Soal Akses Folder Git Dari Web


Kalau pakai git di server production, pastikan folder .git-nya TIDAK bisa diakses dari web. Bahayanya adalah, orang jadi bisa download seluruh source code web Anda. Tanpa perlu password. Dan kalau file config database ikut dimasukkan ke git, credentials database yang ada di situ bisa terambil juga. Meskipun repository git Anda private.

Solusinya, folder .git jangan ditaruh di folder yang bisa diakses dari web (beberapa framework PHP sudah seperti ini, folder web ada di "public" sementara folder .git ada di luarnya).

Kalaupun folder .git ada di folder yang bisa diakses dari web, pastikan dibuat forbidden misalnya dengan .htaccess. Sekedar naruh file index kosong di situ, atau disable directory listing saja tidak cukup.

Gambar ini contoh yang tidak aman.

Soal Akses Folder Git Dari Web

Ditulis oleh : Muhammad Abrar Istiadi

Supaya lebih jelas dan haqiqi, silahkan baca refrensi soal masalah ini di blog Kang Yohanes  yang lebih kompeten untuk menjelaskannya : http://blog.compactbyte.com/2017/03/16/bug-file-version-control-yang-bisa-diakses-via-web/


1 Response to "Soal Akses Folder Git Dari Web"

Komentar yang Anda kirim akan terlebih dahulu di moderasi oleh Admin