https://m.opennet.me/openforum/vsluhforumID3/115188.html Чешский исследователь безопасности Владимир Смитка (Vladim&#237;r Smitka) провёл сканирование около 320 млн доменов и выявил (https://lynt.cz/blog/global-scan-exposed-git), что на 390 тысячах сайтов доступны для загрузки каталоги ".git", которые по недосмотр выставили в публичное пространство без ограничения доступа. В подобных каталогах можно обнаружить закрытую информацию, в некоторых случаях угрожающую безопасности. Например, в каталоге .git могут быть оставлены исходные тексты всех серверных обработчиков сайта (атакующий может использовать из для поиска уязвимостей), а также пароли и ключи доступа к СУБД, API и облачным сервисам.<br><br><br><br><br><br><br>Сканирование всех доменов в сети заняло около 4 недель, после чего исследователь попытался предупредить владельцев сайтов на которых зафиксирована отдача каталога ".git", организовав рассылку по email.<br>Адреса электронной почты были взяты из файла /.git/logs/HEAD. Из 390 тысяч сайтов удалось определить emаil для 290 тысяч, из которых 90 тысяч email оказались уникальны https://m.opennet.me/openforum/vsluhforumID3/115188.html#147 Sun, 30 Sep 2018 23:47:05 GMT Статистика лишь показывает то, что у нубов популярна убунта и дебиан, а не реальную популярность этих дистров.<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#146 Wed, 12 Sep 2018 16:39:00 GMT сколько раз за сегодня эту фразу уже слышал =)<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#145 Tue, 11 Sep 2018 10:24:39 GMT &gt;ты хочешь статику отдавать томкэтом? Нет? Ну, вот...<br><br>Ммм. А тот же war унзипнуть по scp на сервер с nginx/apache религия не позволяет?<br>В одном скрипте деплоя можно же.<br><br>Хотя если http сервером рулит другой человек, ему наверно сложно.<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#144 Tue, 11 Sep 2018 10:19:29 GMT &gt;Ничего такого ужасного-ценного для кульхацкеров в том гите не будет,<br><br>Сколько человек думают, что удалив файл с настройками (читай паролями) они сделали его недоступным? <br>При условии что можно по версионке восстановить что было до того?<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#143 Tue, 11 Sep 2018 10:16:01 GMT Что мешает сделать нормальную сборку с одним архивом и ее деплоить?<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#142 Tue, 11 Sep 2018 10:14:48 GMT scp?<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#141 Tue, 11 Sep 2018 10:07:46 GMT С каких пор 3 тысячи в несколько раз хуже 390 тысяч?<br><br>Хотя я не понимаю напоркуа там вообще версионка?<br>Например для Java. Они что весь гит в war засовывают при сборке?<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#140 Tue, 11 Sep 2018 00:38:28 GMT &gt; а личный токен для входа в Интернет - вряд ли<br><br>А что этому помешает, интересно? Или ты думаешь, что хомяки токен будут содержать безопаснее чем свои хламежные роутеры и дырявый софт?<br> https://m.opennet.me/openforum/vsluhforumID3/115188.html#139 Tue, 11 Sep 2018 00:31:39 GMT &gt; Адреса электронной почты были взяты из файла<br><br>Кажется спамеры пополнят свои базы...<br>