Czy dołączenie hasła googlecode do pliku .git/config jest niebezpieczne?

Question

Ponieważ sztuczka z mojego pliku .netrc nie działa (choć ma poprawnych filepermissions), zmodyfikowałem mój lokalny .git/config lubić tak:

[remote "origin"] 
    fetch = +refs/heads/*:refs/remotes/origin/* 
    url = https://<username>:<password>@code.google.com/p/<project>/ 

razu sklonowany repo do sprawdzenia jeśli hasło będzie nadal dołączone, a nie jest.

Mam również lustro hostowane na github, jeśli to w ogóle ma znaczenie.

Czy jest to w jakikolwiek sposób niebezpieczne?

Answer 1

Czy jest to w jakikolwiek sposób niebezpieczne?

Pliki w katalogu .git są ściśle związane z lokalnym repozytorium; nie są przekazywane do zdalnych repozytoriów. Jesteś bezpieczny w tym sensie, że nie publikujesz hasła w sieci.

Z drugiej strony, każdy system, który wymaga buforowania hasła w lokalnym systemie plików, oznacza, że ​​osoba mająca dostęp do systemu plików może potencjalnie odzyskać hasło. Niestety, ponieważ Google nie obsługuje dostępu do repozytoriów przez ssh, niewiele można z tym zrobić (cóż, możesz zdecydować się na używanie Github wyłącznie, co zapewnia uwierzytelnianie klucza publicznego/prywatnego, co stanowi znaczny krok w bezpieczeństwie).

dotyczących wykorzystania pliku .netrc, Google Git FAQ mówi:

kładę moje poświadczenia w .netrc, więc dlaczego git ciągle pytają mnie o hasło?

Klient C git zawsze prosi o hasło, jeśli w adresie URL znajduje się nazwa użytkownika. Sprawdź swoją linię poleceń i plik .git/config i upewnij się, że adresy URL code.google.com nie zawierają Twojej nazwy użytkownika (część do @).