Le jeudi 27 mars 2014, 11:03:13 Sébastien NOBILI a écrit : > Bonjour, ’jour,
> Le dimanche 23 mars 2014 à 10:57, Sylvain L. Sauvage a écrit : > > (Le mdp peut aussi être mis dans l’URL dans le .git/config : > > https://toto:mdp@gitub…. Mais je ne suis pas sûr que cela > > soit une bonne idée qu’il se balade en clair…) > > Je m'étais interrogé il y a quelques temps sur l'impact > sécurité de l'utilisation du login/mdp dans l'URL en HTTPS > (passer un login/mdp sur du HTTP sans SSL est un non-sens). Je parlais du fait que le mot de passe se trouve alors en clair dans le fichier .git/config. > Au niveau réseau, aucun souci, la négociation SSL se fait en > premier avec l'hôte, puis le login/mdp est envoyé (dans le > canal chiffré, on ne peut pas le voir en sniffant le réseau). Une URL est juste un moyen de mettre plusieurs infos de façon compacte et standardisée (protocole, serveur, port, requête hiérarchisée, etc.). Ensuite, elle est analysée (au moins partiellement) par le programme qui se sert des infos pour ouvrir la connexion et envoyer la requête. Pour URL correspondant à des connexions réseau, seuls le nom (ou l’IP) du serveur et le port sont utiles pour créer la connexion (niveau transport). Le reste n’est utilisé qu’après pour établir une session et envoyer la requête. Donc c’est déjà chiffré quand ces infos passent. Après, on peut imaginer un programme pas très malin qui fasse un mauvais découpage et envoie une requête DNS sur toto:m...@example.com ;o) > Par contre, selon la méthode, ça peut laisser des traces dans > le .history du shell. > > Pour en revenir au cas précis de Git, il gère très bien les > enregistrements du fichier « .netrc ». Ce qui a des avantages et des inconvénients : − tes mots de passe sont en clair dans un fichier, youpi ; − ils tous au même endroit (à un 'find . -name .git/config' plus près, donc) ; + il est plus facile de faire attention à un seul fichier qu’à plusieurs. -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: https://lists.debian.org/2298955.RJuafulkpz@earendil
