将 googlecode 密码包含在 .git/config 中是否危险？

Question

因为我的 .netrc 文件的技巧不起作用（即使它具有正确的文件权限），所以我将本地 .git/config 修改为如下所示：

[remote "origin"]
    fetch = +refs/heads/*:refs/remotes/origin/*
    url = https://<username>:<password>@code.google.com/p/<project>/

我立即克隆了存储库以检查是否仍包含密码，并且事实并非如此。

如果重要的话，我还在 github 上托管了一个镜像。

那么它有什么危险吗？

Answer 1

那么这有什么危险吗？

.git 目录中的文件严格属于本地存储库的一部分；它们不会被推送到您的远程存储库。因此，您不会在网络上发布密码，因此您是安全的。

另一方面，任何要求您将密码缓存在本地文件系统上的系统都意味着有权访问您的文件系统的人有可能恢复您的密码。不幸的是，由于 Google 不支持通过 ssh 访问存储库，因此您对此无能为力（好吧，您可以决定专门使用 Github，这可以让您进行公钥/私钥身份验证，这在安全性方面是一个重大进步）。

关于 .netrc 文件的使用，Google Git FAQ 说：

我将凭据放入 .netrc 中，为什么 git 仍然要求我输入密码？

如果 URL 中有用户名，C git 客户端总是要求输入密码。检查你的
命令行和 .git/config 文件，并确保您的 code.google.com 网址不
包括您的用户名（@ 之前的部分）。