.git-Verzeichnis auf Webserver schützen

Git hat sich als Versionsverwaltung im Entwicklungsbereich durchgesetzt. Auch der Bereich der Web-Entwicklung macht hier keinen Unterschied. Die Besonderheit bei Git ist, dass das .git-Verzeichnis im Projektverzeichnis oftmals das komplette Git-Repository enthält. Kopiert man dieses Verzeichnis aus versehen auf einen Webserver, so kann das Verzeichnis von Unberechtigten eingesehen und dadurch ggf. sicherheitsrelevante Informationen in fremde Hände gelangen.

Aus diesem Grund sollte man Vorkehrungen treffen. Grundsätzlich sollte das .git-Verzeichnis NIE im öffentlichen Bereich auf einem Webserver landen. Da Fehler jedoch menschlich sind, kann man weitere Vorkehrungen treffen, um ein fälschlicherweise hochgeladenes .git-Verzeichnis zu schützen. Dabei bietet es sich beispielsweise an, in der .htaccess-Datei folgenden Eintrag hinzuzufügen:

RedirectMatch 404 /.git

Der Eintrag führt dazu, dass alle Aufrufe, die auf oder in ein .git-Verzeichnis zeigen, einen 404-Fehler („Seite nicht gefunden“) zurückgeben. Dies hat mehrere Vorteile:

  • Funktioniert bei allen .git-Verzeichnissen, so lange diese auf gleicher Ebene oder unterhalb der .htaccess-Datei liegen. Auch bei neu hinzugefügten .git-Verzeichnissen muss daher nichts angepasst oder beachtet werden.
  • Versteckt auch alle weiteren Git-Dateien wie .gitignore und .gitmodules.
  • Verrät nicht, dass ein .git-Verzeichnis vorhanden ist, da ein 404-Fehler zurückgegeben wird.

Schreibe einen Kommentar