Re: Probléme GitHub
Le jeudi 27 mars 2014, 11:03:13 Sébastien NOBILI a écrit :
> Bonjour,
’jour,
> Le dimanche 23 mars 2014 à 10:57, Sylvain L. Sauvage a écrit :
> > (Le mdp peut aussi être mis dans l’URL dans le .git/config :
> > https://toto:mdp@gitub…;. Mais je ne suis pas sûr que cela
> > soit une bonne idée qu’il se balade en clair…)
>
> Je m'étais interrogé il y a quelques temps sur l'impact
> sécurité de l'utilisation du login/mdp dans l'URL en HTTPS
> (passer un login/mdp sur du HTTP sans SSL est un non-sens).
Je parlais du fait que le mot de passe se trouve alors en
clair dans le fichier .git/config.
> Au niveau réseau, aucun souci, la négociation SSL se fait en
> premier avec l'hôte, puis le login/mdp est envoyé (dans le
> canal chiffré, on ne peut pas le voir en sniffant le réseau).
Une URL est juste un moyen de mettre plusieurs infos de façon
compacte et standardisée (protocole, serveur, port, requête
hiérarchisée, etc.). Ensuite, elle est analysée (au moins
partiellement) par le programme qui se sert des infos pour
ouvrir la connexion et envoyer la requête.
Pour URL correspondant à des connexions réseau, seuls le nom
(ou l’IP) du serveur et le port sont utiles pour créer la
connexion (niveau transport). Le reste n’est utilisé qu’après
pour établir une session et envoyer la requête. Donc c’est déjà
chiffré quand ces infos passent.
Après, on peut imaginer un programme pas très malin qui fasse
un mauvais découpage et envoie une requête DNS sur
toto:mdp@example.com ;o)
> Par contre, selon la méthode, ça peut laisser des traces dans
> le .history du shell.
>
> Pour en revenir au cas précis de Git, il gère très bien les
> enregistrements du fichier « .netrc ».
Ce qui a des avantages et des inconvénients :
− tes mots de passe sont en clair dans un fichier, youpi ;
− ils tous au même endroit (à un 'find . -name .git/config' plus
près, donc) ;
+ il est plus facile de faire attention à un seul fichier qu’à
plusieurs.
--
Sylvain Sauvage
Reply to: