Comments 36
Идут года, технологи меняются, проблемы остаются :)
Это было в 2009: Были получены исходники 3300 глобальных интернет-проектов. Более того, эта статья возглавляет список "лучших за все время".
Если меня разбудят через 100 лет и спросят чем живут хакеры, я отвечу «сканируют директории и порты».
Кол-во тестируемых сайтов: 99991 (тот же лист сайтов, что и в первый раз)
Открытых Git-репозиториев: 599 (0,0060% от общего числа)
0,6%
В моём опыте этого не нужно было никогда делать, но, судя по посту, такое иногда делают (пусть даже закрыв git/svn). В каких случаях?
взяв выборку скажем в один миллион сайтов — это уже порядка 10 000 сайтов с подобной брешью
агануда
По поводу защиты:
На самом деле, хранение git-репозитария внутри рабочей директории сама по себе плохая практика by design.
Хорошая практика:
git init --separate-git-dir=/special/folder/for/git/<project-name>
git clone --separate-git-dir=/special/folder/for/git/<project-name> <orig-repository>
И т.д.
В этом случае внутри рабочей директории будет храниться только файлик .git с содержанием вида:
gitdir: /special/folder/for/git/<project-name>
Почему нет? Выкладку может быть проще делать напрямую из репозитория через git fetch/git pull. Достаточно закрывать .git
в конфиге веб-сервера и все счастливы
А ведь всё было бы так хорошо имей эти сайты в проекте просто отдельную паблик директорию, в которую бы уже и смотрел веб сервер. И эта проблема бы ушла и десяток других по сокрытию приватных файликов проекта.
//ждем статьи про mercurial?
Этим грешит даже сайт одного небезызвестного архиватора.Они как-то отреагировали на сообщение? Потому что я только что попробовал (дальше .git/index не ходил) — всё по-прежнему доступно.
Отвечая на ваше предположение по поводу «хаброэффекта», могу сказать, что клонов появится ±0 штук. Ибо это никому не надо. А если бы было надо, то для этого не обязательно залезать в чужой репозиторий (моя субъективная оценка).
Немного о приватности реальных Git-репозиториев