¿Qué información se envía en claro cuando git redirige de HTTP a HTTPS?

Navega tus respuestas
3

Si un usuario intenta comandos git apuntados a una dirección http://gitlab.example.com (y no se ha conectado a este dominio antes), el servidor gitlab.example.com redirige (o vuelve a escribir) a https://gitlab.example.com (note las s) y requiere un correcto nombre de usuario y contraseña.

¿Qué información ha enviado el usuario claramente? ¿Ha comprometido el usuario sus archivos y datos de nombre de usuario, contraseña o proyecto?

Por ejemplo,

  • git remote add origin http://gitlab.example.com/namespace/projectname.git
  • git push https://gitlab.example.com/namespace/projectname.git
  • git clone http://gitlab.example.com/namespace/projectname.git
  • Cuando se hayan conectado al menos una vez a este dominio:
    • git checkout -b feature1
    • git push master
pregunta jtd 20.02.2018 - 16:44
fuente

1 respuesta

1

Deben estar bien, ya que git no enviará un nombre de usuario / contraseña (incluso si se almacena en un archivo de credenciales preconfigurado), a menos que el servidor web indique que se requiere autenticación para continuar. La redirección a https ocurre antes de que el servidor solicite las credenciales, por lo que en ningún otro punto se enviará de forma transparente la ruta del repositorio solicitado.

    
respondido por el mricon 21.02.2018 - 02:54
fuente

Lea otras preguntas en las etiquetas

matices de carga útil XSS ¿La función para compartir el número de teléfono del bot de Telegram es una manera suficiente de autenticar a un usuario?