我保持我$HOME的版本控制 - 既保持更改历史记录,又促进我使用的机器之间的配置同步。
这包括~/.hgrc(以及~/.bashrc等)。
我刚刚被告知这是一个远程安全漏洞。
为什么?我是唯一有权访问此存储库的人,因此这似乎不适用。
编辑: repo 托管在我的家庭 linux 盒子上。我是那里的管理员。它在我也管理的其他几个盒子(linux 和其他)中使用。
问问题
308 次
2 回答
1
我不能代表mpm,但猜测是:
唯一有权访问此存储库的人
部分。确信您是唯一可以访问本地计算机的人比确信您是唯一可以访问远程存储库的人要容易得多。当然,如果该存储库托管在诸如 bitbucket 或 VPS 之类的系统或诸如 linode 或 AWS 之类的云系统上,那么这不是真的。
你所做的并不疯狂,很多人都这样做,但 mpm 只是不希望下一个 Ross Ulbricht 的故事包括“联邦特工在他的 Mercurial 启动脚本中插入电话回家命令时得知了他的身份” :)
于 2013-10-15T13:09:22.113 回答
1
在一般情况下,这是一个安全漏洞,因为克隆更新 hgrc 的(可能不受信任的)存储库可能导致任意远程代码执行。
从 hgrc 手册:
可以创建与现有命令同名的别名... shell 别名与 shell 一起执行,并允许您运行任意命令
这可能不适用于您绝对信任存储库的特定场景。
于 2013-10-15T19:48:24.027 回答