在公共网站上的SiteEdit指令上显示TCM ID是否存在安全问题?我的想法是它不应该是一个问题,因为Tridion在防火墙后面。我想知道专家的意见。
答案 0 :(得分:7)
我想你在这里问错了。这些SiteEdit指令是否存在安全风险并不重要,它们应仅存在于使用SiteEdit的发布目标上。在任何其他目标上,他们只是不必要地增加大小并暴露与该目标的访问者无关的实现细节。
因此,除非您在公共网站上启用SiteEdit( 极不可能 ),否则SiteEdit说明不应位于HTML中。
答案 1 :(得分:5)
这取决于您需要的安全级别。原则上,您的安全性应该非常好,以至于您不依赖于“默默无闻”。你应该模仿每一个威胁,并理解它,并设计坚不可摧的防御。
在现实生活中,这有点难以实现,重点更多地放在通常所说的“深度安全”上。换句话说,你尽最大努力拥有坚不可摧的防御,但是如果一些直截了当的规则会让你的攻击者更加困难,那么你也要确保你也能做到这一点。有大量证据表明,任何攻击的第一步都是试图列举您正在使用的技术。然后,如果该技术存在任何已知漏洞,攻击者将尝试使用它们。此外,如果漏洞利用已知,攻击者将通过搜索受损技术的签名来搜索潜在的受害者。
在面向公众的输出中公开TCM URI就像告诉攻击者你正在使用Tridion一样好。因此,就此而言,是暴露SiteEdit代码。如果你使用Tridion,完全没必要做这些事情。您只需显示一个网站,该网站不提供有关其实施的线索。 (对于许多选择WCMS的大型组织而言,避免提供这些线索的能力将是一项艰难的要求,而Tridion在这方面的优势可能是您所工作的组织选择使用它的原因之一。)
因此,虽然TCM URI中没有任何内容本身会导致安全问题,但它会不必要地向潜在的攻击者提供信息,所以是的,这是一个安全问题。一般而言,金融机构,政府组织和大型企业都希望你做一个干净的实施,不给坏人提供任何帮助。
答案 2 :(得分:3)
我认为它并没有真正提出问题。如果防火墙中存在可以破坏的漏洞,攻击者可能会找到一种方法来解决问题。在防火墙后面安装Tridion CMS的事实有点无关紧要。
无论您的源代码中是否包含URI,您的实施都应该得到足够的保护,以便通过了解您拥有Tridion CMS获得的知识对黑客没有任何价值。