Da un grande potere derivano grandi responsabilità, e nel caso di Git la responsabilità è degli sviluppatori di codice Web non particolarmente accorti che rischiano di compromettere un intero progetto o, peggio ancora, i dati sensibili degli utenti di un servizio telematico.
Il rischio, evidenziato dallo sviluppatore Jamie Brown , consiste nella gestione errata della cartella .git , creata dal tool di gestione e revisioning dei progetti software e contenente un gran numero di informazioni inerenti le modifiche al codice sorgente e non solo.
Una cartella .git può contenere dati sensibili quali credenziali di accesso FTP, chiavi API, login per database e altro ancora, denuncia Brown, e quel che è peggio un numero consistente di sviluppatori evita di proteggere adeguatamente la cartella permettendo in sostanza al pubblico di accedere ai succitati dati sensibili.
Dalle analisi di Brown risultano 2.402 siti Web con cartella .git pubblicamente accessibile su 1,5 milioni di domini controllati, lo 0,16 per cento del Web che include anche nomi parecchio noti come BBC e The Guardian, autorità governative, istituti educativi e organizzazioni non governative.
Particolarmente inquietante il rischio per le ONG, dice Brown, con un gruppo che si batte per i diritti umani nella cui cartella .git lo sviluppatore ha scovato tutte le informazioni (inclusi indirizzi fisici ed email) riguardanti i partecipanti a una campagna a favore dei diritti gay.
Alfonso Maruccia
Ti potrebbe interessare
3 ago 2015