S. *_*els 0 security hosting git
我在 Reddit 上发现一条评论,建议免费 Git 主机 ProjectLocker 以纯文本形式存储他们的密码。
我不知道
这是否意味着某人很容易进入我的私人代码存储库之一?
小智 8
我在 ProjectLocker 工作,我想为这个线程增加一些清晰度。首先,回答OP的问题:
a) 这个传言不是真的。ProjectLocker 不以明文形式存储密码。
b) 您无法在无法访问其后端系统的情况下为 ProjectLocker 或任何其他网站验证这一点。
c) 我会相当担心。然而,我会非常惊讶地发现任何主要的 Subversion 托管或 Git 托管站点都存储明文密码。这只是一个坏主意。
顺便提一下,ProjectLocker 上的所有 Git 访问都使用公钥身份验证并且没有密码。
正如其他人指出的那样,ProjectLocker 确实允许用户找回丢失的密码。我们通过存储用双向函数加密的密码来做到这一点。(如果您曾经在电子商务网站上选中“保存此卡以备后用”框,您的信用卡就会以这种方式存储。定期计费的订阅网站(例如 Netflix)也是如此。)一般来说,我们将密码视为敏感的数据,如信用卡或客户工件(代码等)。关于网站是否应以可检索格式存储密码存在公平的哲学辩论,但我们用户的反馈表明他们更喜欢可检索密码。
至于 Reddit 上的帖子,我可以说该发帖人从未在 ProjectLocker 工作过,也不了解我们的身份验证系统。发帖人很可能不熟悉双向函数,并且错误地将“可逆”与“明文”混淆了。
最后,如果您正在考虑将您的代码托管给第三方,并且您不相信他们对此类问题的回答,那么您绝对不应该将您的代码存储在那里。如果您不信任您的主机,则根本不应使用它们,无论它们如何存储您的密码。