Апач дав-свн.Очевидная проблема безопасности?

Question

Пока возился с нестандартным внешним видом веб-интерфейса для svn через http / Apache2, я столкнулся с некоторыми достаточно простыми инструкциями по настройке:

svn-book сообщает:

Подраздел Просмотр репозитория глав:

Список репозиториев

Если вы обслуживаете коллекцию репозиториев с одного URL-адреса с помощью директивы SVNParentPath, то также возможноApache отображает все доступные репозитории в веб-браузере.Просто активируйте директиву SVNListParentPath:

<Location /svn>
DAV svn
SVNParentPath /var/svn
SVNListParentPath on
...
</Location>

Если пользователь теперь указывает свой веб-браузер на URL http://host.example.com/svn/,, он увидит список всех хранилищ Subversion, находящихся в / var / svn, Очевидно, это может быть проблема безопасности, поэтому эта функция по умолчанию отключена.

Что такое очевидная проблема безопасности, которую я пропускаю?

Answer 1

Это не совсем критическая проблема безопасности - больше похоже на проблему конфиденциальности.

Это относится к тому факту, что репозитории могут быть частными, и что перечисление их по пути сообщит об их существовании. Думайте об этом как о списках каталогов в Apache - если включено, если индексного файла нет, вы получите список файлов в этом каталоге. Это проблема безопасности, потому что люди могут найти внутренности вашей системы, которые вы не хотели, чтобы они видели.