<分区>
据我了解,尽管电子邮件服务器使用 TLS 来加密消息以在不同目标和目的地之间传输,但邮件服务器上的内容绝不是加密的。这就是为什么不建议通过电子邮件发送密码的原因。
从表面上看,为了方便起见,将一些敏感信息保存在 git 存储库中是很有吸引力的。然而,它似乎遇到了与邮件服务器困境相同的问题。
所以我想知道将密码保存在私有(private) git 存储库中是否与邮件服务器一样不安全。
提前致谢!
<分区>
据我了解,尽管电子邮件服务器使用 TLS 来加密消息以在不同目标和目的地之间传输,但邮件服务器上的内容绝不是加密的。这就是为什么不建议通过电子邮件发送密码的原因。
从表面上看,为了方便起见,将一些敏感信息保存在 git 存储库中是很有吸引力的。然而,它似乎遇到了与邮件服务器困境相同的问题。
所以我想知道将密码保存在私有(private) git 存储库中是否与邮件服务器一样不安全。
提前致谢!
最佳答案
请不要那样做。
在第三方服务上存储密码通常不是一个好主意,尤其是那些不是为安全数据存储而设计的。
Github 上有一篇关于其安全性的非常详细的文章: https://help.github.com/articles/github-security/
他们不加密磁盘上的存储库,因为正如他们指出的那样:
We do not encrypt repositories on disk because it would not be any more secure: the website and git back-end would need to decrypt the repositories on demand, slowing down response times. Any user with shell access to the file system would have access to the decryption routine, thus negating any security it provides. Therefore, we focus on making our machines and network as secure as possible.
因此,至少 GitHub 员工可以访问您的密码。
私有(private) repo 基本上与非私有(private) repo 相同,它们只是没有在网站上列出给不允许看到它们的人。
另外,如果您停止付款,您的私有(private)存储库是否会公开?
您真的相信您要授予您存储库访问权限的每个人都不会滥用密码,也不会发布密码吗?
您可能遇到的问题大致是“我有一个软件需要使用数据库密码,而且必须不断输入它们很烦人,所以我想将它们放在我存储在 git 中的配置文件中”。
解决此问题的一种方法是制作一个包含您的密码的文件 passwords.json,并将其添加到您的 .gitignore。然后你会向你的 repo 提交一个 passwords-example.json 显示 passwords.json 的格式,只是没有任何真实的密码(并且可能是一个 README.md 解释如何使用它)。
关于git - github 或 bitbucket 上的私有(private)存储库是否可以安全地存储密码?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39459451/