阿帕奇 dav-svn。明显的安全问题？

Posted 2023-02-23

【中文标题】阿帕奇 dav-svn。明显的安全问题？

【英文标题】：Apache dav-svn. Obvious security issue?

【发布时间】：2012-02-07 16:32:48

【问题描述】：

在摆弄 svn over http/Apache2 的 Web 界面的自定义外观时，我遇到了一些足够简单的配置说明：

svn-book 声明：

章节存储库浏览小节：

列出存储库

如果您通过 SVNParentPath 指令从单个 URL 提供存储库集合，那么也可以使用 Apache 将所有可用的存储库显示到 Web 浏览器。只需激活 SVNListParentPath 指令：

<Location /svn>
DAV svn
SVNParentPath /var/svn
SVNListParentPath on
...
</Location>

如果用户现在将她的 Web 浏览器指向 URL http://host.example.com/svn/，她将看到所有 Subversion 的列表 位于 /var/svn 中的存储库。 很明显，这可能是一个安全问题，所以这个功能默认是关闭的。

我遗漏的明显安全问题是什么？

【问题讨论】：

也许不是所有的存储库都应该默认可见？他们鼓励您明确并仅选择那些应该公开的公开可见性，而不是假设所有内容都应该可见并针对这种情况进行预配置。

【参考方案1】：

这并不完全是一个关键的安全问题 - 更像是一个隐私问题。

它指的是存储库可以是私有的，并且按路径列出它们会公开它们的存在。把它想象成 Apache 中的目录列表——启用后，如果没有索引文件，您将获得该目录中的文件列表。这是一个安全问题，因为人们可能会发现您不希望他们看到的系统内部结构。

【讨论】：

如果这是他们的安全异议，我希望他们能在 svn 书中更明确地说明这一点。在我看来，这有点太明显了。 “您的索引将提供存储库的链接”，嗯 =)。在公共网站上使用非公开网址的安全做法当然类似于门垫安全下的钥匙。

同意，尽管通过默默无闻的安全性在少数情况下是有效的。它提供了廉价的保护，防止那些可能意外绊倒的人，让您有时间在有时间的时候建立真正的安全性。