¿Por qué es más inseguro almacenar su contraseña en la URL de un repositorio git?

7

Como comentario sobre una respuesta a esta pregunta , alguien dice:

  

No es recomendable poner la contraseña en la URL para que este archivo se guarde en .git / config. No es seguro, es mejor usar la clave ssh

¿Por qué? Comprender la contraseña será visible si escribo git remote -v , que aparecerá en mi historial de bash, y que cualquier persona con acceso a mi máquina podría obtener la contraseña fácilmente, ¿por qué es "mejor" usar SSH? ¿llaves? Las claves SSH no son más seguras, suponiendo que alguien tenga acceso a mi máquina: las claves SSH todavía se almacenan en el disco localmente.

    
pregunta Ricky Stewart 16.07.2016 - 01:32

1 respuesta

14

No es seguro porque expone su contraseña de varias maneras diferentes.

  1. Cualquier usuario puede verlo en la salida de programas como top y ps aux -www . No necesitan ser root para ver sus procesos.
  2. Se registra en tu historial de shell, por lo que si haces algo absurdo como chmod 777 ~ , cualquiera y todos pueden cat ~user/.history y ver la contraseña.

Si ocurre el caso 2, la tontería les dará acceso a su clave privada SSH. Si su clave privada no requiere una contraseña, entonces está comprometida. Si requiere una contraseña, no está comprometida (aunque pueden intentar descifrarla).

Supongamos que el usuario aquí no es tonto, tiene una buena comprensión de los archivos Unix y los permisos de archivos Unix, y nunca ejecutaría chmod 777 ~ porque el usuario no es un noob.

Cualquiera en el sistema puede ver la salida de PS de su comando. Digamos que usted compra alojamiento web de alguna empresa de alojamiento web pequeña e insegura. Le brindan un directorio de inicio chrooteado en un servidor compartido y le permiten acceder al servidor a través de SSH además de SFTP y FTP. Proporcionar una contraseña en la URL es una vulnerabilidad de seguridad viable. Las claves SSH lo evitarían totalmente porque a pesar de que el usuario tiene acceso a la máquina, no tiene acceso a su clave privada.

    
respondido por el Charles Addis 16.07.2016 - 07:23

Lea otras preguntas en las etiquetas