonger
La sécurité et demi
Grâce à une autre personne j'ai pu avoir accès à certains codes source de la plateforme Twitch.
Je vais me focaliser entièrement sur la sécu.
Je ne sais pas quoi vous dire, à part que j'espère que tout ce que j'ai vu dans les sources de Twitch soit réparé au plus vite.
Si ce que j'ai vu est de la prod.
On est plus dans le débutant, on est dans la fainéantise la plus totale.
Pour citer pêle-mêle :
- identifiants d'admin en clair
- clefs SSH privé en clair dans le code
- sudo NOPASWD sur les groupes wheel/admin des machines
Bref !
Nous dev infra, on se casse le cul à verrouiller tout ce qu'on peut et à côté, il y a ça!
Ça m'a autant rendu triste qu'en colère de lire certaines choses.
Je donne tout mon soutien à ceux qui vont reprendre tout ça.
Il y a énormément de boulot.
Et à ceux qui ont laissé, la codebase comme ça, c’est bien triste.
Ne connaissant pas le contexte interne on ne jugera pas plus.
Après est ce que ce qu'on voit, c’est du legacy ou pas, je n’en sais rien.
Mais ce n'est vraiment pas la vision que j'ai de mon travail.
Et je continuerai à me battre pour ne pas faire ce genre de raccourci qui sabre la sécurité.
Merci de m'avoir lu.