据我了解,尽管电子邮件服务器使用TLS加密要在不同目标和目标之间传输的邮件,但邮件服务器上的内容绝不是加密的。这就是不建议通过电子邮件发送密码的原因。
从表面上看,为了方便起见,将一些敏感信息保存在git存储库中很有吸引力。但是,它似乎遇到了与邮件服务器困境相同的问题。
所以我想知道在私人git存储库中保存密码是否与邮件服务器一样不安全。
提前致谢!
答案 0 :(得分:9)
请不要那样做。
在第三方服务上存储密码通常是一个坏主意,尤其是那些不是为安全数据存储而设计的密码。
Github有一篇关于他们安全性的非常详细的文章: https://help.github.com/articles/github-security/
他们不会加密磁盘上的存储库,因为他们指出:
我们不对磁盘上的存储库进行加密,因为它不会更安全:网站和git后端需要按需解密存储库,从而减慢响应时间。任何具有shell访问权限的用户都可以访问解密例程,从而否定它提供的任何安全性。因此,我们专注于使我们的机器和网络尽可能安全。
因此,至少,GitHub员工可以访问您的密码。
私人回购基本上与非私人回购相同,只是在网站上没有列出不允许看到它们的人。
另外,如果您停止付款,请不要将您的私人回购公开?
您是否真的相信每个您要访问您的存储库的人都不会滥用密码而不会发布密码?
你可能会遇到的问题大致是“我有一块需要使用数据库密码的软件,因为我不得不继续输入它们,所以我想将它们放在我存储在git中的配置文件中”。
解决此问题的一种方法是制作包含密码passwords.json的文件,然后将其添加到.gitignore。然后,您将使用passwords-example.json提交显示passwords.json格式的回复,而不需要任何真实密码(可能是README.md解释如何使用此密码)。
答案 1 :(得分:1)
你可能想要详细说明......但是我会假设你可能正在托管存储密码服务器端的网站或应用程序。如果是这样,我个人会使用OpenShift,因为它像GH一样免费,但是为此目的而构建和设计(网站托管,MySQL,PHP等等)。
如果我的假设是错误的,那么您是否可以将GH视为存储这些密码的安全位置。将repo私有化确实使其成为私有的,并且其他人无法访问,但它以不适合的方式托管。我也非常肯定,回购甚至都没有加密。
在我个人看来,对于那些值得的东西,将通过OpenShift来托管和存储它。