3
据我所知,尽管电子邮件服务器使用TLS来加密邮件以在不同的目标和目的地之间传输,但邮件服务器上的内容决不是加密的。这就是为什么不推荐通过电子邮件发送密码的原因。github或bitbucket上的私有存储库安全地存储密码?
表面上,为了方便起见,在git仓库中保存一些敏感信息非常有吸引力。但是,它似乎与邮件服务器的困境相同。
所以我想知道如果在私人git存储库中保存密码同样与邮件服务器一样不安全。
在此先感谢!
A
回答
7
请不要这样做。
在第三方服务上存储密码通常是个坏主意,尤其是那些不是为安全数据存储设计的。
Github上有关于他们的安全非常详细的文章: https://help.github.com/articles/github-security/
,因为他们指出,他们不加密磁盘上的存储库:
我们不会对磁盘进行加密存储库,因为它不会更安全:网站和git后端需要根据需要解密存储库,从而减缓响应时间。任何具有shell访问文件系统的用户都可以访问解密程序,从而抵消它提供的任何安全性。因此,我们专注于使我们的机器和网络尽可能安全。
因此,GitHub员工至少可以访问您的密码。
私人回购协议基本上与非私人回购协议相同,它们只是未在网站上列出,不允许人们看到它们。
另外,如果您停止付款,您的私人回购不公开吗?
你是否真的相信你会授予你存储库访问权限的所有人不滥用密码,而不是发布它们?
你大概有的问题大致是“我有一块需要使用数据库密码的软件,它很烦人不得不继续输入它们,所以我想把它们放在我存储在git中的配置文件中”。
解决此问题的一种方法是制作一个包含密码的文件,passwords.json,并将其添加到您的.gitignore。然后你会承诺你的回购显示passwords.json的格式,只是没有任何真正的密码(大概是README.md解释如何使用这个)。
1
您可能想详细说明一点......但是我仍然假设您可能托管了存储密码服务器端的网站或应用程序。如果是这样,我个人会使用OpenShift这个,因为它像GH一样是免费的,但是为此目的而构建和设计(站点托管,MySQL,PHP等)。
如果我的假设是错误的,取决于您是否将GH视为存储这些密码的安全地点。制作私人回购确实是私密的,并且其他人无法访问,但是它的存储方式并不是为了这个目的。我也非常确定回购甚至没有加密。
以我个人的观点来看,它的价值在于通过OpenShift托管和存储。
+0
非常好的建议! –
相关问题
- 1. 分叉Github上的私有存储库
- 2. 安全密码存储
- 3. 安全地存储Redis密码
- 4. Phonegap/Cordova:安全地存储密码?
- 5. 安全地传输和存储密码
- 6. 安全地存储密码哈希django
- 7. github托管对于私人存储库有多安全?
- 8. 如何在Silverlight 4中安全地存储密钥或私钥?
- 9. 在github,bitbucket等存储库网站上托管敏感数据有多安全?
- 10. Bitbucket存储库
- 11. 私钥的安全存储
- 12. CC.net和GitHub私有存储库
- 13. PyCharm requirements.txt安装失败,私人GitHub存储库和SSH密钥
- 14. 安全地存储私人图像
- 15. 将本地存储库上传到Bitbucket
- 16. 是否有可能从Github安全地删除存储库
- 17. 安全地存储外部数据库的密码
- 18. 安全的网站密码存储
- 19. 安全的密码生成和存储
- 20. 如何在Python中安全地存储数据库密码?
- 21. 如何安全地在数据库中存储密码?
- 22. 作曲家:在BitBucket上缓存私人GIT存储库
- 23. 如何安全地存储没有哈希的密码?
- 24. github上的git存储库
- 25. 密钥容器,足够安全地存储私钥?
- 26. 如何安全地存储密钥?
- 27. 本地git存储库到bitbucket存储库
- 28. 如何在设备上安全地存储密码?
- 29. 安全地在服务器上存储密码
- 30. 存储加密密码和salt或仅存储加密密码?
你相信Github的密码吗?如果发生数据泄露,您会做什么,特别是未公开的数据泄露?馊主意。 –
此问题属于security.stackexchange.com。 –