Quali informazioni vengono inviate in chiaro quando git reindirizza da HTTP a HTTPS?

Naviga le tue risposte
3

Se un utente tenta i comandi git puntati su un indirizzo http://gitlab.example.com (e prima non si sono collegati a questo dominio), il gitlab.example.com server reindirizza (o riscrive) a https://gitlab.example.com (notare la s) e richiede un nome utente e password corretti.

Quali informazioni ha inviato l'utente in chiaro? L'utente ha compromesso il proprio nome utente, password o file di progetto e dati?

per es.

  • git remote add origin http://gitlab.example.com/namespace/projectname.git
  • git push https://gitlab.example.com/namespace/projectname.git
  • git clone http://gitlab.example.com/namespace/projectname.git
  • Quando si sono connessi almeno una volta a questo dominio:
    • git checkout -b feature1
    • git push master
posta jtd 20.02.2018 - 16:44
fonte

1 risposta

1

Dovrebbero andare bene, dato che git non invierà nome utente / password (anche se memorizzato in un file di credenziali preconfigurato), a meno che il server web non indichi che è richiesta l'autenticazione per procedere. Il reindirizzamento a https avviene prima che il server richieda le credenziali, quindi in nessun punto altro che il percorso del repository richiesto viene inviato in chiaro.

    
risposta data 21.02.2018 - 02:54
fonte

Leggi altre domande sui tag

Sfumature payload XSS C'è qualcosa che un utente normale può fare per aiutare a rimuovere siti Web fasulli?