Git over Https,暴露了多少?
我们在工作中讨论了git、https和拦截 假设该公司决定开始通过HTTPS使用云端托管的git服务器(Bitbucket、Github等) 如果某个“黑客”在拉/推过程中开始监视所有网络数据包。能暴露多少 源上的项目url? 分支机构名称? 文件名? 还有别的吗 我不确定在提交过程中发出了多少请求,或者是否在一个批量中完成Git over Https,暴露了多少?,git,github,https,bitbucket,Git,Github,Https,Bitbucket,我们在工作中讨论了git、https和拦截 假设该公司决定开始通过HTTPS使用云端托管的git服务器(Bitbucket、Github等) 如果某个“黑客”在拉/推过程中开始监视所有网络数据包。能暴露多少 源上的项目url? 分支机构名称? 文件名? 还有别的吗 我不确定在提交过程中发出了多少请求,或者是否在一个批量中完成 提前感谢。Git over HTTPS应该不会比任何其他HTTPS连接具有更大的风险 HTTPS只是通过加密连接运行的HTTP。因此,任何人都可以看到(不破坏加密)您与域建
提前感谢。Git over HTTPS应该不会比任何其他HTTPS连接具有更大的风险 HTTPS只是通过加密连接运行的HTTP。因此,任何人都可以看到(不破坏加密)您与域建立了HTTPS连接。甚至可以通过VPN或SOCKS代理来缓解这一问题 加密所有消息内容,包括HTTP头和请求/响应数据。除了下面限制部分中描述的可能的CCA加密攻击之外,攻击者应该只能发现双方及其域名和IP地址之间正在发生连接。 像URL、查询字符串、cookie等。。。都是加密的
当然,每天都有成千上万的公司通过HTTPS使用远程Git服务器。还有银行、拍卖、信息。。。几乎所有内容。Git over HTTPS应该不会比任何其他HTTPS连接具有更大的风险 HTTPS只是通过加密连接运行的HTTP。因此,任何人都可以看到(不破坏加密)您与域建立了HTTPS连接。甚至可以通过VPN或SOCKS代理来缓解这一问题 加密所有消息内容,包括HTTP头和请求/响应数据。除了下面限制部分中描述的可能的CCA加密攻击之外,攻击者应该只能发现双方及其域名和IP地址之间正在发生连接。 像URL、查询字符串、cookie等。。。都是加密的
当然,每天都有成千上万的公司通过HTTPS使用远程Git服务器。还有银行、拍卖、信息。。。几乎所有内容。由于是HTTPS,黑客应该无法看到任何单独的请求——只是一个数据包流(源和目标),因此对总容量有一些模糊的概念。当然,如果他们能够破坏HTTPS连接,那么他们就可以获得大量信息。由于是HTTPS,黑客应该看不到任何单独的请求——仅仅是一个数据包流(源和目标),因此对总容量有一些模糊的概念。当然,如果他们能够破坏HTTPS连接,那么他们就可以获得大量信息。引用有点不准确,因为这并不是全部泄漏——攻击者还可以看到各个方向传输的数据量。因此,对于https上的git,他们可以很容易地区分推送和拉送。感谢您提供的信息。克里斯,你能再解释一下攻击者如何区分拉和推吗?@ReddyStark他们可以猜测,如果你发送了大量数据,那就是推。如果你接收到大量数据,这是一个拉动。他们看不到实际发生了什么。这句话有点不准确,因为这并不是泄露的全部——攻击者还可以看到各个方向传输的数据量。因此,对于https上的git,他们可以很容易地区分推送和拉送。感谢您提供的信息。克里斯,你能再解释一下攻击者如何区分拉和推吗?@ReddyStark他们可以猜测,如果你发送了大量数据,那就是推。如果你接收到大量数据,这是一个拉动。他们看不到实际发生了什么。