¿Está mostrando un problema de seguridad la identificación de TCM en la instrucción SiteEdit en el sitio web público? Mi opinión es que no debería ser un problema ya que Tridion está detrás del firewall. Quiero saber la opinión de los expertos.¿Está mostrando el ID de TCM en el sitio web público un problema de seguridad?
Respuesta
Yo diría que realmente no presenta un problema. Si hay agujeros en el firewall que se pueden romper, un atacante puede encontrar una manera de pasar independientemente. El hecho de que exista una instalación Tridion CMS detrás del firewall es algo irrelevante.
Ya sea que tenga los URI en su código fuente o no, su implementación debe garantizarse lo suficientemente bien como para que el conocimiento adquirido al saber que tiene un CMS Tridion no tenga ningún valor para un hacker.
Creo que estás haciendo la pregunta incorrecta aquí. No es importante si esas instrucciones SiteEdit son un riesgo para la seguridad, solo deberían estar presentes en los destinos de publicación donde utiliza SiteEdit. En cualquier otro objetivo, simplemente aumentan innecesariamente el tamaño y exponen detalles de implementación que no son relevantes para los visitantes de ese objetivo.
Así que a menos que habilite SiteEdit en su sitio web público (muy poco probable), las instrucciones SiteEdit no deben estar en el código HTML.
Depende del nivel de seguridad que requiera. En principio, su seguridad debe ser tan buena que no confíe en la "seguridad por oscuridad". Deberías haber modelado cada amenaza, y haberla entendido, y haber diseñado defensas inexpugnables.
En la vida real, esto es un poco más difícil de lograr, y la atención se centra más en lo que generalmente se describe como "seguridad en profundidad". En otras palabras, haces todo lo posible para tener defensas inexpugnables, pero si algunas disciplinas sencillas lo harán más difícil para tu atacante, asegúrate de hacer ese esfuerzo también. Hay muchas pruebas de que el primer paso en cualquier ataque es intentar enumerar qué tecnología está utilizando. Entonces, si hay exploits conocidos para esa tecnología, el atacante intentará usarlos. Además, si se conoce un exploit, los atacantes buscarán víctimas potenciales al buscar firmas de la tecnología comprometida.
La exposición de URI de TCM en su salida pública es tan buena como decirle a un atacante que está utilizando Tridion. Entonces, para el caso, está exponiendo el código SiteEdit. Si usa Tridion, es absolutamente innecesario hacer cualquiera de estas cosas. Simplemente puede mostrar un sitio web que no da pistas sobre su implementación. (La capacidad de evitar dar estas pistas será un requisito difícil para muchas organizaciones grandes que elijan un WCMS, y la fortaleza de Tridion en este aspecto puede ser una de las razones por las que la organización para la que trabaja eligió usarlo).
si bien no hay nada en un URI de TCM que por sí mismo cause un problema de seguridad, informa innecesariamente a los atacantes potenciales, por lo que sí, es un problema de seguridad. Las instituciones financieras, las organizaciones gubernamentales y las grandes corporaciones en general, esperarán que realice una implementación limpia que no brinde socorro a los malos.
Gracias Dominic. Tienes razón en que estamos facilitando la vida de los hackers de una sola vez, les decimos qué elementos utilizamos en el back-end. Frank también tiene razón en que no debemos hinchar el contenido html más de lo que debe ser. Intentaremos hacer esos cambios.Pero como Chris menciona a continuación, no existe una amenaza inmediata a menos que tenga otros problemas de seguridad que puedan violarse. – user1373140
- 1. jsse handshake_failure en público https sitio web
- 2. El iframe SSL está incrustado en otro sitio web
- 3. Cómo actualizar con seguridad un sitio web en vivo
- 4. Haciendo un código beta para un sitio público de django
- 5. ¿Cuánta seguridad realmente se necesita en un sitio web "privado"?
- 6. ¿Es web2py adecuado para un gran sitio web público?
- 7. Administración del sitio web: ¿está integrado en el sitio web principal o en una sección separada?
- 8. Problema con el registro de Python RotatingFileHandler en el sitio web de Django
- 9. Problema con el descriptor del sitio de Maven 3: desplegar el artefacto no funciona o el sitio no está construyendo
- 10. Seguridad del sitio web: ¿cómo aprender?
- 11. ¿Hay un sitio web público donde pueda probar el método POST?
- 12. Comportamiento extraño en el sitio web - El parámetro GET con un valor específico está causando que el sitio web redirija a 403
- 13. ser publicado con id TCM anexa con el nombre de la imagen
- 14. API's en el sitio web
- 15. Copia de seguridad del sitio web en PHP?
- 16. ¿Cómo asegurar la distribución empresarial de iOS utilizando oauth en un sitio web público?
- 17. DiagnosticMonitor en el sitio web de Azure
- 18. ¿Puedo ejecutar el código de MATLAB en un sitio web?
- 19. WCF problema de seguridad
- 20. NAnt MVC publica el sitio web
- 21. El sitio web está ejecutando un dll almacenado en caché de alguna manera después de cambiarlo
- 22. Mostrando el mapa del sitio en el resultado de búsqueda de Google
- 23. memcached ralentiza el sitio web
- 24. Mantenga un registro de quién está en el sitio web en este momento
- 25. TeamCity: problema con Publicar en el sitio de ASP.net
- 26. Malware en el sitio web de un cliente - Ideas?
- 27. vista web mostrando barra blanca en el lado derecho
- 28. ¿Hay algún problema con el uso de Sinatra para desarrollar un sitio web completo?
- 29. El sitio web devuelve 302 en lugar de 200
- 30. ID de tienda por defecto del sitio web magento
5 pregunta, ninguna respuesta aceptada. Recuerda marcar la respuesta correcta como aceptada una vez que te hayan ayudado. Definitivamente ayudará a otros miembros una vez que sean atrapados en algo similar. –
nunca se dio cuenta. Simplemente lo hizo. – user1373140
¿Quizás también podrías elegir una respuesta para esta? –