Ну есть пхп-конфиги с данными для ДБ для приёмочные тестов

якшо в тебе в плагіні лежить файл .env, то це попандос. Тому що:
- якшо включені індекси директорії, то його одразу можна побачити, тицьнути і почитати всі твої секрети
- якшо індекси виключені, не проблема траверсивно пройтися по папках (а шлях то в нас через лінк будь-якого ассета є в html source сторінки) і спробувати відкрити в кожній папці файл .env - і якшо він є, то ми його знайдемо
- єдиний спосіб цього уникнути - на рівні конфігу сервера заборонити доступ до цього файлу або всіх файлів які починаються з крапки наприклад

цього не повинно бути в продакшн білді

такі речі не повинні потрапляти на бойовий сервер, там не потрібні тести 🙂

Ну логично в целом

Надо доделать билд)

🙂

@alexkutas що скажеш?

1 і 2 згідний

3 і 4 чертерта щоб н ебуло куди копати треба правильноналаштовувтаи

5 лучше закрити

нізя енв якимсь хешем назвати?

і закрити індексом*

ДЛЯ ЧОГО?! Який реальний бенефіт це дає?
я питаю конкретно: який є реальний вектор атаки / exploit, яким можна скористатися, якшо в папці з статичними асетами доступний лістинг директорії?

якшо правильно налаштовувати все, то хай копають - все одно нічого не вийде і нічого не зламають

індексом ти закриєш лістинг директорії. а не доступ до того файла

змінивши його ім’я ти лише ускладниш трохи перебір, але сам файл все одно доступний по прямому урлу і його можна відкрити. проблема лише в тому шоб ім’я підібрати

тому блін я кажу налаштовувати права

так я ж і питаю, які мають бути права

з самог опочатку казав що індекси така собі практика