在公共网站上显示TCM ID是否存在安全问题？

Question

在公共网站的SiteEdit指令上显示TCM ID是否存在安全问题？我的想法是，它不应该是一个问题，因为Tridion是在防火墙后面。我想知道专家意见。

Answer 1

我会争辩说它并不真正出现问题。如果防火墙中有可能被破坏的漏洞，攻击者可能会找到一种方法来解决问题。在防火墙后面安装Tridion CMS的事实有点不相关。

无论您是否拥有源代码中的URI，您的实施应该保证足够好，以至于知道您拥有Tridion CMS对于黑客毫无价值。

Answer 2

我想你在这里问错了问题。这些SiteEdit指令是否存在安全风险并不重要，它们只应出现在使用SiteEdit的发布目标上。在任何其他目标上，他们只是不必要地增加了大小，并暴露了与该目标访问者无关的实现细节。

所以，除非你对你的公开网站（不大可能）使SiteEdit，该SiteEdit说明不应该在HTML。

Answer 3

这取决于您需要的安全级别。原则上，您的安全性应该非常好，以至于您不依赖“默默无闻的安全性”。你应该模拟每一个威胁，并理解它，并设计坚不可摧的防御。

在现实生活中，这有点难以实现，重点更多地放在通常所说的“安全深度”上。换句话说，你尽可能地拥有坚不可摧的防御能力，但是如果一些直截了当的规则会让你的攻击者变得更加困难，那么你也要确保你也做到了这一点。有很多证据表明，任何攻击的第一步都是试图列举你正在使用的技术。然后，如果有任何已知的攻击技术，攻击者将尝试使用它们。另外，如果攻击已知，攻击者将通过搜索受感染技术的签名来搜索潜在受害者。

在面向公众的输出中暴露TCM URI与告诉攻击者您正在使用Tridion一样好。所以，就此而言，正在公开SiteEdit代码。如果你使用Tridion，完全没有必要做这些事情。您可以简单地显示一个没有提供关于其实施的线索的网站。 （避免给出这些线索的能力对于许多选择WCMS的大型组织来说是一个硬性要求，并且Tridion在这方面的实力可能是您工作的组织选择使用它的原因之一。）

所以虽然TCM URI中没有任何内容会导致安全问题，但它不必要地向潜在的攻击者提供信息，所以是的，这是一个安全问题。金融机构，政府组织和一般大公司都期望你做一个干净的实施，不会给坏人带来任何帮助。