د ګوګل API کیلي پټ نه و، مګر بیا جیمني مقررات بدل کړل | Mewayz Blog Skip to main content
Hacker News

د ګوګل API کیلي پټ نه و، مګر بیا جیمني مقررات بدل کړل

تبصرې

1 min read Via trufflesecurity.com

Mewayz Team

Editorial Team

Hacker News

کله چې "د ډیزاین لخوا عامه" د امنیت مسؤلیت شي

د نږدې دوو لسیزو لپاره، د ګوګل په ایکوسیستم کې جوړونکو پراختیا کونکو یو فرعي مګر مهم درس زده کړ: د ګوګل API کیلي واقعیا رازونه ندي. که تاسو په جاواسکریپټ فایل کې د یوټیوب ډیټا API کیلي ځای په ځای کړې وي ، نو ګوګل نه ویریږي. که ستاسو د نقشې API کلیدي په عامه GitHub ذخیره کې ښکاره شي، د امنیت غبرګون په اصل کې د ډومین محدودیتونو ټاکلو لپاره یو شاګرد او یادونه وه. ټول ماډل د دې انګیرنې په شاوخوا کې جوړ شوی و چې دا کیلي به د پیرودونکي اړخ کوډ کې ژوند وکړي، هر هغه چا ته ښکاره کیږي چې DevTools خلاص کړي.

دا فلسفه د اوږدې مودې لپاره احساس کړه. د نقشې API کیلي د ډومین محدودیتونو پرته افشا شوي ممکن د حیرانتیا بل راټیټ کړي ، مګر دا د ناروغ ریکارډونو سره موافقت یا د بانکي حساب له مینځه وړلو لپاره نه و. د چاودنې وړانګې مالي او د مدیریت وړ وې. د ګوګل وسیلې - د راجع کونکي محدودیتونه ، د IP سپین لیست کول ، د کوټې محدودیتونه - د دې لپاره ډیزاین شوي چې زیان پکې ولري ، نه په بشپړ ډول د افشا کیدو مخه نیسي.

بیا جیمنی راغی، او مقررات بدل شول. ستونزه دا ده چې ملیونونو پراختیا کونکو یادداشت نه دی ترلاسه کړی.

د میراثي ذهني ماډل چې اوس پراختیا کونکي سوځوي

د ګوګل پخوانی پرمختلونکي تجربه په قصدي ډول اجازه وه. کله چې تاسو د نقشې جاوا سکریپټ API کیلي رامینځته کړه، اسناد په عملي توګه تاسو هڅوي چې دا مستقیم په خپل HTML کې واچوئ. د امنیت ماډل محرمیت نه و - دا محدودیت و. تاسو به خپل ډومین ته کیلي لاک کړئ، د کوټې خبرتیاوې ترتیب کړئ، او پرمخ لاړشئ. دا عملي انجینري وه: د پیرودونکي اړخ غوښتنلیکونه په ریښتیا نشي کولی د ټاکل شوي کاروونکو څخه رازونه وساتي، نو ګوګل یو سیسټم جوړ کړ چې دا واقعیت ومني.

دا د پراختیا کونکو نسل رامینځته کړی - او تر ټولو مهم د اداری عادتونو نسل - چیرې چې د ګوګل API کیلي د پټې پټې کیلي یا د AWS لاسرسي سند په پرتله مختلف ذهني کټګورۍ نیولې. تاسو به خپله پټه پټه کیلي په عامه ریپو کې نه پیسټ کړئ. مګر ستاسو د نقشې کیلي؟ دا په عملي توګه د ترتیب ارزښت و، نه پټ. ډیری ټیمونو دا د عامه مخ په وړاندې کولو ترتیب فایلونو کې ذخیره کړي، README فایلونه، حتی د مراجعینو اړخ چاپیریال متغیرونو کې چې د NEXT_PUBLIC_ یا REACT_APP_ سره مخ کیږي پرته له کوم دویم فکر څخه.

امنیت څیړونکي د افشا شوي اسنادو لپاره GitHub سکین کوي د ګوګل API کلیدونو سره په مختلف ډول چلند کول زده کړل. د لیک شوي نقشې کیلي د ټیټ شدت موندنه وه. یو لیک شوی جیمینی کلید په بشپړه توګه مختلف خبرې اترې دي.

د Gemini سره څه بدل شوي - او ولې دا مهم دي

د ګوګل Gemini API د زوړ لوبو کتاب نه تعقیبوي. کله چې تاسو د ګوګل AI سټوډیو له لارې د Gemini API کیلي رامینځته کوئ ، نو تاسو د نقشې یا یوټیوب کیلي په پرتله د بنسټیز ډول مختلف خطر پروفایل سره اعتبار رامینځته کوئ. د جیمني کلیدونه د لویې ژبې موډل انفرنس ته د لاسرسي تصدیق کوي - یو داسې خدمت چې د ګوګل ریښتیني محاسبې سرچینې لګښت کوي او دا تاسو ته د نښه له مخې بیل درکوي ، نه د مخ لید لخوا.

په ډیر جدي توګه، د Gemini API کیلي د ډومین محدودیت میکانیزمونه ورته جوړ شوي ندي چې د نورو ګوګل کیلي افشا کول یې د ژوندي پاتې کیدو وړ کړي. هیڅ ساده "دا زما د ویب پاڼې ډومین ته لاک کړئ" کنټرول شتون نلري چې د برید کونکي مخه ونیسي چې ستاسو کیلي په عامه ذخیره کې موندلی شي خپل غوښتنلیک سپن کړي او ستاسو کوټه — یا ستاسو د بل کولو حد — په بل هیواد کې له سرور څخه مصرف کړي.

خطر یوازې مالي نه دی. د افشا شوي جیمني کیلي د زیان رسونکي مینځپانګې رامینځته کولو ، سمدستي انجیکشن بریدونو ترسره کولو ، یا د داسې وسیلو رامینځته کولو لپاره کارول کیدی شي چې د ګوګل د خدماتو شرایط سرغړونه کوي - ټول ستاسو حساب ته بیل شوي او ستاسو هویت ته بیرته موندل کیدی شي.

په 2024 کې، امنیتي څیړونکو په زرګونو افشا شوي Gemini API کیلي یوازې په GitHub کې پیژندلي، ډیری یې په ذخیره کې دي چې مخکې یې د پیښې پرته د نورو Google API کلیدونو کوربه توب کړی و. پرمخ وړونکي د خپلو تاریخي معیارونو له مخې بې پروا نه و - دوی د ذهني ماډل پلي کول چې ګوګل پخپله دوی ته د کارولو لپاره روزلي وو. چاپېریال د عادتونو په پرتله په چټکۍ سره بدل شو.

د حادثې د افشا کیدو اناتومي

په دې پوهیدل چې څنګه دا افشا کیږي د مخنیوي په لور لومړی ګام دی. د ناکامۍ طریقې د ټولو اندازو ټیمونو کې د پام وړ مطابقت لري:

  • د چاپیریال متغیر غلط طبقه بندي: پرمخ وړونکي د ګوګل نقشې کیلي ته د جیمني کیلي مخکینۍ NEXT_PUBLIC_ یا VITE_ سره کاروي، په سمدستي توګه یې په بنډل شوي پیرودونکي اړخ کوډ کې افشا کوي.
  • د ذخیره کولو تاریخ ککړتیا: یوه کیلي د تشکیل فایل کې اضافه کیږي ، ژمن کیږي ، بیا لیرې کیږي - مګر د git تاریخ د نامعلوم وخت لپاره د لټون وړ پاتې کیږي. برید کوونکي د دې تاریخ د ماین پاکولو لپاره په ځانګړې توګه د truffleHog او gitleaks په څیر وسایل کاروي.
  • د نوټ بوک او پروټوټایپ لیک: د ډیټا ساینس پوهان د جیمیني ادغام پروټوټایپ کوي په Jupyter نوټ بوکونو کې هغه نوټ بوکونه GitHub ته اړوي چې د حجرو محصولاتو کې ځای پرځای شوي کیلي سره.
  • CI/CD غلط ترتیب: د پټنځای رازونو په توګه زیرمه شوي کیلي په تصادفي ډول په جوړ شوي لاګونو کې غږیږي چې په GitHub عملونو یا ورته پلیټ فارمونو کې په عامه توګه لیدل کیږي.
  • د دریمې ډلې خدمت پراخول: پرمخ وړونکي د دې پلیټ فارمونو امنیتي پوستونو بیاکتنې پرته د تحلیلي ډشبورډونو، بې کوډ وسیلو، یا ادغام پلیټ فارمونو کې کیلي پیسټ کوي.
  • د ټیم مخابراتي چینلونه: د سست، ډیسکارډ، یا بریښنالیک له لارې شریک شوي کیلي د لټون وړ پیغام تاریخونو کې پای ته رسیږي چې د گردش مهال ویش څخه تیریږي.

عام موضوع غفلت نه دی - دا د شرایطو سقوط دی. هغه چلندونه چې په یوه شرایطو کې خوندي وو (د ګوګل نقشې پراختیا) په بل کې خطرناک دي (جیمني پراختیا)، او د اعتبارونو بصری ورته والی د توپیر له لاسه ورکول اسانه کوي.

د رازونو مدیریت کلتور رامینځته کول چې اندازه کوي

جیمني وضعیت د هغه څه لپاره ګټور جبري فعالیت دی چې ډیری پرمختیایی ټیمونه یې ځنډولي دي: د اصلي رازونو مدیریت زیربنا رامینځته کول نه د اډ-هاک چلند. د کوچنیو ټیمونو لپاره، دا ممکن د ډیر انجینرۍ په څیر احساس وکړي، مګر د اعتبار وړ افشا کولو لګښت - د بلینګ درغلۍ، د حساب تعلیق، د معلوماتو سرغړونې خبرتیاوې - په پراخه توګه د دې حق ترسره کولو هڅو څخه ډیر دی.

د عصري رازونو مدیریت یو ډول طریقه تعقیبوي. د زیربنا په کچه، د HashiCorp Vault، AWS راز مدیر، یا د ګوګل سیکریټ مدیر په څیر وسایل د اتوماتیک گردش وړتیاوو سره مرکزي، د پلټنې وړ اعتبار ذخیره چمتو کوي. دا یوازې د لویو تصدیو لپاره نه دي -- خدمتونه لکه Doppler او Infisical د لاسرسي وړ نرخونو کې د دوه یا دریو پراختیا کونکو ټیمونو ته ورته نمونې راوړي.

💡 DID YOU KNOW?

Mewayz replaces 8+ business tools in one platform

CRM · Invoicing · HR · Projects · Booking · eCommerce · POS · Analytics. Free forever plan available.

Start Free →

د کوډ په کچه، ډسپلین ساده دی: اسناد هیڅکله د سرچینې کوډ سره اړیکه نه نیسي. بشپړ بند. نه په تبصره شوي لینونو کې، نه د مثال په فایلونو کې، نه د ازموینې فکسچرونو کې د جعلي ښکاري ارزښتونو سره چې ریښتیا وي. مخکینۍ ژمنې هک چلولو وسیلې لکه د کشف رازونه یا gitleaks مخکې له دې چې لرې پرتو ذخیره ځایونو ته ورسیږي سرغړونه ونیسي. دا هکونه د ترتیب کولو لپاره دقیقې وخت نیسي او ستاسو د پیښې غبرګون اندیښنې لرې کوي.

د هغو سازمانونو لپاره چې پیچلي عملیاتي سټیکونه پرمخ وړي - د CRM کاري فلو څخه د پیرودونکو سره د بکینګ سیسټمونو ته د معاشونو ادغام پورې د هرڅه اداره کول - د مرکزي اعتبار مدیریت خورا مهم کیږي. پلیټ فارمونه لکه Mewayz، کوم چې د یوې عملیاتي چتر لاندې 207 سوداګریز ماډلونه متحد کوي، د دې اصولو سره د دوی په اساس جوړ شوي: اعتبار او د API ادغام د پلیټ فارم په کچه اداره کیږي، د انفرادي ماډلونو یا انفرادي پراختیا کونکو چاپیریالونو کې نه ویشل کیږي. کله چې یو کیلي ته اړتیا وي چې وګرځول شي، دا یو ځل پیښیږي، په یو ځای کې، نه د 17 مختلف ادغام نقطو کې.

د بلینګ برید ویکتور: د ګواښ ماډل جوړونکي کم اټکل کوي

امنیتي بحثونه اکثرا د معلوماتو په سرغړونو او غیر مجاز لاسرسي تمرکز کوي. د Gemini د افشا کولو ستونزه د دریم ګواښ ماډل اضافه کوي چې د مساوي پاملرنې مستحق دي: په پیمانه د بلینګ درغلۍ.

د لویې ژبې موډل اټکل ګران دی. GPT-4 او جیمني الټرا پروسس ټوکنونه د هر یو د یوې سینټ په برخو کې ، مګر په پیمانه - په زرګونو غوښتنې ، ملیونونه ټوکنونه - دا برخې خورا ګړندي په زرګونو ډالرو ته اضافه کوي. برید کونکي چې د افشا شوي AI API کیلي کشف کوي لازمي نه ستاسو ډاټا غواړي. دوی وړیا محاسبه غواړي. دوی به ستاسو اسناد د خپل AI خدماتو چلولو لپاره وکاروي، د استخراج ظرفیت بیا وپلوري، یا د دوی غوښتنلیکونه فشار وارزوي - ټول هغه مهال چې بل تاسو ته ځي.

یو پراختیا کونکي مستند کړی چې د جیمني کیلي څخه د $ 23,000 بیل راښکاره کیږي چې په عامه ذخیره کې له شپږو ساعتونو څخه لږ وخت لپاره افشا شوي. برید کونکي سمدلاسه استخراج اتومات کړی و ، د لوړې کچې تولید تولید دندې په دوامداره توګه پرمخ وړي تر هغه چې د ګوګل درغلي کشف دا ونیسي. پرمخ وړونکي بالاخره د اوږدې شخړې پروسې وروسته تورونه بیرته واخیستل، مګر حساب په دې موده کې وځنډول شو، د تولید خدمتونه یې له مینځه یوړل.

له همدې امله د بلینګ خبرتیاوې او د کوټې محدودیتونه د مناسب راز مدیریت لپاره بدیل ندي - دا د دفاع وروستۍ کرښه ده چې تاسو امید لرئ چې تاسو هیڅکله اړتیا نلرئ. په AI API حسابونو کې د میاشتني لګښتونو سخت محدودیتونه ټاکل اوس مهال د میز سره مخ دي، مګر اصلي ساتنه دا یقیني کوي چې دا اسناد هیڅکله په لومړي ځای کې نه خپریږي.

د ټیمونو د لیږد لپاره عملي ګامونه

که ستاسو ټیم د زاړه ذهني ماډل لاندې د ګوګل API ادغام رامینځته کوي او اوس په سټیک کې جیمیني اضافه کوي ، دلته د ریښتیني درملنې چک لیست دی:

  1. موجوده ذخیرې سمدلاسه وڅیړئ. د خپل بشپړ git تاریخ په وړاندې truffleHog یا gitleaks چل کړئ، نه یوازې د اوسني HEAD. په ځانګړې توګه په هر هغه ذخیره باندې تمرکز وکړئ چې په تیرو وختونو کې د Google API کلیدي کارونې لري.
  2. ټول افشا شوي کیلي وګرځوئ. که چیرې د جیمني کیلي کله هم په یوه ژمنې کې ښکاره شوې وي، فرض کړئ چې دا جوړ شوی. دا لغوه کړئ او یو نوی جوړ کړئ. هڅه مه کوه چې دا ارزونه وکړي چې آیا چا "په حقیقت کې" موندلی دی.
  3. د ژمنې دمخه سکیننګ پلي کړئ. د هر پرمخ وړونکي ماشین کې او په CI/CD پایپ لاینونو کې د نه تیریدو وړ دروازې په توګه د پټ کشف هکونه نصب کړئ.
  4. یو کلیدي لیست جوړ کړئ. پوه شئ چې کوم خدمتونه کوم اسناد لري، څوک یې مالکیت لري، کله چې دوی وروستی ځل وګرځول شول، او چیرته کارول کیږي. یو سپریڈ شیټ یو ښه پیل ټکی دی؛ د رازونو مدیر منزل دی.
  5. د بلینګ خبرتیاوې او سخت محدودیتونه وټاکئ. په هر AI API حساب کې، ستاسو د متوقع میاشتني لګښت 50٪ او 80٪ کې خبرتیاوې ترتیب کړئ، او سخت محدودیتونه وټاکئ چې د بلینګ د ناورین پیښو مخه ونیسي.
  6. نوی ذهني ماډل په ښکاره ډول مستند کړئ. د خپل ټیم ​​د انبورډینګ موادو او انجینرۍ لارښود کتاب تازه کړئ ترڅو په واضح ډول ووایاست چې د Gemini API کلیدونه د لوړ حساسیت سندونه دي چې د تادیې پروسیسر رازونو په څیر ورته چلند ته اړتیا لري.

د پلیټ فارم پورې تړلې سوداګرۍ لپاره پراخه درس

د جیمني وضعیت یوه بیلګه په ګوته کوي چې هر ډول سوداګرۍ په ژوره توګه د دریمې ډلې پلیټ فارمونو سره مدغم کوي: پلیټ فارمونه وده کوي ، او د امنیت وضعیت اړتیاوې د دوی سره وده کوي ، مګر د ټیمونو اداري عادتونه چې دا پلیټ فارمونه کاروي اکثرا سرعت نه ساتي. هغه څه چې پرون خوندي وو نن خطرناک دي، او د دغو دوو دولتونو ترمنځ واټن هغه ځای دی چې سرغړونې کیږي.

دا په ځانګړې توګه د هغو کاروبارونو لپاره سخت دی چې پیچلي عملیاتي سټکونه پرمخ وړي. یو شرکت چې د پیرودونکي خدماتو ، تحلیلونو ، مینځپانګې تولید ، او محصول وړاندیزونو کې د AI ځواک لرونکي ب featuresې کاروي ممکن په درجن مختلف شرایطو کې د جیمیني ادغام ولري - هر یو د احتمالي افشا کولو نقطه که چیرې اعتبار په متناسب ډول اداره شي. حل یوازې د انفرادي پراختیا کونکي غوره عادتونه ندي؛ دا معماري ده. د اعتبار وړ لاسرسي ته اړتیا ده چې د پلیټ فارم په کچه مرکزي شوي، پلټل شوي، او اداره شي.

د سوداګرۍ عصري سیسټمونه په زیاتیدونکي توګه د دې په پام کې نیولو سره ډیزاین شوي. کله چې Mewayz په خپل سویټ کې د AI وړتیاوې مدغم کړي - د هوښیار CRM کاري فلو څخه په خپل 207-ماډول ایکوسیستم کې اتومات تحلیلونو ته - د اعتبار مدیریت په زیربنا پرت کې اداره کیږي ، نه د غوښتنلیک پرت. د انفرادي ماډل پراختیا کونکي خام API کیلي نه اداره کوي؛ دوی وړتیاو ته د خلاصون پرتونو له لارې لاسرسی لري چې د گردش پالیسۍ پلي کوي ، د پلټنې لاسرسی ، او د چاودنې وړانګې محدودوي که چیرې یو څه غلط شي. دا هغه جوړښت دی چې د جیمیني دوره غوښتنه کوي: نه یوازې غوره عادتونه، بلکې غوره سیسټمونه چې سم عادتونه یوازینۍ شتون لري.

ګوګل د نقشې او یوټیوب لپاره د اجازې API کلیدي ماډل په جوړولو کې تېروتنه نه ده کړې. دا ماډل د دې خدماتو لپاره مناسب و. مګر لکه څنګه چې د APIs وړتیاوې او د لګښت پروفایلونه په ډراماتیک ډول وده کوي - او لکه څنګه چې AI APIs شاید پدې تکامل کې ترټولو ګړندۍ انعطاف نقطه نمایندګي کوي - ټول صنعت اړتیا لري خپل ډیفالټونه بیا تنظیم کړي. هغه پراختیا کونکي چې په دې چاپیریال کې وده کوي هغه به نه وي چې زاړه قواعد په ښه توګه زده کړي، مګر هغه څوک چې پیژني کله چې قواعد په بنسټیز ډول بدلون ومومي.

په مکرر ډول پوښتل شوي پوښتنې

ولې د ګوګل API کلیدونه په تاریخي ډول د عامه افشا کولو لپاره خوندي ګڼل شوي؟

ګوګل خپل ډیری APIs ډیزاین کړي - نقشه، یوټیوب، ځایونه - د پیرودونکي اړخ کارولو لپاره، پدې معنی چې کیلي په قصدي توګه د مخکینۍ پای کوډ کې ځای پرځای شوي چې هرچا ته لیدل کیږي. د امنیت ماډل د کلیدي محرمیت پرځای د کارونې محدودیتونو لکه د ډومین اجازې لیستونو او راجع کونکي چیکونو باندې تکیه کوي. د کلونو لپاره، ښکاره شوې کیلي د ترتیب کولو مسله ګڼل کیده، نه یو مهم زیانمنونکي چې سمدستي گردش ته اړتیا لري.

کله چې ګوګل د Gemini API کلیدونه معرفي کړل څه بدل شول؟

د میراثي Google APIs برعکس، Gemini API کلیدونه د دودیزو رازونو په څیر کار کوي - د یو چا افشا کول ستاسو د بلینګ حساب ته غیر مجاز لګښتونو ، د موډل ناوړه ګټه اخیستنې ، یا د کوټې ستړیا لامل کیدی شي پرته له کوم جوړ شوي ډومین محدودیت ستاسو خوندي کولو لپاره. د بدلون معنی دا ده چې پراختیا کونکي باید اوس د Gemini کلیدونو سره د AWS اسنادو یا پټو پټو کلیدونو په څیر چلند وکړي، دوی د سرور لوري ذخیره کوي او هیڅکله د مراجعینو سره مخامخ کوډ کې نه وي.

څنګه باید پرمخ وړونکي د AI خدماتو لپاره نن ورځ د API کیلي په خوندي ډول اداره کړي؟

غوره عمل دا دی چې ټولې AI API کلیدونه په سرور کې د چاپیریال متغیرونو په توګه ذخیره کړئ، هیڅکله په نسخه کنټرول شوي فایلونو یا د مراجعینو بنډلونو کې نه. د رازونو مدیر وکاروئ ، کیلي په منظم ډول وګرځوئ ، او د چمتو کونکي په کچه د لګښت محدودیتونه وټاکئ. پلیټ فارمونه لکه Mewayz — د 207 ماډل سوداګریز OS په $19/mo کې په app.mewayz.com کې شتون لري — د دوی زیربنا کې د API اعتباري مدیریت اداره کوي نو ټیمونه د خدماتو په اوږدو کې په لاسي ډول کیلي نه چلوي.

که زه په تصادفي توګه د Gemini API کیلي افشا کړم نو څه باید وکړم؟

د ګوګل کلاوډ کنسول له لارې جوړ شوی کیلي سمدلاسه لغوه کړئ او د بل څه کولو دمخه بدیل رامینځته کړئ. خپل د بلینګ ډشبورډ د غیر متوقع کارونې سپکونو لپاره پلټنه وکړئ چې ښایي دا په ګوته کړي چې کیلي راټول شوي. بیا خپل کوډبیس، CI/CD چاپیریال متغیرونه، او د نورو لیک شوي اسنادو لپاره کوم عامه ذخیره بیاکتنه وکړئ. د پیښې سره داسې چلند وکړئ لکه څنګه چې تاسو به د تادیې کوم افشا شوي سند ولرئ - فرض کړئ چې وموندل شو او د هغې مطابق عمل وکړئ.