Das .git Verzeichnis ist oeffentlich zugreifbar. Ein Angreifer kann den kompletten Quellcode inkl. History, Konfigurationen und moeglicherweise Secrets herunterladen.
Risiko: Quellcode-Leak, exponierte Zugangsdaten in der Git-History, vollstaendige Applikations-Analyse.
Apache
# .htaccess im Webroot:
<DirectoryMatch "^/.*/\.git">
Require all denied
</DirectoryMatch>
# Oder spezifischer:
RedirectMatch 404 /\.git