Tim Pritlove

Es ist echt halt ein Standardteil.

Ich meine, wenn du einfach nur über Webserver gehst und guckst nach .git, was meinst du, wie oft du da dann ein exponiertes Git-Repository findest, wo der Quellcode drinsteht.

Das ist halt, also es ist echt...

brauchst du nicht lange für.

Und das wären zum Beispiel auch so Dinge, die gehören in jede nginx-Config, in jede htaccess rein, dass du halt nicht die Folder, die mit einem .

anfangen, surfst.

Das machen sie aber.

Oder macht so ein Server halt by default.

Und auch das wären so Sachen, da könnte ich mir doch durchaus vorstellen, dass man da halt mal ein bisschen mehr ...

Irgendwo so ein bisschen Standards einzieht, ja, sei es, ach man, es ist einfach alles so eine traurige Welt, ja.

Ich finde halt so, also in Unternehmen machst du halt dann, machst du zum Beispiel sowas wie ein Golden Image oder ein Golden Container, wo du halt sagst, pass auf, jeder Server, jeder Webserver, den wir haben, der hat schon mal folgende Regeln, die sind da einfach drin.

Und der surft keine .git-Files und der lässt auf einen Symfony-Profiler nicht zugreifen ohne Authentisierung und so.

Also man kann das ja machen.

Das sind ja so die Systeme des IT-Security-Management, die in größeren Unternehmen dann doch schon Anwendung finden.

Und wo man dann sagt, okay, wenn du davon abweichen möchtest, dann musst du halt das begründen und fragen und Request stellen und so weiter.

Irgendetwas.

Aber es ist natürlich schon leider so, dass IT halt für die meisten Leute einfach wirklich als Footgun geliefert wird.

Und dass du, das wäre schon eigentlich ganz nett, mal so ein paar besser gehärtete Standards irgendwie auch so

In der Breite zu etablieren.

Haben schon viele versucht, ich weiß.