版本应该隐藏吗？

Kai_Kretschmann · 2021 年10 月 18 日 11:31

我想知道，目前这样做是否是一个良好且一致的方法：

如果 HTML 源代码在 meta generator 标签中显示版本号，那么如果有人使用自动化工具搜索未修复的安全漏洞，这将非常容易。

我建议至少从匿名请求中移除该信息，甚至从所有非管理员访问中移除。

codinghorror · 2021 年10 月 23 日 05:50

我认为这是“通过隐蔽实现安全”，这根本算不上真正的安全。最好将精力集中在能够真正提升安全性的技术上。

Kai_Kretschmann · 2021 年10 月 25 日 05:37

当然，重点应是建立一个安全的系统，而不是隐藏漏洞。

我只是好奇，为什么 nginx 的版本会被隐藏，而主应用程序的版本却没有。

但这也可能涉及到 IMAP 和 SMTP 协议的问题：是否应该显示这些协议的版本，还是将其隐藏或更改。

IAmGav · 2021 年10 月 25 日 17:50

这可能是因为 nginx 位于 Docker 容器内部？

话题		回复	浏览量
Show Discourse version on the /about page Feature	11	3034	2024 年5 月 11 日
Include version number in ‘Powered by Discourse’ UX powered-by-discourse	8	331	2024 年5 月 10 日
How about an easier way to determine version of Discourse by end user Feature	23	5459	2024 年5 月 11 日
Include version number of Discourse more visibly UX	21	1403	2023 年3 月 11 日
Remove Discourse meta tag Support	5	1704	2018 年12 月 24 日