A versão deve ser oculta?

Kai_Kretschmann · Outubro 18, 2021, 11:31am

Eu me pergunto se é uma boa e consistente maneira atualmente:

ocultar as informações da versão do nginx nas respostas no cabeçalho, mas
exibir a versão exata e o nível de patch do git no código-fonte HTML do Discourse

Se alguém tiver uma ferramenta automatizada procurando por problemas de segurança não corrigidos, fica bastante fácil se o código-fonte HTML exibir a versão na tag meta generator.

Eu sugeriria remover essas informações de solicitações anônimas, pelo menos, talvez até de todos os acessos não administrativos.

codinghorror · Outubro 23, 2021, 5:50am

Considero isso “segurança por obscuridade”, que não é de fato um tipo real de segurança. É melhor concentrar os esforços em técnicas que realmente melhorem a segurança.

Kai_Kretschmann · Outubro 25, 2021, 5:37am

Claro, o foco deve ser ter um sistema seguro, não esconder os bugs.

Só fiquei me perguntando por que a versão do nginx é ocultada, mas a versão do aplicativo principal não.

Mas, então, pode ser até uma questão relacionada aos protocolos IMAP e SMTP: se devemos exibir essas versões também ou ocultá-las/mudá-las.

IAmGav · Outubro 25, 2021, 5:50pm

pode ser porque o nginx está dentro do contêiner Docker?

Tópico		Respostas	Visualizações
Show Discourse version on the /about page Feature	11	3034	11 de Maio de 2024
Include version number in ‘Powered by Discourse’ UX powered-by-discourse	8	331	10 de Maio de 2024
How about an easier way to determine version of Discourse by end user Feature	23	5459	11 de Maio de 2024
Include version number of Discourse more visibly UX	21	1403	11 de Março de 2023
Remove Discourse meta tag Support	5	1704	24 de Dezembro de 2018

A versão deve ser oculta?

Tópicos relacionados