web-dev-qa-db-fra.com

Magasin de mots de passe cryptés SVN

J'ai installé SVN sur une machine Ubuntu et je n'arrive pas à comprendre quoi que ce soit.

Chaque fois que j'achète quelque chose sur le terminal, le message d'erreur relatif à l'enregistrement d'un mot de passe non chiffré s'affiche:

-----------------------------------------------------------------------
ATTENTION!  Your password for authentication realm:

   <[...]> Subversion Repository

can only be stored to disk
unencrypted!  You are advised to
configure your system so that
Subversion can store passwords
encrypted, if possible.  See the
documentation for details.

You can avoid future appearances of
this warning by setting the value of
the 'store-plaintext-passwords' option
to either 'yes' or 'no' in
'/home/[...]/.Subversion/servers'.
-----------------------------------------------------------------------

Je l'ai un peu gogglée mais je n'ai rien trouvé d'utile. J'ai trouvé un sujet où il était dit que c'était un problème de client, pas de serveur, mais je ne suis toujours pas convaincu.

Il dit "configurez votre système"; qu'est-ce que cela veut dire exactement par là? Le serveur ou le client? Si je suis le serveur, puis-je faire quelque chose à ce sujet? en plus de cacher l'avertissement (comme il est dit) ...

Merci!

svnunixencryptionpasswords
109
treznik

C'est un problème de client. Il vous avertit que les informations d'identification utilisées pour les différents serveurs sont stockées en texte brut. Vous pouvez masquer cet avertissement ou utiliser un stockage crypté pour mettre en cache les mots de passe.

Voir: http://blogs.collab.net/Subversion/2009/07/Subversion-16-security-improvements/

44
frisco

En cryptant le mot de passe, vous ne pourrez pas obtenir de non-répudiation (d'autres utilisateurs pourraient utiliser votre hachage comme vous le feriez) en raison des autorisations accordées pour les fichiers du système d'exploitation. Cependant, la plupart des entreprises ont configuré Subversion en utilisant leur mot de passe de domaine ou une forme de mot de passe SSO. En cryptant le mot de passe, vous voudriez au moins empêcher quelqu'un d'accéder à d'autres comptes d'utilisateurs.

Je serais toujours préoccupé par la force de cryptage. Si le mot de passe Subversion est lié à d'autres comptes importants, il est possible que quelqu'un teste la force de chiffrement pour déchiffrer le mot de passe.

Le mieux est de configurer le client Subversion pour qu'il désactive les mots de passe stockés et oblige les développeurs dévots à s'authentifier à chaque fois.

6
Jason Lawrence

Je stocke les informations d'identification sur un disque crypté. (Bien que, même si encfs est monté, les informations d'identification sont toujours en clair sur mon compte)

$ ls -nl ~/.Subversion/
total 20K
-rw-r--r-- 1 1000 1000 4.2K 2009-07-10 13:00 README.txt
lrwxrwxrwx 1 1000 1000   31 2009-10-14 14:31 auth -> ~/crypt/Subversion/auth/
-rw-r--r-- 1 1000 1000 5.7K 2009-07-10 13:00 config
-rw-r--r-- 1 1000 1000 3.6K 2009-07-10 13:00 servers

Utiliser git-svn signifie que j'ai besoin des informations d'identification beaucoup moins souvent, il n'est donc pas trop lourd de ne pas les sauvegarder du tout.

2
bsb