affiche TCM ID sur l'instruction SiteEdit sur le site Web de la sécurité? Mes pensées sont que cela ne devrait pas être un problème car Tridion est derrière le pare-feu. Je veux connaître l'opinion des experts.
3 Réponses :
Je pense que vous posez la mauvaise question ici. Il n'est pas important de savoir si ces instructions de site sont un risque de sécurité, ils ne devraient être présents que sur la ou les cible (s) de publication que sur place. Sur toute autre cible, ils augmentent simplement la taille et exposent les détails de la mise en œuvre qui ne sont pas pertinents pour les visiteurs de cette cible.
Donc, à moins que vous ne activiez SITEEDIT sur votre site Web public ( hautement improbable ), les instructions de site doivent ne pas être dans le HTML.
Cela dépend du niveau de sécurité dont vous avez besoin. En principe, votre sécurité devrait être si bonne que vous ne comptez pas sur «Sécurité par obscurité». Vous auriez dû modéliser chaque menace et compris et conçue des défenses imprenables.
Dans la vie réelle, c'est un peu plus difficile à atteindre, et l'accent est mis sur ce qui est généralement décrit comme "sécurité en profondeur". En d'autres termes, vous faites de votre mieux pour avoir des défenses imprenables, mais si certaines disciplines simples le rendent plus difficile pour votre attaquant, vous vous assurez que vous allez également à cet effort. Il y a beaucoup de preuves que la première étape de toute attaque est d'essayer d'énumérer la technologie que vous utilisez. Ensuite, s'il existe des exploits connus pour cette technologie, l'attaquant tentera de les utiliser. En outre, si un exploit est connu, les attaquants rechercheront des victimes potentielles en recherchant des signatures de la technologie compromise.
Exposer les URI de TCM dans votre sortie en fonction publique est aussi bonne que de dire à un attaquant que vous utilisez Tridion. Ainsi, à cette affaire, expose le code de site. Si vous utilisez Tridion, il est totalement inutile de faire l'une ou l'autre de ces choses. Vous pouvez simplement afficher un site Web qui ne donne aucune indication sur sa mise en œuvre. (La capacité d'éviter de donner à ces indices sera une exigence difficile pour de nombreuses grandes organisations qui choisissent une CMA et la force de Tridion à cet égard peut être l'une des raisons pour lesquelles l'organisation que vous travaillez pour l'utiliser.)
Donc, alors qu'il n'y ait rien dans une URI de TCM qui cause de lui-même un problème de sécurité, il fournit inutilement des informations à des attaquants potentiels, alors oui, c'est une question de sécurité. Les institutions financières, les organisations gouvernementales et les grandes entreprises en général, s'attendront à ce que vous fassiez une mise en œuvre propre qui ne donne aucun secours aux méchants.
Merci Dominic. Vous avez raison que nous faisons facilement la vie des pirates sur les pirates de pirates, par exemple, c'est leur dire ce que WCMS nous utilisons dans le backend. Frank a raison aussi que nous ne devrions pas bloquer le contenu HTML plus que ce que c'est nécessaire. Nous allons essayer de faire ces changements. Mais comme Chris mentionné ci-dessous, il n'y a pas de menace immédiate à moins que vous n'ayez d'autres problèmes de sécurité pouvant être violés.
Je dirais que cela ne présente pas vraiment de problème. S'il y a des trous dans le pare-feu pouvant être enfreint, un attaquant peut trouver un moyen de passer à travers même. Le fait qu'il existe une installation de Tridion CMS derrière le pare-feu est un peu non négligeant.
Que vous ayez les URI dans votre code source ou non, votre implémentation doit être suffisamment sécurisée que les connaissances acquises en sachant que vous avez un Tridion CMS n'est pas une valeur sur un pirate informatique.
5 question, aucune réponse acceptée. S'il vous plaît, rappelez-vous de marquer la bonne réponse comme acceptée une fois que vous avez été aidée. Cela aidera définitivement les autres membres une fois qu'ils se sont bloqués dans quelque chose de similaire.
ne le réalisa jamais. Je viens de le faire.
Peut-être que vous pourriez aussi choisir une réponse pour celui-ci?