Mot de passe de prod ?

[kosssi]

Je me demandais au niveau sécurité si c'était une bonne pratique de mettre les mots de passe (surtout de la prod) dans le README.

[CyrilleHugues]

Ce n'est pas une bonne pratique, clairement, mais c'est le plus simple pour un intervenant APP. Ce README doit donner tous les éléments pour une intervention rapide sur site. Ne pas le mettre ici implique que l'intervenant devra chercher quelqu'un disponible et capable de le renseigner.

Une solution pour améliorer la sécurité pourrait être le chiffrement réversible du mot de passe (aes ?).

[KennyDurand]

@kosssi D'accord avec toi, on sacrifie pas mal de sécurité pour que ce soit plus pratique pour nous.

L'idéal serait de tout avoir sur la machine support, même si ça pose d'autres problèmes de sécurité en cas de vol matériel de la machine. Tu as d'autres idées pour garantir sécurité et aspect pratique ?

[MickaelBergem]

Pour moi : le README est accessible à tous ceux qui ont un accès en lecture (ou ont cloné à un moment ou un autre) le dépôt -> ça correspond à qui ?

• sur les dépôts privés, le client gère qui a accès à quoi, quand -> à lui de gérer, de supprimer les accès des stagiaires quand ils partent, etc...
• sur le Github Theodo, il me semble que tout le monde a accès en lecture à tous les dépôts -> pas top
• qqun qui a accès à une instance du projet (par exemple staging, qui avait été délaissée, pas mise à jour, trouée) -> PAS COOL car d'un accès en lecture à un système de fichier d'une machine inutilisée on obtient l'accès au projet en prod (du moins ce qui est exposé).

Pour le chiffrement symétrique, ça a l'avantage de nécessiter deux accès (lecture sur GIT, clé de chiffrement) pour avoir le mot de passe, mais il y a un seul point de rupture (la clé) qui permet d'accéder à tout partout dès qu'on a la clé (ou qu'on l'a eue un jour) et l'accès en lecture.

Le compromis entre simplicité d'utilisation et sécurité effective est souvent difficile à trouver. Bref, j'ai pas de solution simple :D

À la NoSuchCon j'avais papoté de cette problématique, et on m'a pas mal conseillé d'utiliser un LDAP pour gérer les accès, mais c'était plus au niveau des accès SSH.

Theodo

48, boulevard des Batignolles 75017 PARIS Mickaël Bergem

Web Developer mickaelb@theodo.fr Tél : +33 6 31 09 39 72

Le 26 novembre 2014 12:24, Kenny Durand notifications@github.com a écrit :

@kosssi https://github.com/kosssi D'accord avec toi, on sacrifie pas mal de sécurité pour que ce soit plus pratique pour nous.

L'idéal serait de tout avoir sur la machine support, même si ça pose d'autres problèmes de sécurité en cas de vol matériel de la machine. Tu as d'autres idées pour garantir sécurité et aspect pratique ?

— Reply to this email directly or view it on GitHub https://github.com/theodo/readme-template/issues/1#issuecomment-64563027 .

[kosssi]

au niveau de mes projets perso j'ai commencé à chiffrer tous les mots de passe avec PGP. Avec l'utilisation de keybase.io c'est super pratique je trouve.

Pour theodo, la question qui se pose c'est ou on garde nos clés privées ?

[KennyDurand]

@kosssi Je l'ai retiré du README. A la réflexion, c'est mieux de demander au client les accès prof, c'est (à mon avis) assez rapide et ça augmente considérablement la sécurité.