Mostra un ID TCM sull'istruzione SiteEdit sul sito Web pubblico un problema di sicurezza? I miei pensieri sono che non dovrebbe essere un problema dal momento che Tridion è dietro il firewall. Voglio sapere l'opinione degli esperti.Mostra ID TCM sul sito Web pubblico un problema di sicurezza?
Direi che in realtà non presenta un problema. Se ci sono buchi nel firewall che possono essere violati, un attaccante può trovare un modo per passare attraverso a prescindere. Il fatto che ci sia un'installazione Tridion CMS dietro il firewall è in qualche modo irrilevante.
Indipendentemente dal fatto che l'URI sia presente nel codice sorgente o meno, l'implementazione deve essere protetta abbastanza bene che le conoscenze acquisite sapendo di disporre di un CMS Tridion non hanno alcun valore per un hacker.
Penso che tu stia facendo la domanda sbagliata qui. Non è importante che tali istruzioni di SiteEdit costituiscano un rischio per la sicurezza, dovrebbero essere presenti solo sui target di pubblicazione in cui si utilizza SiteEdit. Su qualsiasi altro obiettivo, aumentano le dimensioni e esporranno i dettagli di implementazione che non sono rilevanti per i visitatori di quel target.
Quindi, a meno che non si attiva SiteEdit sul vostro sito web pubblico (altamente improbabile), le istruzioni SiteEdit non dovrebbero essere nel codice HTML.
Dipende dal livello di sicurezza richiesto. In linea di principio, la tua sicurezza dovrebbe essere così buona che non ti affidi a "sicurezza per oscurità". Dovresti aver modellato ogni minaccia, e averla compresa, e progettato difese inespugnabili.
Nella vita reale, questo è un po 'più difficile da raggiungere, e l'attenzione è più su ciò che è solitamente descritto come "sicurezza in profondità". In altre parole, fai del tuo meglio per avere difese inespugnabili, ma se alcune discipline dirette renderanno più difficile per il tuo aggressore, ti assicurerai di andare anche tu a questo sforzo. Ci sono molte prove che il primo passo in ogni attacco è cercare di enumerare quale tecnologia stai usando. Quindi se ci sono degli exploit noti per quella tecnologia, l'attaccante tenterà di usarli. Inoltre, se viene scoperto un exploit, gli aggressori cercheranno potenziali vittime cercando le firme della tecnologia compromessa.
L'esposizione degli URI TCM nell'output pubblico è buona come dire a un utente malintenzionato che si sta utilizzando Tridion. Quindi, per quello, sta esponendo il codice di SiteEdit. Se usi Tridion, è assolutamente inutile fare una di queste cose. È possibile semplicemente visualizzare un sito Web che non fornisce indicazioni sulla sua implementazione. (La capacità di evitare di fornire questi indizi sarà un requisito irrinunciabile per molte grandi organizzazioni che scelgono un WCMS e la forza di Tridion a questo riguardo potrebbe essere uno dei motivi per cui l'organizzazione per cui si è scelto di utilizzarla.)
Quindi mentre non c'è nulla in un URI TCM che di per sé causa un problema di sicurezza, fornisce inutilmente informazioni a potenziali aggressori, quindi sì, è un problema di sicurezza. Le istituzioni finanziarie, le organizzazioni governative e le grandi aziende in generale, si aspettano che tu faccia una implementazione pulita che non dia alcun aiuto ai cattivi.
Grazie Dominic. Hai ragione, stiamo facendo in modo che gli hacker possano semplificare la vita a un certo punto, dicendogli quali sono i wcm che stiamo utilizzando nel back-end. Frank ha ragione anche sul fatto che non dovremmo gonfiare il contenuto html più di quello che deve essere. Proveremo a fare quei cambiamenti.Ma come Chris menzionato di seguito, non vi è alcuna minaccia immediata se non si hanno altri problemi di sicurezza che possono essere violati. – user1373140
5 domande, nessuna risposta accettata. Per favore, ricorda di segnare la risposta giusta come accettata una volta che sei stato aiutato. Aiuterà sicuramente gli altri membri una volta che si saranno spiati in qualcosa di simile. –
mai realizzato. L'ho appena fatto. – user1373140
Forse potresti anche scegliere una risposta per questa? –