Cím: A Gitlab mint DevSecOps platform (x)

Hirdetés

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon. További részletek »

( wladek1 | 2024. 11. 02., szo – 07:44 )

Ez ugyanaz a gitlab, ahol 

GitLab generates direct URLs for these uploaded files with a random 32-character ID to prevent unauthorized users from guessing the URLs

már biztonságos. DevSecOps in effect.

Error: nmcli terminated by signal Félbeszakítás (2)

Ezt kifejted egy kicsit? Mármint alapvetően ez egy elég standard practice, hogy az ilyen "everyone with the link can access" megoldások így működnek, nem gitlab spec. Más lehetőséged nem nagyon van, ha nem akarsz authentikáltatni. Vagy valahol ott használják, ahol nem kellene?

Ez a security by obscurity dolog nem működik szerintem. Nálunk a gitlab visz 47000 kommentet az issuekban. Ha még akarom vonni a hozzáférést egy partnertől, akkor miért kell azzal játszani, hogy kikeressem, az elmúlt években mik lettek megosztva vele? CE alatt kb ez lehetetlen is.

Az általad említettre ott van pl az owncloud, jelszavas, idolimites hozzáféréssel, vagy egy teljes user accounttal.

Error: nmcli terminated by signal Félbeszakítás (2)

Szerintem picit elbeszélünk egymás mellett. Én nem példát hoztam, csak azt nem értettem, hogy ettől a stratégiától önmagában miért hülye a gitlab? Mert hogy ezt elég sokszor alkalmazzák, ha nem akarsz usereket managelni vagy federálni, vag valami. Szóval, hogy mi a konkrét fájdalom.

Most megnéztem a doksit, ha jól látom, itt arról van szó, hogy ha feltöltesz vmit egy issueba, akkor az alapból egy ilyen url-t kap. Amit, ha tud valaki, akkor a public projektek issue-iba így belinkelt dolgokat akkor is el lehet érni. "For public projects or groups, anyone can access these files through the direct attachment URL, even if the issue, merge request, or epic is confidential.". Ez valóban nem túl szerencsés. Tudnék tippelni, hogy miért van így, de valóban nem túl szerencsés. Mindazonáltal akkora tragédia azért szerintem nincs, ilyenhez azért nem fér csak úgy hozzá akárki, ha nem szivárgott valahogy máshogy az egyébként normálisan autentikált tartalom.

Illetve hát, valójában ez csak akkor van, ha projekt public, szóval ha a projectet priváton/internálon hagyod, akkor nem kell ezzel csesződni, elveszed a partnertől az accot/kiveszed a projektből, és nem fogja őket elérni:

"Access to non-image files uploaded to:

  • Issues or merge requests is determined by the project visibility.
  • Group epics is determined by the group visibility.

... For private and internal projects, GitLab ensures only authenticated project members can access non-image file uploads, such as PDFs."

Szóval all in all, nyilván nem a legszerencsésebb ez a megvalósítás, de ha ésszel használod, akkor azért olyan nagy tragédia nincs.

Illetve némi nit-picking: Ez szerintem *nem* (szerk, kimaradt) igazán security by obscurity. Azt arra szoktuk mondani, amikor arról van szó, hogy azért biztonságos, mert nem ismered az algoritmust, mert ha ismernéd, vissza tudnád fejteni (Mondok blődet, az urlt egy "projectnév+incrementált számláló" string hash-ával képezzük. Ha ezt tudod, akkor tudsz egy csomó urlt). Ez nem ilyen, itt az algoritmus ismerete lényegében nem segít az esélyeiden. Ez valójában egy shared password (mint mondjuk egy snmp community string). Szóval nem sec by obscurity, simán csak gyenge :)

(A képek alapból látszanak, mert különben törnek a html emailek pl szerintem gázabb :) )

For private and internal projects, GitLab ensures only authenticated project members can access non-image file uploads, such as PDFs.

Na ez az, ami regen nem igy mukodott. Igy viszont teljesen rendben van, koszi :) (Nincsenek public projektek)

Error: nmcli terminated by signal Félbeszakítás (2)

Ha még akarom vonni a hozzáférést egy partnertől, akkor miért kell azzal játszani, hogy kikeressem, az elmúlt években mik lettek megosztva vele?

Ami meg lett vele osztva a múltban, és letölthető fájl, arra úgy kell tekintened, hogy amúgy sem vonhatod meg a hozzáférést - már megvan neki lementve és kész. Teljesen felesleges trükközni mindenféle tokenekkel meg lejáró megosztásokkal itt, amit egyszer megosztottál neki, az meglesz neki, így kell erre tekinteni. És ez nem Gitlab-specifikus dolog.

Nem technikai es nem bizalmi, hanem elsosorban jogi. Ha van egy elvaras veled szemben, hogy szuntesd meg XY hozzafereset a 1+k fajlhoz, amit az altalad uzemeltetett rendszer visz (es aminek adott esetben nincs authentikacioja ezekre), tovabba a kliens alapesetben barhonnet johet, akkor bizony az a hunyo, akinek a hozzafereseket kell kezelnie.
Mi ezt OpenVPN -el oldottuk meg az olyan esetekre, hogy le lehessen kezelni a lekezelhetetlent. Visszavonom a hozzaferest ezen az adott belepesi ponton, aztan mehet Isten hirevel :). Utana molyolni kell persze azzal, hogy egyesevel ezeket likvidald, de nem eg a haz. A megoldas erre valoszinuleg LDAP lesz/lenne, de egyreszt abbol igencsak hadilabon allok, masreszt ido/ember sem nagyon van szabadon egy ilyennek az implementalasara.

Error: nmcli terminated by signal Félbeszakítás (2)

( kubi | 2024. 11. 07., cs – 12:39 )

Pont most ulok az eloadasukon Stockholmban.

Eddig erosen meh...

De legalabb jo az eloado csoka.

( kubi | 2024. 11. 07., cs – 19:07 )

Szerkesztve: 2024. 11. 07., cs – 19:08

Van egy megoldasunk. Kellene hozza egy problema.

Hopp, meg is van. A security fontos, ki mondana, hogy nem?

 

Ja, es AI. Hololoooo