Git over Https, сколько выставлено?

Question

У нас на работе обсуждалась работа с git, https и перехватом.

Предположим, что компания решает начать использовать git-сервер, размещенный в облаке (Bitbucket, Github и т. Д.) Через HTTPS.

Если какой-то «хакер» начинает отслеживать все сетевые пакеты во время пул-пуша. Сколько можно выставить?

URL проекта по происхождению? Названия филиалов? Имена файлов? Что-нибудь еще?

Я не уверен, сколько запросов было сделано во время коммита, или все они объединены в один пакет.

Заранее спасибо.

Answer 1

Git over HTTPS не должен подвергаться большему риску, чем любое другое соединение HTTPS.

HTTPS - это просто HTTP, запускаемый через зашифрованное соединение. Таким образом, все, что каждый может увидеть (не нарушая шифрование), - это то, что вы установили HTTPS-соединение с доменом. Даже это можно исправить с помощью прокси VPN или SOCKS.

HTTPS шифрует все содержимое сообщения, включая заголовки HTTP и данные запроса / ответа. За исключением возможной криптографической атаки CCA, описанной в разделе ограничений ниже, злоумышленник должен быть в состоянии обнаружить только то, что происходит соединение между двумя сторонами и их доменными именами и IP-адресами.

Такие вещи, как URL, строка запроса, файлы cookie и т. Д., Зашифрованы.

И, конечно, тысячи и тысячи компаний используют удаленные серверы Git каждый день по протоколу HTTPS. Также банки, аукционы, обмен сообщениями ... почти все.