La versione dovrebbe essere nascosta?

Kai_Kretschmann · 18 Ottobre 2021, 11:31am

Mi chiedo se sia un modo valido e coerente attualmente:

nascondere le informazioni sulla versione di nginx nelle risposte dell’intestazione, ma
mostrare la versione esatta e il livello di patch git nel codice sorgente HTML di Discourse

Se qualcuno dispone di uno strumento automatizzato per la ricerca di vulnerabilità di sicurezza non patchate, è piuttosto facile se il codice sorgente HTML visualizza la versione nel tag meta generator.

Suggerirei di rimuovere tali informazioni almeno dalle richieste anonime, forse persino da tutti gli accessi non amministrativi.

codinghorror · 23 Ottobre 2021, 5:50am

Considero questo “sicurezza per oscurità”, che non è affatto una vera forma di sicurezza. È meglio concentrare gli sforzi su tecniche che migliorino effettivamente la sicurezza.

Kai_Kretschmann · 25 Ottobre 2021, 5:37am

Certo, l’obiettivo dovrebbe essere avere un sistema sicuro, non nascondere i bug.

Mi chiedevo solo perché la versione di nginx venga nascosta mentre quella dell’applicazione principale no.

Ma potrebbe essere anche una questione legata ai protocolli IMAP e SMTP: se sia opportuno mostrare anche le loro versioni o nasconderle/modificarle.

IAmGav · 25 Ottobre 2021, 5:50pm

potrebbe essere perché nginx è all’interno del contenitore Docker?

Argomento		Risposte	Visualizzazioni
Show Discourse version on the /about page Feature	11	3034	Maggio 11, 2024
Include version number in ‘Powered by Discourse’ UX powered-by-discourse	8	331	Maggio 10, 2024
How about an easier way to determine version of Discourse by end user Feature	23	5459	Maggio 11, 2024
Include version number of Discourse more visibly UX	21	1403	Marzo 11, 2023
Remove Discourse meta tag Support	5	1704	Dicembre 24, 2018

La versione dovrebbe essere nascosta?

Argomenti correlati