Comprendre la sécurité du gestionnaire d'identification GIT dans l'affichage de jetons

Découvrez comment «Git Credential Manager» garantit la sécurité malgré l'affichage de vos informations d'identification et découvrez son architecture et les meilleures pratiques. --- Cette vidéo est basée sur la question https://stackoverflow.com/q/66790341/ demandée par l'utilisateur 'asif kamran malick' (https://stackoverflow.com/u/2915738/) et sur la réponse https://stackoverflow.com/a/66790620/ par l'utilisateur "bk2204/a/66790620/ par l'utilisateur" BK2204/A/66790620/ par l'utilisateur "BK2204/A/66790620/di https://stackoverflow.com/u/8705432/) sur le site "Stack Overflow '. Merci à ces grands utilisateurs et à la communauté StacKExchange pour leurs contributions. Visitez ces liens pour le contenu original et tout plus de détails, tels que des solutions alternatives, les dernières mises à jour / développements sur le sujet, les commentaires, l'historique de révision, etc. Par exemple, le titre original de la question était: comment Git Credential Manager est-il sécurisé s'il affiche également le jeton, le contenu (sauf la musique) sous licence CC BY-SA HTTPS://Meta.stackexchange.com/help/Licening BY-SA 4.0 '(https://creativecommons.org/licenses/by-sa/4.0/), et le poste de réponse original est concédé sous licence' CC BY-SA 4.0 '(https://creativecommons.org/licenses/by-sa/4.0/). Si quelque chose vous semble, n'hésitez pas à m'écrire chez vlogize [at] gmail [dot] com. --- Comprendre la sécurité de Git Credential Manager dans Token Display Si vous avez récemment commencé à utiliser GIT et son gestionnaire d'identification, vous pourriez vous retrouver perplexe par une échappatoire apparemment en sécurité. Vous avez peut-être rencontré un scénario où l'exécution de l'identification GIT vous a permis de révéler vos informations d'identification ou jeton stockés. Cela soulève une question importante: comment Git Credential Manager est-il sécurisé s'il peut afficher votre jeton? Plongeons-nous dans cette préoccupation et découvrons comment Git gère les références en toute sécurité, même lorsqu'elles sont visibles dans la console. Le problème: révélant des informations d'identification avec Git lorsque vous utilisez le remplissage des informations d'identification de la commande, il est naturel de se préoccuper des implications de l'affichage de vos informations d'identification en texte brut. Cela pourrait conduire à un accès non autorisé si quelqu'un d'autre devait accéder à votre console. Sans oublier, il est essentiel que les utilisateurs comprennent à quel point le stockage des informations d'identification sécurisé est vraiment dans GIT. Étapes pour reproduire le problème pour illustrer cela, examinons comment vous pourriez confirmer l'assistance d'identification utilisée, en particulier avec Manager-Core, et comment vous pouvez reproduire le problème: confirmez l'assistance d'identification: exécutez la configuration de la commande git - système - list. Si vous voyez des informations d'identification.Helper = manager-core, vous utilisez l'assistance correcte pour Windows Indentiel Manager. Vérifiez votre version GIT, il devrait être de 2,29 ou ultérieurement pour que Manager-core soit affiché. Remplissez les informations d'identification: exécutez les commandes suivantes dans votre console: [[voir la vidéo pour révéler cet extrait de texte ou de code]] Ceci publiera vos informations d'identification si elles ont été stockées par l'assistance. Contexte d'authentification: cette commande affichera les informations d'identification que vous avez utilisées pour l'authentification, par exemple, un jeton d'accès personnel GitHub. La solution: comprendre le mécanisme de sécurité maintenant, discutons de la raison pour laquelle cet affichage ne compromet pas la sécurité de vos informations d'identification. Voici les aspects clés à comprendre: 1. Configuration sécurisée de stockage cryptée: Lorsqu'il est configuré correctement, le GIT Credential Manager stocke vos informations d'identification dans un format crypté. Cela signifie que même si quelqu'un devait accéder au stockage des informations d'identification sous-jacente, il ne pourrait pas lire les informations d'identification sans les clés appropriées. Mécanisme de déverrouillage: les informations d'identification ne sont déverrouillées que lorsque vous vous connectez ou pendant une session active, garantissant que les utilisateurs non autorisés ne peuvent pas les récupérer une fois que vous êtes déconnecté. 2. Ce stockage offre un chiffrement solide et restreint l'accès aux séances connectées uniquement. Keychain Linux: Du côté Linux, quelque chose comme LibSecret peut être utilisé, où les informations d'identification stockées sont conservées dans le clés du système, également cryptées et accessibles uniquement après le déverrouillage du trousseau pendant la connexion. 3. API et contrôle d'accès Bien que vous puissiez extraire des informations d'identification via GIT Credential Fill, il s'agit simplement d'une interface avec l'API existante utilisée par le gestionnaire d'identification. La possibilité d'afficher des informations d'identification via cette commande ne les exposent pas plus loin que les autres moyens disponibles sur votre système d'exploitation (par exemple, Secret-Tool sur Linux). Conclusion: Les meilleures pratiques pour gérer les informations d'identification dans GIT Comprendre comment Git Credential Manager garantit vos informations d'identification peut vous aider à utiliser Git sans crainte d'exposition. Voici quelques meilleures pratiques: gardez votre système à jour: utilisez toujours la dernière version de Git pour la meilleure sécurité et fonctionnalités. Utilisez des jetons forts et uniques: mettez régulièrement à jour et utilisez régulièrement des jetons uniques pour différentes applications ou services. Restez conscient: soyez prudent quant à qui a accès à votre environnement de développement et assurez-vous que votre console I