benjamin weinlich
← Journal

#Forgejo

5 Beiträge zu diesem Thema, neueste zuerst.

Reicht es, ein versehentlich committetes Passwort wieder zu löschen?

Ein versehentlich committetes Passwort wieder zu löschen reicht nicht, denn die Versionsverwaltung behält jede frühere Fassung. Beim Aufräumen meiner Infrastruktur-Dokumentation fand ich in einem Forgejo-Repo mehrere Klartext-Passwörter in alten Skripten. Ich ersetze sie jetzt durch Platzhalter, die nur auf den Passwortspeicher verweisen, aber die alten Werte stehen längst in der Historie und gelten damit als verbrannt, also setze ich sie neu. Was einmal eingecheckt ist, lässt sich verstecken, aber nicht zurücknehmen.

Reicht es, ein öffentliches Repository auf privat zu stellen?

Ein öffentliches Repository auf privat zu stellen reicht nicht, man muss prüfen, ob Suchmaschinen es schon gespeichert haben, solange es offen war. Nachdem ich alle Forgejo-Repos privat gestellt hatte, habe ich es mit vier unabhängigen Prüfungen kontrolliert: Exakt-Suchen nach den einmaligen Repo-Namen, die anonyme Übersichtsseite und der direkte Aufruf, der jetzt mit 404 antwortet. Alle vier waren negativ. Privat schalten ist der erste Schritt, nachsehen, was schon nach draußen gelangt ist, der zweite.