In una delle mie applicazioni Web, ho lasciato accidentalmente la directory .git leggibile dal server Web nelle ultime settimane. L'indice è stato disabilitato. La visita dell'URL website.com/.git comporterebbe un errore 404 indistinguibile da qualsiasi altro errore 404, ma ad esempio la navigazione su website.com/.git/config scaricherà il file.
Che tipo di rischi ci sono con le mie applicazioni? È possibile che siano esposte abbastanza informazioni che qualcuno avrebbe potuto scaricare l'intero codice sorgente dell'applicazione?
git clone http://website.com/.git
? Questo è il rischio maggiore (essere in grado di clonare l'intero repo).