在公共网站的SiteEdit指令上显示TCM ID是否存在安全问题?我的想法是,它不应该是一个问题,因为Tridion是在防火墙后面。我想知道专家意见。在公共网站上显示TCM ID是否存在安全问题?
回答
我会争辩说它并不真正出现问题。如果防火墙中有可能被破坏的漏洞,攻击者可能会找到一种方法来解决问题。在防火墙后面安装Tridion CMS的事实有点不相关。
无论您是否拥有源代码中的URI,您的实施应该保证足够好,以至于知道您拥有Tridion CMS对于黑客毫无价值。
我想你在这里问错了问题。这些SiteEdit指令是否存在安全风险并不重要,它们只应出现在使用SiteEdit的发布目标上。在任何其他目标上,他们只是不必要地增加了大小,并暴露了与该目标访问者无关的实现细节。
所以,除非你对你的公开网站(不大可能)使SiteEdit,该SiteEdit说明不应该在HTML。
这取决于您需要的安全级别。原则上,您的安全性应该非常好,以至于您不依赖“默默无闻的安全性”。你应该模拟每一个威胁,并理解它,并设计坚不可摧的防御。
在现实生活中,这有点难以实现,重点更多地放在通常所说的“安全深度”上。换句话说,你尽可能地拥有坚不可摧的防御能力,但是如果一些直截了当的规则会让你的攻击者变得更加困难,那么你也要确保你也做到了这一点。有很多证据表明,任何攻击的第一步都是试图列举你正在使用的技术。然后,如果有任何已知的攻击技术,攻击者将尝试使用它们。另外,如果攻击已知,攻击者将通过搜索受感染技术的签名来搜索潜在受害者。
在面向公众的输出中暴露TCM URI与告诉攻击者您正在使用Tridion一样好。所以,就此而言,正在公开SiteEdit代码。如果你使用Tridion,完全没有必要做这些事情。您可以简单地显示一个没有提供关于其实施的线索的网站。 (避免给出这些线索的能力对于许多选择WCMS的大型组织来说是一个硬性要求,并且Tridion在这方面的实力可能是您工作的组织选择使用它的原因之一。)
所以虽然TCM URI中没有任何内容会导致安全问题,但它不必要地向潜在的攻击者提供信息,所以是的,这是一个安全问题。金融机构,政府组织和一般大公司都期望你做一个干净的实施,不会给坏人带来任何帮助。
感谢Dominic。你说得对,我们正在让黑客生活变得轻松一步,告诉他们我们在后端使用了什么wcms。弗兰克是对的,我们不应该臃肿的HTML内容更多,它的需要。我们将尝试进行这些更改。但是正如克里斯在下面提到的那样,除非你有其他可以被破坏的安全问题,否则没有直接的威胁。 – user1373140 2012-08-13 18:35:59
- 1. 在网站上显示javascript的问题
- 2. 公开显示phpinfo()是否安全?
- 3. 在我的网站上切换drupal的主题是否安全?
- 4. 查看公共文件,是否存在大的安全风险?
- 5. 在mongodb中存储公共SSH rsa密钥是否安全?
- 6. 网站安全问题
- 7. IBM Bluemix安全网关/公共访问
- 8. 在SQL SERVER 2005上启用CLR是否存在安全问题?
- 9. Firesheep - 安全公共网络
- 10. 在网站上显示文章ID
- 11. 公开AWS Cognito ID是否安全?
- 12. 在SharePoint中演示公共网站
- 13. 在网站上显示网站?
- 14. 网站Cookie - 是否有任何安全问题?
- 15. 在我的html中显示AWS认知池ID是否安全?
- 16. 在公共网站上使用无模式协议URI是否“安全”?防爆。 //www.example.com/dir/file
- 17. 我有问题显示“·”在网站
- 18. 在个人资料网址中显示用户ID是否安全?
- 19. iPhone网站显示问题
- 20. iphone网站显示问题
- 21. 在网站上显示pdf
- 22. 公共上传文件夹会成为安全问题吗?
- 23. 公共HTTPS网站
- 24. 是否在Silverlight 3中使用隔离存储安全问题
- 25. 使用JavaScript来操作Cookie是否存在安全问题?
- 26. 在安全的网页上显示非安全项目
- 27. 如何在公共网站上找到网站页面添加
- 28. Drupal迁移问题 - 安装屏幕显示而不是网站
- 29. Azure网站上是否存在RoleInstanceId equivilent?
- 30. 动态网站安全问题(PHP + MySQL)
5个问题,没有接受答案。请记住,一旦你获得帮助,将正确答案标记为可接受。一旦他们陷入类似的困境,它将会帮助其他成员。 – 2012-08-08 18:41:58
从来没有意识到它。刚刚做到了。 – user1373140 2012-08-08 19:17:34
也许你也可以为这个选择一个答案? – 2012-08-12 20:57:58