CVS und Sicherheit

[Hauke Joachim Zuehl]

Hi *

Ich gruebele seit gestern Abend ueber etwas nach und finde nicht so
recht eine elegante Loesung.

Fuer ein Projekt sind einige Externe angeheuert worden.
Damit die Projektverwaltung einfacher laeuft, haben wir uns zunaechst
ueberlegt, CVS zu nehmen. Das Problem ist, dass uns nicht das gleiche
mit dem Code passieren darf, wie letztens mit HalfLife 2, der ja geklaut
wurde (zwar per Schnueffeleien, was wohl Dank eines gewissen OS und
Dummheit / Naivitaet diverser User relativ einfach war).

Wenn man nun CVS einsetzt (via pserver), laeuft die Kommunikation
unverschluesselt ab.
Intern kein Problem, aber ueber INet doch etwas heikel.

Die Loesung scheint CVS per ssh zu sein, ich habe aber festgestellt,
dass das recht kompliziert fuer den Externen ist, denn jedesmal muss das
Passwort eingetippt werden.
Sicherheit also zu Gunsten von Benutzerfreundlichkeit?

Die Frage ist also, ob man das nicht irgendwie vereinfachen kann?

Andererseits muss ein Angreifer ja nicht nur Usernamen und Passwort
herausfinden, sondern auch die Projektbezeichnung und dazu muss er
irgendwo auf der Strecke seinen Horchposten haben.

Was meint ihr dazu?

Gruss,
Hauke
-- 
Aus Ben Hur (1959): Wer nicht fuer Rom ist, ist gegen Rom
George W. Bush (2002): Wer nicht fuer uns ist, ist gegen uns