"APIキーを用途ごとに分離する" / これはユーザーが気にするんじゃ無くて、システム側で1用途1APIキーに制限できないのかなあ。違う用途ならAPIキーは違うのが当たり前なわけで。
これ、普通に認証認可の設計ミスってると思う
V0で作り始めたwebアプリで"Gemini APIの無料枠を利用して実装"をGeminiにお勧めされてるんだけど頓挫してて不幸中の幸いだったか。頓挫してるのはV0の無料枠を使い切ってるからだけどw
デフォルトで制限なしになってんのは怖すぎるだろ。Googleはだいたいいつもなんでもデフォルトでオンだが
2月に trufflehog が注意喚起してたやつね
13時間で900万円分のアクセスするのって何をさせたんだろう?
まず、API課金の金額上限を設定しておくべき。それだけで避けれるし
とりあえずプリペイドにしよう…
900万円は草枯れる。Firebaseの仕様とGeminiの相性最悪だな
Google APIは地図で使っているが、この手の話をたまに聞くからビビりながら設定している
ビックリするほどエビル🫢とんずらクラファンレベル🤔
ミスった時に即死亡のサーバーレス構成はあまりやりたくない。FaaSくらいは置いておきたいところ
イメージ戦略に騙されている Google 信者が多数いるが、Google は技術的周りの発表は (大昔は良かったものの)基本的にHype だったり、あらゆる面で技術センスも対応も基本的に最低というのが現場の認識だと思う。
そもそもこれに限らずだけどAPIキーがわかれば使い放題になる仕組み自体脆弱すぎないか。これならユーザIDとパスワードの方がまだ安全な気がする。
ローカルでちょっと使うだけでも怖くてアラート入れてる…と思ったらアラートが数時間遅れか…今見に行ったら課金上限メニューが増えた。今回ので追加したのか?でもこれも10分遅れか…
Googleは広告で昔やっていた手法なので、マーク・ザッカーバーグが詐欺広告を儲かるから、なるべく規制から保護しているのと同様にGoogleが意図的にこういう設計にしていても不思議ではない。使わないのが一番。
これに限らないが青天井の従量課金サービスやめてほしい。
結局900万払ったの?
上限設定無いんや…破産するやん…
クラウド怖いね
まーた初心者が適当にcommitしたんだろと思ったら、これはGoogleがクソ
人「えっ、FirebaseはAPIキーを公開してもいいのか!?」 Google「おかわりもいいぞ!」 … Google「ただ今よりGeminiでも使えるAPIキーとする!!」
“Googleは当初「意図された動作」として却下しました。Google自身のインフラに影響がある具体例を提示した後、ようやく「バグ」に再分類されています。”純度100%でGoogleの設計ミスでしょ。
うちも今朝やられた。被害総額約140万円。Gemini API停止した。今日は土曜日だから、週明けの月曜日に至るところで阿鼻叫喚になりそう。
クラウドサービスは予算設定したら予算以上を使えない構造にしてくれ。それこそ、強権なEUがこの辺へ手を突っ込まないのは違和感あるよ。
必要な対策 - APIキーに API制限を必ず設定
これはGCPの実装がevil過ぎる。Firebase専用キーを発行する仕組みが必要だし、既存キーへの考慮も必要
API上限の金額設定、最初からしててほしいよな。(どの金額が一般的かっていわれるとアレだけどさ)
【こわい】Google APIキーの脆弱性により13時間で約900万円請求される事案が発生! Firebase×Geminiで今すぐやるべきセキュリティ対策 - Qiita
"APIキーを用途ごとに分離する" / これはユーザーが気にするんじゃ無くて、システム側で1用途1APIキーに制限できないのかなあ。違う用途ならAPIキーは違うのが当たり前なわけで。
これ、普通に認証認可の設計ミスってると思う
V0で作り始めたwebアプリで"Gemini APIの無料枠を利用して実装"をGeminiにお勧めされてるんだけど頓挫してて不幸中の幸いだったか。頓挫してるのはV0の無料枠を使い切ってるからだけどw
デフォルトで制限なしになってんのは怖すぎるだろ。Googleはだいたいいつもなんでもデフォルトでオンだが
2月に trufflehog が注意喚起してたやつね
13時間で900万円分のアクセスするのって何をさせたんだろう?
まず、API課金の金額上限を設定しておくべき。それだけで避けれるし
とりあえずプリペイドにしよう…
900万円は草枯れる。Firebaseの仕様とGeminiの相性最悪だな
Google APIは地図で使っているが、この手の話をたまに聞くからビビりながら設定している
ビックリするほどエビル🫢とんずらクラファンレベル🤔
ミスった時に即死亡のサーバーレス構成はあまりやりたくない。FaaSくらいは置いておきたいところ
イメージ戦略に騙されている Google 信者が多数いるが、Google は技術的周りの発表は (大昔は良かったものの)基本的にHype だったり、あらゆる面で技術センスも対応も基本的に最低というのが現場の認識だと思う。
そもそもこれに限らずだけどAPIキーがわかれば使い放題になる仕組み自体脆弱すぎないか。これならユーザIDとパスワードの方がまだ安全な気がする。
ローカルでちょっと使うだけでも怖くてアラート入れてる…と思ったらアラートが数時間遅れか…今見に行ったら課金上限メニューが増えた。今回ので追加したのか?でもこれも10分遅れか…
Googleは広告で昔やっていた手法なので、マーク・ザッカーバーグが詐欺広告を儲かるから、なるべく規制から保護しているのと同様にGoogleが意図的にこういう設計にしていても不思議ではない。使わないのが一番。
これに限らないが青天井の従量課金サービスやめてほしい。
結局900万払ったの?
上限設定無いんや…破産するやん…
クラウド怖いね
まーた初心者が適当にcommitしたんだろと思ったら、これはGoogleがクソ
人「えっ、FirebaseはAPIキーを公開してもいいのか!?」 Google「おかわりもいいぞ!」 … Google「ただ今よりGeminiでも使えるAPIキーとする!!」
“Googleは当初「意図された動作」として却下しました。Google自身のインフラに影響がある具体例を提示した後、ようやく「バグ」に再分類されています。”純度100%でGoogleの設計ミスでしょ。
うちも今朝やられた。被害総額約140万円。Gemini API停止した。今日は土曜日だから、週明けの月曜日に至るところで阿鼻叫喚になりそう。
クラウドサービスは予算設定したら予算以上を使えない構造にしてくれ。それこそ、強権なEUがこの辺へ手を突っ込まないのは違和感あるよ。
必要な対策 - APIキーに API制限を必ず設定
これはGCPの実装がevil過ぎる。Firebase専用キーを発行する仕組みが必要だし、既存キーへの考慮も必要
API上限の金額設定、最初からしててほしいよな。(どの金額が一般的かっていわれるとアレだけどさ)