सार्वजनिक वेबसाइट पर साइट एडिट निर्देश पर टीसीएम आईडी एक सुरक्षा समस्या दिखा रहा है? मेरे विचार यह एक मुद्दा नहीं होना चाहिए क्योंकि ट्राइडन फ़ायरवॉल के पीछे है। मैं विशेषज्ञों की राय जानना चाहता हूं।सार्वजनिक वेबसाइट पर एक सुरक्षा समस्या पर टीसीएम आईडी दिखा रहा है?
उत्तर
मैं तर्क दूंगा कि यह वास्तव में कोई समस्या नहीं पेश करता है। अगर फ़ायरवॉल में छेद हैं जिनका उल्लंघन किया जा सकता है, तो हमलावर को बिना किसी पर ध्यान देने का तरीका मिल सकता है। तथ्य यह है कि फ़ायरवॉल के पीछे एक ट्रिडियन सीएमएस स्थापना कुछ हद तक अप्रासंगिक है।
चाहे आपके पास अपने स्रोत कोड में यूआरआई हों या नहीं, आपके कार्यान्वयन को पर्याप्त रूप से सुरक्षित किया जाना चाहिए ताकि यह जानकर प्राप्त किया जा सके कि आपके पास ट्राइडियन सीएमएस है, तो हैकर के लिए कोई मूल्य नहीं है।
मुझे लगता है कि आप यहां गलत सवाल पूछ रहे हैं। यह महत्वपूर्ण नहीं है कि साइट एडिट निर्देश एक सुरक्षा जोखिम हैं, वे केवल प्रकाशन लक्ष्य (ओं) पर मौजूद होना चाहिए जहां आप SiteEdit का उपयोग करते हैं। किसी भी अन्य लक्ष्य पर वे केवल आकार को बढ़ाते हैं और कार्यान्वयन विवरण का पर्दाफाश करते हैं जो उस लक्ष्य के आगंतुकों के लिए प्रासंगिक नहीं हैं।
तो जब तक आप अपनी सार्वजनिक वेब साइट (अत्यधिक संभावना नहीं) पर SiteEdit सक्षम SiteEdit निर्देश HTML में नहीं होना चाहिए।
यह आपकी आवश्यक सुरक्षा के स्तर पर निर्भर करता है। सिद्धांत रूप में, आपकी सुरक्षा इतनी अच्छी होनी चाहिए कि आप "अस्पष्टता से सुरक्षा" पर भरोसा न करें। आपको हर खतरे का मॉडल करना चाहिए था, और इसे समझना चाहिए, और अपरिवर्तनीय रक्षा तैयार की जानी चाहिए।
वास्तविक जीवन में, यह हासिल करना थोड़ा कठिन होता है, और आमतौर पर "गहराई में सुरक्षा" के रूप में वर्णित फ़ोकस पर अधिक ध्यान केंद्रित किया जाता है। दूसरे शब्दों में, आप अपरिवर्तनीय रक्षा के लिए अपना सर्वश्रेष्ठ प्रयास करते हैं, लेकिन यदि कुछ सरल विषयों से आपके हमलावर के लिए यह अधिक कठिन हो जाएगा, तो आप सुनिश्चित करते हैं कि आप उस प्रयास पर भी जाएं। इस बात का बहुत सारे सबूत हैं कि किसी भी हमले में पहला कदम यह है कि आप किस तकनीक का उपयोग कर रहे हैं, इसकी गणना करने का प्रयास करें। फिर यदि उस तकनीक के लिए कोई ज्ञात शोषण है, तो हमलावर उनका उपयोग करने का प्रयास करेगा। इसके अलावा, यदि कोई शोषण ज्ञात हो जाता है, तो हमलावर समझौता तकनीक के हस्ताक्षर खोजकर संभावित पीड़ितों की खोज करेंगे।
आपके सार्वजनिक सामना करने वाले आउटपुट में टीसीएम यूआरआई का खुलासा करना हमलावर को बता रहा है कि आप ट्राइडियन का उपयोग कर रहे हैं। तो, उस मामले के लिए, SiteEdit कोड का खुलासा कर रहा है। यदि आप ट्राइडियन का उपयोग करते हैं, तो इन चीजों में से किसी एक को करने के लिए यह बिल्कुल अनावश्यक है। आप बस एक ऐसी वेबसाइट प्रदर्शित कर सकते हैं जो इसके कार्यान्वयन के बारे में कोई संकेत न दे। (इन संकेतों को देने से बचने की क्षमता डब्ल्यूसीएमएस चुनने वाले कई बड़े संगठनों के लिए एक कठिन आवश्यकता होगी, और इस संबंध में ट्रिडियन की ताकत एक कारण हो सकती है कि आप जिस संगठन का उपयोग करने के लिए काम करते हैं, वह हो सकता है।)
तो जबकि टीसीएम यूआरआई में कुछ भी नहीं है, जो स्वयं सुरक्षा समस्या का कारण बनता है, यह अनावश्यक रूप से संभावित हमलावरों को जानकारी देता है, इसलिए हाँ, यह एक सुरक्षा समस्या है। वित्तीय संस्थान, सरकारी संगठन, और सामान्य रूप से बड़े निगम, आपको एक स्वच्छ कार्यान्वयन करने की उम्मीद करेंगे जो बुरे लोगों को कोई सहायता नहीं देता है।
धन्यवाद डोमिनिक। आप सही हैं कि हम एक कदम से हैकर जीवन को आसान बना रहे हैं, उन्हें बताएं कि हम बैकएंड में किस डब्ल्यूसीएमएस का उपयोग कर रहे हैं। फ्रैंक भी सही है कि हमें एचटीएमएल सामग्री को और अधिक नहीं करना चाहिए जो इसकी जरूरत है। हम उन परिवर्तनों को करने की कोशिश करेंगे।लेकिन जैसा कि क्रिस ने नीचे बताया है, तब तक कोई तत्काल खतरा नहीं है जब तक कि आपके पास अन्य सुरक्षा समस्याएं न हों जिनका उल्लंघन किया जा सके। – user1373140
- 1. छवियाँ टीसीएम आईडी छवि नाम
- 2. Google मानचित्र पर टेक्स्ट दिखा रहा है
- 3. "निजी" वेबसाइट पर वास्तव में कितनी सुरक्षा की आवश्यकता है?
- 4. सुरक्षा एक वेबसाइट का परीक्षण
- 5. एक वेबसाइट पर मापन
- 6. एक संवाद दिखा रहा है और अभी भी पृष्ठभूमि पर क्लिक प्रदान कर रहा है?
- 7. संदेश दिखा रहा है माउसडाउन पर बॉक्स माउसअप इवेंट
- 8. स्थिर फ़ंक्शन पर घातक त्रुटि क्यों दिखा रहा है
- 9. दिखा रहा है, छिपा रहा है, फिर लेआउट ब्रेक को फिर से दिखा रहा है घटनाक्रम
- 10. एक छिपी QTableView कॉलम दिखा रहा है
- 11. उत्पादन सर्वर पर रेल सुरक्षा
- 12. डायलॉगफ्रैगमेंट्स दिखा रहा है आईसीएस
- 13. एसडब्ल्यूटी - एक व्यस्त कर्सर दिखा रहा है
- 14. वेबसाइट पर पाइथन मैकेनाइजेशन
- 15. एक चीनी नेटवर्क पर परीक्षण वेबसाइट
- 16. एएसपीनेट सत्र आईडी पोस्टबैक पर बदल रहा है?
- 17. एचटीटीपीएस वेबसाइट पर यूट्यूब इफ्रेम
- 18. ट्रेलो टोकन सुरक्षा समस्या?
- 19. मेरी वेबसाइट पर
- 20. फ़ायरफ़ॉक्स वेबसाइट्स सुरक्षा समस्या
- 21. तस्वीरें दिखा रहा है मेमोरी
- 22. क्यों सार्वजनिक ऑब्जेक्ट पर लॉक करना एक बुरा विचार है
- 23. वेबसाइट पर एपीआई
- 24. एक अत्यधिक गतिशील वेबसाइट पर साइटमैप
- 25. Intent.ACTION_CALL समस्या (सुरक्षा अपवाद)
- 26. एक सर्वेक्षण वेबसाइट पर कई पंजीकरण रोकें
- 27. AdWhirl AdMob विज्ञापन नहीं दिखा रहा है
- 28. डब्ल्यूसीएफ सुरक्षा बाध्यकारी समस्या
- 29. एक geo पर मार्कर दिखा रहा है: एंड्रॉइड मैप्स में -url
- 30. QGraphicsScene पर एक पॉपअप मेनू दिखा रहा है या क्लिक करें
5 प्रश्न, कोई भी उत्तर स्वीकार नहीं किया गया। कृपया, सहायता मिलने के बाद स्वीकार किए गए सही उत्तर को चिह्नित करना याद रखें। एक बार जब वे कुछ समान में फंस जाते हैं तो यह निश्चित रूप से अन्य सदस्यों की सहायता करेगा। –
इसे कभी महसूस नहीं किया। बस कर दिया। – user1373140
शायद आप इसके लिए उत्तर भी चुन सकते हैं? –