=
{
>
o
*
X

NOUS LES DEVS

Sécuriser un .git

Empêcher le téléchargement d'un .git de manière simple et rapide

Niveau : débutant(e)
</> </> </>

Hack

Quand tu initialises un dépôt Git pour un projet, il y a un dossier .git qui se crée. Lorsque tu vas faire des commits, les différentes informations sur les changements vont être stockées dans ce répertoire.

Si une personne arrivait à récupérer ce répertoire, elle pourrait exécuter la commande git reset –hard et obtenir tous les fichiers du site qui aurait été commit. Donc avoir potentiellement accès à des informations très importantes.

Liste des fichiers

La première chose, et sans doute la plus importante, est de ne jamais lister les fichiers présents sur le serveur. Pour cela, on va utiliser une petite directive que l’on va placer dans un fichier .htaccess (pour le cas de Apache).

Options -Indexes

Piège 404

Après cela, on va piéger le « hacker » et simuler une 404 pour lui faire croire qu’il n’existe pas de .git sur le serveur si il tente d’y accéder.

Options -Indexes
RedirectMatch 404 .git

Deny from all

Une autre solution, tout aussi valable, est de créer un fichier .htaccess dans le répertoire .git et d’y ajouter le code suivant, qui empêchera l’accès au répertoire, tout simplement. L’avantage est qu’il y a très peu de chance qu’un programme touche à ce fichier qui pourrait enlever la sécurité mise en place.

Deny from all

Meilleure solution

La meilleure solution est sans doute de sortir le dossier .git de la racine du dossier public (httpdocs) et de le mettre un niveau au-dessus. A mon sens c’est la méthode la plus efficace, car en cas d’oubli « d’ajout de sécurité », le répertoire n’est pas accessible publiquement.

15/12/2021

Yann Vangampelaere - nouslesdevs -

NOUS LES DEVS

Vous aimez ce que je fais ? Vous voulez que j'en fasse plus ? dans le développement du blog.