@Peter: Pořád nechápu, s čím máš problém. Věnoval jsem spousty práce výzkumu samotnému, kontaktování velkého množství dotčených stran, vytvořením statistik a publikaci článku. O článku jsem následně informoval na serveru, kde se pohybují lidé, kteří jsou za řešení podobných problémů často zodpovědní. V tom osobně žádný problém nevidím, navíc když článek nemá ani žádný komerční podtext. Pravděpodobně o virálním marketingu moc nevíš, jinak bys za něj nemohl označovat článek, o kterém jsem informoval na 2 místech - na svých osobních sociálních sítích a zde ve zprávičce + ho následně převzal zdroják.

Proč je problém mít dostupné zdrojáky stránky? Ve tvém utopickém světě to samozřejmě problém není - všechno je opensource, nad projektem máš kompletní kontrolu, nikdo se nikdy neodvážil do repozitáře přidat jakékoliv citlivé informace (třeba klíče k AWS), nikdo nikdy neupravoval soubor přímo na produkčním serveru, je dokonalý patch management proces, kdy se všechny knihovny okamžitě automaticky aktualizují i s testy, které samozřejmě vždy projdou, a všechny webové servery jsou bezchybně nakonfigurované. A samozřejmě se nenajde nikdo, kdo by případných problémů chtěl zneužít. Reálný svět vypadá ale dost jinak...

@Heron Nemyslím si, že podobných scanů, které by problém prozkoumaly v takové šíři (většinou se používá Alexa TM) a snažily se o kontakt s postiženými stranami, jsou desítky. To že jsem na ně nenarazil, ale moc neznamená. Podrobnější prověření kontrolního vzorku právě ukázalo, že to problém opravdu je a právě proto jsem se rozhodl udělat scan v globálním kontextu. Jak je v článku uvedeno, tak problém je i v tom, že v repozitáři jsou i minulé soubory a v nich bohužel často jsou informace, které později byly odstraněné. Scanu ukazuje i na velké množství špatně nakonfigurovaných serverů, které servírují libovolné soubory - takže i když v repu třeba není soubor s konfigurací databáze a třeba údaji k SMTP, tak se dozvím, kde by mohl být a stáhnu ho přímo. Statisticky vztaženo ke kontrolnímu vzorku, bude takových serverů tisíce. Za mě tečkové soubory a složky nemají být veřejně přístupné - stejně jako nedávám třeba veřejně .htpasswd, by to mělo platit pro všechny tyto soubory. Obecně je potřeba dávat pozor na to, co na webserver nahrávám a i když jsem třeba jen vývojář, tak se zajímat o to, zda je server dobře nastaven - administrátor serveru nemusí mít ponětí, v jaké části aplikace jsou citlivé informace.