Mostra un ID TCM sull'istruzione SiteEdit sul sito Web pubblico un problema di sicurezza? I miei pensieri sono che non dovrebbe essere un problema dal momento che Tridion è dietro il firewall. Voglio sapere l'opinione degli esperti.Mostra ID TCM sul sito Web pubblico un problema di sicurezza?
risposta
Direi che in realtà non presenta un problema. Se ci sono buchi nel firewall che possono essere violati, un attaccante può trovare un modo per passare attraverso a prescindere. Il fatto che ci sia un'installazione Tridion CMS dietro il firewall è in qualche modo irrilevante.
Indipendentemente dal fatto che l'URI sia presente nel codice sorgente o meno, l'implementazione deve essere protetta abbastanza bene che le conoscenze acquisite sapendo di disporre di un CMS Tridion non hanno alcun valore per un hacker.
Penso che tu stia facendo la domanda sbagliata qui. Non è importante che tali istruzioni di SiteEdit costituiscano un rischio per la sicurezza, dovrebbero essere presenti solo sui target di pubblicazione in cui si utilizza SiteEdit. Su qualsiasi altro obiettivo, aumentano le dimensioni e esporranno i dettagli di implementazione che non sono rilevanti per i visitatori di quel target.
Quindi, a meno che non si attiva SiteEdit sul vostro sito web pubblico (altamente improbabile), le istruzioni SiteEdit non dovrebbero essere nel codice HTML.
Dipende dal livello di sicurezza richiesto. In linea di principio, la tua sicurezza dovrebbe essere così buona che non ti affidi a "sicurezza per oscurità". Dovresti aver modellato ogni minaccia, e averla compresa, e progettato difese inespugnabili.
Nella vita reale, questo è un po 'più difficile da raggiungere, e l'attenzione è più su ciò che è solitamente descritto come "sicurezza in profondità". In altre parole, fai del tuo meglio per avere difese inespugnabili, ma se alcune discipline dirette renderanno più difficile per il tuo aggressore, ti assicurerai di andare anche tu a questo sforzo. Ci sono molte prove che il primo passo in ogni attacco è cercare di enumerare quale tecnologia stai usando. Quindi se ci sono degli exploit noti per quella tecnologia, l'attaccante tenterà di usarli. Inoltre, se viene scoperto un exploit, gli aggressori cercheranno potenziali vittime cercando le firme della tecnologia compromessa.
L'esposizione degli URI TCM nell'output pubblico è buona come dire a un utente malintenzionato che si sta utilizzando Tridion. Quindi, per quello, sta esponendo il codice di SiteEdit. Se usi Tridion, è assolutamente inutile fare una di queste cose. È possibile semplicemente visualizzare un sito Web che non fornisce indicazioni sulla sua implementazione. (La capacità di evitare di fornire questi indizi sarà un requisito irrinunciabile per molte grandi organizzazioni che scelgono un WCMS e la forza di Tridion a questo riguardo potrebbe essere uno dei motivi per cui l'organizzazione per cui si è scelto di utilizzarla.)
Quindi mentre non c'è nulla in un URI TCM che di per sé causa un problema di sicurezza, fornisce inutilmente informazioni a potenziali aggressori, quindi sì, è un problema di sicurezza. Le istituzioni finanziarie, le organizzazioni governative e le grandi aziende in generale, si aspettano che tu faccia una implementazione pulita che non dia alcun aiuto ai cattivi.
Grazie Dominic. Hai ragione, stiamo facendo in modo che gli hacker possano semplificare la vita a un certo punto, dicendogli quali sono i wcm che stiamo utilizzando nel back-end. Frank ha ragione anche sul fatto che non dovremmo gonfiare il contenuto html più di quello che deve essere. Proveremo a fare quei cambiamenti.Ma come Chris menzionato di seguito, non vi è alcuna minaccia immediata se non si hanno altri problemi di sicurezza che possono essere violati. – user1373140
- 1. mostra feedback ebay sul mio sito web
- 2. Mostra google maps sul sito web mobile
- 3. Il file WSDL SOAP pubblico è un problema di sicurezza?
- 4. Youtube Iframe sul sito Web HTTPS
- 5. Test di sicurezza del sito Web Mostra Response.Redirect vulnerabile a un attacco
- 6. Javascript - Regex per convalidare un tridion tcm id
- 7. Quanta sicurezza è davvero necessaria su un sito web "privato"?
- 8. Mostra un sito Web all'interno di una scheda ionica
- 9. Integrazione di IMAP sul sito Web php
- 10. ID negozio predefinito del sito web magento
- 11. Problema con il sito Web mobile
- 12. Malware sul sito Web di un cliente - Idee?
- 13. Problema di sicurezza WCF
- 14. Colore predefinito impostato sul sito web gnuplot
- 15. Incorpora modelli 3D sul sito web
- 16. Rinomina ramo sul sito Web github?
- 17. Disqus SSO integration sul sito web
- 18. Trovato sconosciuto index.php sul sito web
- 19. XSS Attack sul sito Web ASP.NET
- 20. Come utilizzare OpenID sul mio sito web
- 21. Comic Sans sul nostro sito web
- 22. Come proteggere la distribuzione aziendale iOS utilizzando oauth su un sito Web pubblico?
- 23. Problema di sicurezza token Trello?
- 24. opensourcing di un codice sito web
- 25. Definizione di impostazione "Sempre attivo" sul sito Web di Azure
- 26. Come incorporare l'audio in un sito Web?
- 27. php - sicurezza del sito Web utilizzando la variabile globale
- 28. Come impostare machineKey sul sito Web di Azure
- 29. Script di sicurezza basato sul gruppo globale?
- 30. Impossibile ospitare file MP4 sul sito Web di Azure
5 domande, nessuna risposta accettata. Per favore, ricorda di segnare la risposta giusta come accettata una volta che sei stato aiutato. Aiuterà sicuramente gli altri membri una volta che si saranno spiati in qualcosa di simile. –
mai realizzato. L'ho appena fatto. – user1373140
Forse potresti anche scegliere una risposta per questa? –