如果需要具有更高权限的PW来查看密码,是否可以使用未经模糊处理的密码?

时间:2012-04-06 15:48:47

标签: security svn hudson

我正在尝试在自动构建过程中自动将一些文件提交到SVN。 Hudson没有一个简单的工具(可行)。我发现Plugin to commit hudson build artifact显示了使用简单命令的第二个例子。现在的困难在于混淆所提供的凭证。

我真的不喜欢将我的批量构建到exe中的想法 - 它似乎有点过于庞大而无法改变。我正在绞尽脑汁寻找其他想法和同事,我想出了这个:

  • 在SVN中创建没有权限的新用户。我把这个用户叫做'hudson'
  • 只给哈德森读取/提交相关项目的能力。它无法删除。
  • 使用未经模糊处理的用户名/密码。 :X

现在,访问我们的Hudson构建服务器需要身份验证。因此,在能够访问未经模糊处理的密码之前,至少存在一级隐含身份验证。如果恶意用户能够看到此未经模糊处理的密码,则隐含的是他们拥有的权限比使用未经模糊处理的密码授予他们的权限更多。那有意义吗?这听起来不错?我觉得这样做很脏,但我想不出更简单的方法。

1 个答案:

答案 0 :(得分:1)

从广义上讲,这不是问题。但是,您可以采取一些措施来改进它。

  • 有问题的密码应该是长而随机的。它只用于程序;为什么它应该易于阅读?
  • 我通常会对这样的密码应用小的混淆,特别是如果由于某种原因它们不长并且随机(例如它们也被人类使用)。原因是为了防止有人突然知道密码。当您要在脚本中输入密码时,轻度筛查非常有用。
相关问题
最新问题