API keys per ongeluk op Github, na delete nog zichtbaar!

Jazco2nd schreef op woensdag 10 maart 2021 @ 14:52:
git clone heeft geen nut: het bestand lijkt niet meer in mijn repository voor te komen dus wordt ook niet lokaal gedownload.

Ik ga nu als de donder al die gegevens veranderen natuurlijk, voor zover ik dat nog niet had gedaan. Maar ik wil dit bestand echt helemaal weg hebben.

Jazco2nd schreef op woensdag 10 maart 2021 @ 15:45:
[..]
Maar is github dan zo verschrikkelijk ingewikkeld dat er geen optie is om 1 enkele commit volledig te verwijderen?
[..]

Jazco2nd schreef op woensdag 10 maart 2021 @ 15:45:
@Luc45 @DataGhost @Woy
Maar is github dan zo verschrikkelijk ingewikkeld dat er geen optie is om 1 enkele commit volledig te verwijderen? Ik begrijp sowieso niet hoe de tree is ontstaan, daar ik nooit werk met trees, ik houd het simpel.

1

 https://github.com/username/repositoryname/blob/eenlangestring/foldername/filename

[Voor 14% gewijzigd door Kalentum op 10-03-2021 16:12]

Jazco2nd schreef op woensdag 10 maart 2021 @ 15:45:
@Luc45 @DataGhost @Woy
Het stond geen minuut online

vikterr schreef op woensdag 10 maart 2021 @ 22:08:
Vreemd dat niemand vraagt of dit een publieke of private repo was. https://tecadmin.net/delete-commit-history-in-github/

of source files kopieren en nieuwe repo maken.

Jazco2nd schreef op woensdag 10 maart 2021 @ 15:16:
[...]


Klopt, het staat in geen enkele revisie als ik hier kijk waar het bestand was:

code:

1	https://github.com/username/repositoryname/blob/master/foldername/(filename)

Er is dus geen file, in geen enkele revisie.

Maar met de rechtstreekse link van sendgrid zie je gewoon nog steeds het bestand:

code:

1	https://github.com/username/repositoryname/blob/eenlangestring/foldername/filename

DataGhost schreef op woensdag 10 maart 2021 @ 15:38:
Umm, dit soort data weghalen uit een version control-repo is op zichzelf al tricky, maar het weghalen uit zoekmachines, andere archivers, repo-clones en persoonlijke opslag van mensen die het al gezien hebben is zo goed als onmogelijk. Ik mis een beetje waarom je niet voor de makkelijkste optie bent gegaan, namelijk het wijzigen van je wachtwoorden en API-keys bij de betreffende services? Je moet ze sowieso als compromised beschouwen.

[Voor 6% gewijzigd door Lethalis op 11-03-2021 09:58]

Hydra schreef op donderdag 11 maart 2021 @ 09:59:
[...]
Niks mis met github. Sterker nog; als je dit soort fouten maakt vooral NIET je spullen zelf gaan draaien. Github heeft gewoon prive repos.

[Voor 9% gewijzigd door Lethalis op 11-03-2021 10:11]

Lethalis schreef op donderdag 11 maart 2021 @ 10:09:
Maar je spullen liggen ook niet meteen op straat als je dan toch eens een fout maakt.

Hydra schreef op donderdag 11 maart 2021 @ 10:11:
[...]
Waarom niet?

Vloris schreef op donderdag 11 maart 2021 @ 09:12:
[...]

Volgens mij snap je nog niet helemaal hoe git revisies en history werken. Het feit dat een bepaalde revisie niet in de history van master zit wil nog niet zeggen dat die revisie meteen helemaal verwijderd is.

quote: https://rtyley.github.io/bfg-repo-cleaner/

The BFG will update your commits and all branches and tags so they are clean, but it doesn't physically delete the unwanted stuff. Examine the repo to make sure your history has been updated, and then use the standard git gc command to strip out the unwanted dirty data, which Git will now recognise as surplus to requirements:

$ git reflog expire --expire=now --all
$ git gc --prune=now --aggressive

[Voor 9% gewijzigd door CodeCaster op 11-03-2021 10:45]

Jazco2nd schreef op woensdag 10 maart 2021 @ 14:52:
Mijn docker compose yml staat op github inclusief een voorbeeld .env bestand. Per ongeluk had ik dat laatste bestand vorige week geupdate met mijn eigen .env bestand, waar mijn persoonlijke variabelen in staat (wachtwoorden, API keys van mijn homeserver).

CodeCaster schreef op donderdag 11 maart 2021 @ 10:43:
[...]

Volgens mij jij ook niet, anders zou je wel vertellen wat hij eraan kan doen?

Woy schreef op donderdag 11 maart 2021 @ 14:06:
Sowieso is het natuurlijk al een goed idee om dit soort secrets uberhaubt niet in dergelijke config files op te slaan die uit de root van je git repo gelezen worden. Gebruik liever iets als Azure Vault, AWS Secrets Manager of Kubernetes Secrets.

Als deze gegevens niet uit dergelijke files gelezen worden kun je ze ook niet per ongeluk comitten.

raptorix schreef op zondag 14 maart 2021 @ 10:31:
[...]

Dit dus, en door dit soort gepruts is Sendgrid niet meer fatsoenlijk te gebruiken, vorig jaar massaal geblacklist op Spamhaus

Woy schreef op zondag 14 maart 2021 @ 11:36:
[...]

Ja, ik ben er ook helemaal weg gemigreerd. De support van sendgrid was echt waardeloos. Het heeft meer dan een maand geduurd voordat er gedelist was, en binnen de kortste keren waren ze weer geblacklist. Enige reactie was dat dat blijkbaar is wat je van sendgrid mag verwachten. Daar ga ik niet voor betalen.

Jazco2nd schreef op woensdag 10 maart 2021 @ 14:52:
*Paniek*
Mijn docker compose yml staat op github inclusief een voorbeeld .env bestand. Per ongeluk had ik dat laatste bestand vorige week geupdate met mijn eigen .env bestand, waar mijn persoonlijke variabelen in staat (wachtwoorden, API keys van mijn homeserver).
Ik heb dit bestand volledig verwijderd, de historie alles is weg online. Nu krijg ik bericht van Sendgrid dat mijn account suspended is omdat de API key op github staat.
In de mail zit een rechtstreekse link naar een github blob binnen mijn repository en inderdaad, het gewraakte .env bestand met alle gevoelige info.


Ik kan niks met dit bestand doen! Wissen kan niet, bewerken kan niet "You must be on a branch to make or propose changes to this file."

Ik ga nu als de donder al die gegevens veranderen natuurlijk, voor zover ik dat nog niet had gedaan. Maar ik wil dit bestand echt helemaal weg hebben.

git clone heeft geen nut: het bestand lijkt niet meer in mijn repository voor te komen dus wordt ook niet lokaal gedownload.

Hoe kan je zoiets compleet wissen?