أتساءل عما إذا كانت الطريقة الحالية جيدة ومتسقة في:
- إخفاء معلومات إصدار nginx من الردود في الرأس، ولكن
- عرض الإصدار الدقيق ومستوى التصحيح الخاص بـ git في كود HTML المصدري لـ Discourse
إذا كان لدى شخص ما أداة آلية تبحث عن ثغرات أمنية غير مصححة، فسيكون من السهل نسبيًا إذا كان كود HTML المصدري يعرض الإصدار في وسم meta generator.
أقترح إزالة هذه المعلومات من الطلبات المجهولة على الأقل، وربما حتى من جميع عمليات الوصول غير الإدارية.
4 إعجابات
أعتبر هذا «أمانًا بالغموض» وهو ليس نوعًا حقيقيًا من الأمان على الإطلاق. من الأفضل توجيه الجهود نحو التقنيات التي تحسّن الأمان فعليًا.
إعجابَين (2)
بالتأكيد، يجب أن يكون التركيز على وجود نظام آمن، وليس على إخفاء الأخطاء.
تساءلت فقط عن سبب إخفاء إصدار nginx وعدم إخفاء إصدار التطبيق الرئيسي.
ولكن قد يكون الأمر يتعلق ببروتوكولي IMAP وSMTP أيضًا، هل يجب عرض إصداراتهما أيضًا أم إخفاؤها أو تغييرها.
IAmGav
(Gavin Perch)
4
قد يكون السبب أن nginx موجود داخل حاوية Docker؟
إعجاب واحد (1)