È pericoloso includere la password googlecode in .git/config?

Question

Perché il trucco con il mio file .netrc non funziona (anche se ha filepermissions corrette), ho modificato il mio .git local/config di come in questo modo:

[remote "origin"] 
    fetch = +refs/heads/*:refs/remotes/origin/* 
    url = https://<username>:<password>@code.google.com/p/<project>/ 

ho subito clonato il repository per controllare se la password fosse ancora inclusa, e non lo fosse.

Ho anche uno specchio ospitato su github, se è importante.

Quindi è in qualche modo pericoloso?

Answer 1

Quindi è in qualche modo pericoloso?

I file nella directory .git sono strettamente parte del repository locale; non vengono spinti verso i tuoi repository remoti. Quindi sei al sicuro nel senso che non stai pubblicando la tua password sulla rete.

D'altra parte, qualsiasi sistema che richiede di memorizzare la password nel proprio filesystem locale significa che qualcuno con accesso al proprio file system può potenzialmente recuperare la propria password. Sfortunatamente, dal momento che Google non supporta l'accesso al repository su ssh, non c'è molto che tu possa fare al riguardo (beh, puoi decidere di utilizzare esclusivamente Github, che ti dà l'autenticazione della chiave pubblica/privata che è un sostanziale passo avanti nella sicurezza).

quanto riguarda l'uso del file .netrc, Google Git FAQ dice:

ho messo le mie credenziali in .netrc, quindi perché fa git ancora mi chiedono una password?

Il client C git richiede sempre una password se si dispone di un nome utente nell'URL. Controlla la riga di comando e il file .git/config e assicurati che gli URL code.google.com non contengano lo nome utente (la parte fino alla @).