3
據我所知,儘管電子郵件服務器使用TLS來加密郵件以在不同的目標和目的地之間傳輸,但郵件服務器上的內容決不是加密的。這就是爲什麼不推薦通過電子郵件發送密碼的原因。github或bitbucket上的私有存儲庫安全地存儲密碼?
表面上,爲了方便起見,在git倉庫中保存一些敏感信息非常有吸引力。但是,它似乎與郵件服務器的困境相同。
所以我想知道如果在私人git存儲庫中保存密碼同樣與郵件服務器一樣不安全。
在此先感謝!
A
回答
7
請不要這樣做。
在第三方服務上存儲密碼通常是個壞主意,尤其是那些不是爲安全數據存儲設計的。
Github上有關於他們的安全非常詳細的文章: https://help.github.com/articles/github-security/
,因爲他們指出,他們不加密磁盤上的存儲庫:
我們不會對磁盤進行加密存儲庫,因爲它不會更安全:網站和git後端需要根據需要解密存儲庫,從而減緩響應時間。任何具有shell訪問文件系統的用戶都可以訪問解密程序,從而抵消它提供的任何安全性。因此,我們專注於使我們的機器和網絡儘可能安全。
因此,GitHub員工至少可以訪問您的密碼。
私人回購協議基本上與非私人回購協議相同,它們只是未在網站上列出,不允許人們看到它們。
另外,如果您停止付款,您的私人回購不公開嗎?
你是否真的相信你會授予你存儲庫訪問權限的所有人不濫用密碼,而不是發佈它們?
你大概有的問題大致是「我有一塊需要使用數據庫密碼的軟件,它很煩人不得不繼續輸入它們,所以我想把它們放在我存儲在git中的配置文件中」。
解決此問題的一種方法是製作一個包含密碼的文件,passwords.json,並將其添加到您的.gitignore。然後你會承諾你的回購顯示passwords.json的格式,只是沒有任何真正的密碼(大概是README.md解釋如何使用這個)。
1
您可能想詳細說明一點......但是我仍然假設您可能託管了存儲密碼服務器端的網站或應用程序。如果是這樣,我個人會使用OpenShift這個,因爲它像GH一樣是免費的,但是爲此目的而構建和設計(站點託管,MySQL,PHP等)。
如果我的假設是錯誤的,取決於您是否將GH視爲存儲這些密碼的安全地點。製作私人回購確實是私密的,並且其他人無法訪問,但是它的存儲方式並不是爲了這個目的。我也非常確定回購甚至沒有加密。
以我個人的觀點來看,它的價值在於通過OpenShift託管和存儲。
+0
非常好的建議! –
相關問題
- 1. 分叉Github上的私有存儲庫
- 2. 安全密碼存儲
- 3. 安全地存儲Redis密碼
- 4. Phonegap/Cordova:安全地存儲密碼?
- 5. 安全地傳輸和存儲密碼
- 6. 安全地存儲密碼哈希django
- 7. github託管對於私人存儲庫有多安全?
- 8. 如何在Silverlight 4中安全地存儲密鑰或私鑰?
- 9. 在github,bitbucket等存儲庫網站上託管敏感數據有多安全?
- 10. Bitbucket存儲庫
- 11. 私鑰的安全存儲
- 12. CC.net和GitHub私有存儲庫
- 13. PyCharm requirements.txt安裝失敗,私人GitHub存儲庫和SSH密鑰
- 14. 安全地存儲私人圖像
- 15. 將本地存儲庫上傳到Bitbucket
- 16. 是否有可能從Github安全地刪除存儲庫
- 17. 安全地存儲外部數據庫的密碼
- 18. 安全的網站密碼存儲
- 19. 安全的密碼生成和存儲
- 20. 如何在Python中安全地存儲數據庫密碼?
- 21. 如何安全地在數據庫中存儲密碼?
- 22. 作曲家:在BitBucket上緩存私人GIT存儲庫
- 23. 如何安全地存儲沒有哈希的密碼?
- 24. github上的git存儲庫
- 25. 密鑰容器,足夠安全地存儲私鑰?
- 26. 如何安全地存儲密鑰?
- 27. 本地git存儲庫到bitbucket存儲庫
- 28. 如何在設備上安全地存儲密碼?
- 29. 安全地在服務器上存儲密碼
- 30. 存儲加密密碼和salt或僅存儲加密密碼?
你相信Github的密碼嗎?如果發生數據泄露,您會做什麼,特別是未公開的數據泄露?餿主意。 –
此問題屬於security.stackexchange.com。 –