Git over Https，暴露了多少？

我们在工作中讨论了git、https和拦截

假设该公司决定开始通过HTTPS使用云端托管的git服务器（Bitbucket、Github等）

如果某个“黑客”在拉/推过程中开始监视所有网络数据包。能暴露多少

源上的项目url？ 分支机构名称？ 文件名？ 还有别的吗

我不确定在提交过程中发出了多少请求，或者是否在一个批量中完成

---

提前感谢。

Git over HTTPS应该不会比任何其他HTTPS连接具有更大的风险

HTTPS只是通过加密连接运行的HTTP。因此，任何人都可以看到（不破坏加密）您与域建立了HTTPS连接。甚至可以通过VPN或SOCKS代理来缓解这一问题

加密所有消息内容，包括HTTP头和请求/响应数据。除了下面限制部分中描述的可能的CCA加密攻击之外，攻击者应该只能发现双方及其域名和IP地址之间正在发生连接。

像URL、查询字符串、cookie等。。。都是加密的

---

当然，每天都有成千上万的公司通过HTTPS使用远程Git服务器。还有银行、拍卖、信息。。。几乎所有内容。

Git over HTTPS应该不会比任何其他HTTPS连接具有更大的风险

HTTPS只是通过加密连接运行的HTTP。因此，任何人都可以看到（不破坏加密）您与域建立了HTTPS连接。甚至可以通过VPN或SOCKS代理来缓解这一问题

加密所有消息内容，包括HTTP头和请求/响应数据。除了下面限制部分中描述的可能的CCA加密攻击之外，攻击者应该只能发现双方及其域名和IP地址之间正在发生连接。

像URL、查询字符串、cookie等。。。都是加密的

---

当然，每天都有成千上万的公司通过HTTPS使用远程Git服务器。还有银行、拍卖、信息。。。几乎所有内容。

由于是HTTPS，黑客应该无法看到任何单独的请求——只是一个数据包流（源和目标），因此对总容量有一些模糊的概念。当然，如果他们能够破坏HTTPS连接，那么他们就可以获得大量信息。由于是HTTPS，黑客应该看不到任何单独的请求——仅仅是一个数据包流（源和目标），因此对总容量有一些模糊的概念。当然，如果他们能够破坏HTTPS连接，那么他们就可以获得大量信息。引用有点不准确，因为这并不是全部泄漏——攻击者还可以看到各个方向传输的数据量。因此，对于https上的git，他们可以很容易地区分推送和拉送。感谢您提供的信息。克里斯，你能再解释一下攻击者如何区分拉和推吗？@ReddyStark他们可以猜测，如果你发送了大量数据，那就是推。如果你接收到大量数据，这是一个拉动。他们看不到实际发生了什么。这句话有点不准确，因为这并不是泄露的全部——攻击者还可以看到各个方向传输的数据量。因此，对于https上的git，他们可以很容易地区分推送和拉送。感谢您提供的信息。克里斯，你能再解释一下攻击者如何区分拉和推吗？@ReddyStark他们可以猜测，如果你发送了大量数据，那就是推。如果你接收到大量数据，这是一个拉动。他们看不到实际发生了什么。