¿Es peligroso incluir su contraseña de googlecode en .git/config?

Question

Debido a que el truco con mi archivo .netrc no funciona (aunque tiene filepermissions correctos), he modificado mi .git locales/config para recibir de este modo:

[remote "origin"] 
    fetch = +refs/heads/*:refs/remotes/origin/* 
    url = https://<username>:<password>@code.google.com/p/<project>/ 

inmediatamente cloné el repositorio para comprobar si la contraseña todavía estaría incluida, y no lo está.

También tengo un espejo alojado en github, si es que importa.

¿Es de alguna manera peligroso?

Answer 1

¿Es de alguna manera peligroso?

Los archivos en su directorio .git son estrictamente parte de su repositorio local; ellos no son empujados a sus repositorios remotos. Así que estás a salvo en el sentido de que no estás publicando tu contraseña en la red.

Por otro lado, cualquier sistema que requiera que guarde en caché su contraseña en su sistema de archivos local significa que alguien con acceso a su sistema de archivos puede recuperar su contraseña. Desafortunadamente, dado que Google no admite el acceso al repositorio a través de ssh, no hay mucho que pueda hacer al respecto (bueno, puede decidir usar Github exclusivamente, lo que le proporciona autenticación de clave pública/privada, lo que supone un gran paso adelante en seguridad).

En cuanto al uso del archivo .netrc, el Google Git FAQ dice:

puse mis credenciales en .netrc, así que ¿por qué git todavía me piden una contraseña?

El cliente de C git siempre solicita una contraseña si tiene un nombre de usuario en la URL. Compruebe la línea de comandos y el archivo .git/config y asegúrese de que las URL de code.google.com no incluyan su nombre de usuario (la parte hasta la @).