Soal Akses Folder Git Dari Web
Kalau pakai git di server production, pastikan folder .git-nya TIDAK bisa diakses dari web. Bahayanya adalah, orang jadi bisa download seluruh source code web Anda. Tanpa perlu password. Dan kalau file config database ikut dimasukkan ke git, credentials database yang ada di situ bisa terambil juga. Meskipun repository git Anda private.
Solusinya, folder .git jangan ditaruh di folder yang bisa diakses dari web (beberapa framework PHP sudah seperti ini, folder web ada di "public" sementara folder .git ada di luarnya).
Kalaupun folder .git ada di folder yang bisa diakses dari web, pastikan dibuat forbidden misalnya dengan .htaccess. Sekedar naruh file index kosong di situ, atau disable directory listing saja tidak cukup.
Gambar ini contoh yang tidak aman.
Ditulis oleh : Muhammad Abrar Istiadi
Supaya lebih jelas dan haqiqi, silahkan baca refrensi soal masalah ini di blog Kang Yohanes yang lebih kompeten untuk menjelaskannya : http://blog.compactbyte.com/2017/03/16/bug-file-version-control-yang-bisa-diakses-via-web/
Saya sering donwload folder dari web tanpa sandi.
ReplyDelete