Zugangscodes und -schlüssel schützen

Der eine oder andere hats vielleicht gestern schon auf heise mitbekommen, es wurden auf der beliebten Versionierungs- und Codesharing-Plattform github etliche - eigentlich geheime - Zugangsschlüssel zu Amazon Web Services (AWS)-Accounts gefunden.

Panik! Oder nicht?

Grund zur Panik besteht allemal, denn bei diesen Schlüsseln handelt es sich um sogenannte Root-Schlüssel (bei Microsoft Azure nennt er sich "Master Key"), die den ihr beispielsweise in eurem Azure-Konto in der jeweiligen Applikation / dem Service im Dashboard abfragen könnt:

Stellt euch vor, euch gehört ein ultrageheimes Geheimlabor und ihr habt den Generalschlüssel dazu; prinzipiell macht einem so ein Generalschlüssel das Leben durchaus einfacher. Aber ihr wollt natürlich nicht, dass jeder ins Geheimlabor kommt und auch noch in alle Räume reinkommt.

Wenn ihr etwas großartiges, revolutionäres entwickelt habt - oder einfach nur mit anderen Zusammenarbeiten wollt - ist es natürlich praktisch, einen Raum zu haben, in dem man sich austauschen kann und den aktuellen Stand bereitstellen kann, damit die anderen sich das jederzeit auch anschauen können. In diesem Fall übernimmt github diese Aufgabe - und hier wurden nicht nur die Entwicklungen geteilt, sondern eben auch der Generalschlüssel, zur freien Verfügung, was nicht nur im Beispiel mit dem Geheimlabor, sondern auch mit Cloud-Konten einfach mal gar nicht geht - vor allem, wenn ihr zum Beispiel Spielerdaten dort aufbewahrt, weil die davon auch in Mitleidenschaft gezogen werden.

Ich werde an anderer Stelle etwas genauer darauf eingehen, wie man sein Projekt so vorbereiten kann, dass ihr weiter Cloud-Funktionalitäten nutzen könnt aber gleichzeitig die Zugangsdaten schützt. So viel sei schonmal gesagt:

Legt Zugangsschlüssel/-daten niemals niemals niemals direkt in den Quellcode, der nachher online geteilt oder aufbewahrt wird. Und versucht den Einsatz vom Master Key in den Apps und Spielen, die hinterher auf den Geräten anderer landen, tunlichst zu vermeiden.

Haltet statt dessen eine separate Konfigurationsdatei vor, die auch NICHT online gestellt wird.

Tags:

Follow the Discussion

Comments Closed

Comments have been closed since this content was published more than 30 days ago, but if you'd like to continue the conversation, please create a new thread in our Forums,
or Contact Us and let us know.