2012-08-08 8 views
6

¿Está mostrando un problema de seguridad la identificación de TCM en la instrucción SiteEdit en el sitio web público? Mi opinión es que no debería ser un problema ya que Tridion está detrás del firewall. Quiero saber la opinión de los expertos.¿Está mostrando el ID de TCM en el sitio web público un problema de seguridad?

+0

5 pregunta, ninguna respuesta aceptada. Recuerda marcar la respuesta correcta como aceptada una vez que te hayan ayudado. Definitivamente ayudará a otros miembros una vez que sean atrapados en algo similar. –

+1

nunca se dio cuenta. Simplemente lo hizo. – user1373140

+0

¿Quizás también podrías elegir una respuesta para esta? –

Respuesta

3

Yo diría que realmente no presenta un problema. Si hay agujeros en el firewall que se pueden romper, un atacante puede encontrar una manera de pasar independientemente. El hecho de que exista una instalación Tridion CMS detrás del firewall es algo irrelevante.

Ya sea que tenga los URI en su código fuente o no, su implementación debe garantizarse lo suficientemente bien como para que el conocimiento adquirido al saber que tiene un CMS Tridion no tenga ningún valor para un hacker.

7

Creo que estás haciendo la pregunta incorrecta aquí. No es importante si esas instrucciones SiteEdit son un riesgo para la seguridad, solo deberían estar presentes en los destinos de publicación donde utiliza SiteEdit. En cualquier otro objetivo, simplemente aumentan innecesariamente el tamaño y exponen detalles de implementación que no son relevantes para los visitantes de ese objetivo.

Así que a menos que habilite SiteEdit en su sitio web público (muy poco probable), las instrucciones SiteEdit no deben estar en el código HTML.

5

Depende del nivel de seguridad que requiera. En principio, su seguridad debe ser tan buena que no confíe en la "seguridad por oscuridad". Deberías haber modelado cada amenaza, y haberla entendido, y haber diseñado defensas inexpugnables.

En la vida real, esto es un poco más difícil de lograr, y la atención se centra más en lo que generalmente se describe como "seguridad en profundidad". En otras palabras, haces todo lo posible para tener defensas inexpugnables, pero si algunas disciplinas sencillas lo harán más difícil para tu atacante, asegúrate de hacer ese esfuerzo también. Hay muchas pruebas de que el primer paso en cualquier ataque es intentar enumerar qué tecnología está utilizando. Entonces, si hay exploits conocidos para esa tecnología, el atacante intentará usarlos. Además, si se conoce un exploit, los atacantes buscarán víctimas potenciales al buscar firmas de la tecnología comprometida.

La exposición de URI de TCM en su salida pública es tan buena como decirle a un atacante que está utilizando Tridion. Entonces, para el caso, está exponiendo el código SiteEdit. Si usa Tridion, es absolutamente innecesario hacer cualquiera de estas cosas. Simplemente puede mostrar un sitio web que no da pistas sobre su implementación. (La capacidad de evitar dar estas pistas será un requisito difícil para muchas organizaciones grandes que elijan un WCMS, y la fortaleza de Tridion en este aspecto puede ser una de las razones por las que la organización para la que trabaja eligió usarlo).

si bien no hay nada en un URI de TCM que por sí mismo cause un problema de seguridad, informa innecesariamente a los atacantes potenciales, por lo que sí, es un problema de seguridad. Las instituciones financieras, las organizaciones gubernamentales y las grandes corporaciones en general, esperarán que realice una implementación limpia que no brinde socorro a los malos.

+1

Gracias Dominic. Tienes razón en que estamos facilitando la vida de los hackers de una sola vez, les decimos qué elementos utilizamos en el back-end. Frank también tiene razón en que no debemos hinchar el contenido html más de lo que debe ser. Intentaremos hacer esos cambios.Pero como Chris menciona a continuación, no existe una amenaza inmediata a menos que tenga otros problemas de seguridad que puedan violarse. – user1373140

Cuestiones relacionadas