但最重要的是,通过告诉人们放置敏感数据(如凭据、配置文件等),这对我们的团队来说是一个非常危险的教训。我们正在教导人们在发布潜在的敏感数据时,要盲目相信他们与之没有任何关系,也没有完全审计过源代码的任意网站。
我意识到这可能不是您在本地运行时要做的事情,但是对于在本地运行的知名图书馆来说,它不太可能需要向外访问。
Jwt.io是一个有趣的例子,因为尽管它吹嘘自己是作为客户端解决方案运行的,但您可能还没有意识到,直到去年9月,才确定了一些指标,尽管这些指标看起来可能是无辜的,但它表明,其他功能很容易隐藏在一个看似仅限客户端的网站中。除非你审计每件事,否则每次你都处于危险的境地,你可能会泄露你意想不到的数据。
我觉得我们可以做一些事情来帮助处理潜在敏感数据的服务,帮助教育用户他们应该更加小心,因为jwt.io的警告肯定不会帮助那些没有完全意识到如果jwt.io并不像用户认为的那样值得信任的人有什么风险:
警告:JWT是凭据,可以授予对资源的访问权限。小心你粘贴它们的地方!我们不记录令牌,所有的验证和调试都在客户端完成。
你认为如何?我是不是有点太敏感了?我是不是不够敏感?