据我了解,尽管电子邮件服务器使用 TLS 加密在不同目标和目的地之间传输的消息,但邮件服务器上的内容绝不是加密的。这就是不建议通过电子邮件发送密码的原因。
从表面上看,为了方便起见,将一些敏感信息保存在 git 存储库中很有吸引力。但是,它似乎遇到了与邮件服务器困境相同的问题。
所以我想知道在私有 git 存储库中保存密码是否与邮件服务器一样不安全。
提前致谢!
【问题讨论】:
标签: git email security github passwords
请不要那样做。
在第三方服务上存储密码通常是个坏主意,尤其是那些不是为安全数据存储而设计的。
Github 上有一篇关于其安全性的非常详细的文章: https://help.github.com/articles/github-security/
他们不加密磁盘上的存储库,因为正如他们指出的那样:
我们不加密磁盘上的存储库,因为它不会更安全:网站和 git 后端需要按需解密存储库,从而减慢响应时间。任何对文件系统具有 shell 访问权限的用户都可以访问解密例程,从而否定它提供的任何安全性。因此,我们专注于使我们的机器和网络尽可能安全。
因此,至少 GitHub 员工可以访问您的密码。
私人回购与非私人回购基本相同,只是没有在网站上列出,供不允许查看的人使用。
另外,如果您停止付款,您的私人回购不会公开吗?
您真的相信您将授予您存储库访问权限的每个人都不会滥用密码,也不会发布密码吗?
您可能遇到的问题大致是“我有一个需要使用数据库密码的软件,并且必须不断输入它们很烦人,所以我想将它们放在我存储在 git 中的配置文件中”。
解决此问题的一种方法是创建一个包含您的密码的文件passwords.json,并将其添加到您的.gitignore。然后,您将向您的 repo 提交一个 passwords-example.json 显示 passwords.json 的格式,只是没有任何真正的密码(并且可能是 README.md 解释如何使用它)。
【讨论】:
您可能需要详细说明...但我仍将假设您可能正在托管一个存储密码服务器端的网站或应用程序。如果是这样,我个人会为此使用OpenShift,因为它和 GH 一样是免费的,但它是为此目的而构建和设计的(站点托管、MySQL、PHP 等......)。
如果我的假设是错误的,您可以自行决定是否将 GH 视为存储这些密码的安全场所。将 repo 设为私有确实会使其私有化,并且其他人无法访问,但它的托管方式并非如此。我也非常确定这些存储库甚至没有加密。
在我个人看来,值得通过 OpenShift 托管和存储它。
【讨论】: