सार्वजनिक वेबसाइट पर साइट एडिट निर्देश पर टीसीएम आईडी एक सुरक्षा समस्या दिखा रहा है? मेरे विचार यह एक मुद्दा नहीं होना चाहिए क्योंकि ट्राइडन फ़ायरवॉल के पीछे है। मैं विशेषज्ञों की राय जानना चाहता हूं।सार्वजनिक वेबसाइट पर एक सुरक्षा समस्या पर टीसीएम आईडी दिखा रहा है?
मैं तर्क दूंगा कि यह वास्तव में कोई समस्या नहीं पेश करता है। अगर फ़ायरवॉल में छेद हैं जिनका उल्लंघन किया जा सकता है, तो हमलावर को बिना किसी पर ध्यान देने का तरीका मिल सकता है। तथ्य यह है कि फ़ायरवॉल के पीछे एक ट्रिडियन सीएमएस स्थापना कुछ हद तक अप्रासंगिक है।
चाहे आपके पास अपने स्रोत कोड में यूआरआई हों या नहीं, आपके कार्यान्वयन को पर्याप्त रूप से सुरक्षित किया जाना चाहिए ताकि यह जानकर प्राप्त किया जा सके कि आपके पास ट्राइडियन सीएमएस है, तो हैकर के लिए कोई मूल्य नहीं है।
मुझे लगता है कि आप यहां गलत सवाल पूछ रहे हैं। यह महत्वपूर्ण नहीं है कि साइट एडिट निर्देश एक सुरक्षा जोखिम हैं, वे केवल प्रकाशन लक्ष्य (ओं) पर मौजूद होना चाहिए जहां आप SiteEdit का उपयोग करते हैं। किसी भी अन्य लक्ष्य पर वे केवल आकार को बढ़ाते हैं और कार्यान्वयन विवरण का पर्दाफाश करते हैं जो उस लक्ष्य के आगंतुकों के लिए प्रासंगिक नहीं हैं।
तो जब तक आप अपनी सार्वजनिक वेब साइट (अत्यधिक संभावना नहीं) पर SiteEdit सक्षम SiteEdit निर्देश HTML में नहीं होना चाहिए।
यह आपकी आवश्यक सुरक्षा के स्तर पर निर्भर करता है। सिद्धांत रूप में, आपकी सुरक्षा इतनी अच्छी होनी चाहिए कि आप "अस्पष्टता से सुरक्षा" पर भरोसा न करें। आपको हर खतरे का मॉडल करना चाहिए था, और इसे समझना चाहिए, और अपरिवर्तनीय रक्षा तैयार की जानी चाहिए।
वास्तविक जीवन में, यह हासिल करना थोड़ा कठिन होता है, और आमतौर पर "गहराई में सुरक्षा" के रूप में वर्णित फ़ोकस पर अधिक ध्यान केंद्रित किया जाता है। दूसरे शब्दों में, आप अपरिवर्तनीय रक्षा के लिए अपना सर्वश्रेष्ठ प्रयास करते हैं, लेकिन यदि कुछ सरल विषयों से आपके हमलावर के लिए यह अधिक कठिन हो जाएगा, तो आप सुनिश्चित करते हैं कि आप उस प्रयास पर भी जाएं। इस बात का बहुत सारे सबूत हैं कि किसी भी हमले में पहला कदम यह है कि आप किस तकनीक का उपयोग कर रहे हैं, इसकी गणना करने का प्रयास करें। फिर यदि उस तकनीक के लिए कोई ज्ञात शोषण है, तो हमलावर उनका उपयोग करने का प्रयास करेगा। इसके अलावा, यदि कोई शोषण ज्ञात हो जाता है, तो हमलावर समझौता तकनीक के हस्ताक्षर खोजकर संभावित पीड़ितों की खोज करेंगे।
आपके सार्वजनिक सामना करने वाले आउटपुट में टीसीएम यूआरआई का खुलासा करना हमलावर को बता रहा है कि आप ट्राइडियन का उपयोग कर रहे हैं। तो, उस मामले के लिए, SiteEdit कोड का खुलासा कर रहा है। यदि आप ट्राइडियन का उपयोग करते हैं, तो इन चीजों में से किसी एक को करने के लिए यह बिल्कुल अनावश्यक है। आप बस एक ऐसी वेबसाइट प्रदर्शित कर सकते हैं जो इसके कार्यान्वयन के बारे में कोई संकेत न दे। (इन संकेतों को देने से बचने की क्षमता डब्ल्यूसीएमएस चुनने वाले कई बड़े संगठनों के लिए एक कठिन आवश्यकता होगी, और इस संबंध में ट्रिडियन की ताकत एक कारण हो सकती है कि आप जिस संगठन का उपयोग करने के लिए काम करते हैं, वह हो सकता है।)
तो जबकि टीसीएम यूआरआई में कुछ भी नहीं है, जो स्वयं सुरक्षा समस्या का कारण बनता है, यह अनावश्यक रूप से संभावित हमलावरों को जानकारी देता है, इसलिए हाँ, यह एक सुरक्षा समस्या है। वित्तीय संस्थान, सरकारी संगठन, और सामान्य रूप से बड़े निगम, आपको एक स्वच्छ कार्यान्वयन करने की उम्मीद करेंगे जो बुरे लोगों को कोई सहायता नहीं देता है।
धन्यवाद डोमिनिक। आप सही हैं कि हम एक कदम से हैकर जीवन को आसान बना रहे हैं, उन्हें बताएं कि हम बैकएंड में किस डब्ल्यूसीएमएस का उपयोग कर रहे हैं। फ्रैंक भी सही है कि हमें एचटीएमएल सामग्री को और अधिक नहीं करना चाहिए जो इसकी जरूरत है। हम उन परिवर्तनों को करने की कोशिश करेंगे।लेकिन जैसा कि क्रिस ने नीचे बताया है, तब तक कोई तत्काल खतरा नहीं है जब तक कि आपके पास अन्य सुरक्षा समस्याएं न हों जिनका उल्लंघन किया जा सके। – user1373140
5 प्रश्न, कोई भी उत्तर स्वीकार नहीं किया गया। कृपया, सहायता मिलने के बाद स्वीकार किए गए सही उत्तर को चिह्नित करना याद रखें। एक बार जब वे कुछ समान में फंस जाते हैं तो यह निश्चित रूप से अन्य सदस्यों की सहायता करेगा। –
इसे कभी महसूस नहीं किया। बस कर दिया। – user1373140
शायद आप इसके लिए उत्तर भी चुन सकते हैं? –