在公共网站的 SiteEdit 指令中显示 TCM ID 是否存在安全问题?我的想法是这应该不是问题,因为 Tridion 位于防火墙后面。我想知道专家的意见。
3 回答
我想你在这里问错了问题。这些 SiteEdit 指令是否存在安全风险并不重要,它们应该只出现在您使用 SiteEdit 的发布目标上。在任何其他目标上,他们只是不必要地增加大小并公开与该目标的访问者无关的实现细节。
因此,除非您在公共网站上启用 SiteEdit(极不可能),否则 SiteEdit 说明不应出现在 HTML 中。
这取决于您需要的安全级别。原则上,您的安全性应该非常好,以至于您不依赖“默默无闻的安全性”。你应该为每一个威胁建模,理解它,并设计出坚不可摧的防御。
在现实生活中,这有点难以实现,重点更多地放在通常被描述为“深度安全”的东西上。换句话说,您尽最大努力拥有坚不可摧的防御,但如果一些直截了当的纪律会让您的攻击者更加困难,那么您也要确保您也努力做到这一点。有大量证据表明,任何攻击的第一步都是尝试列举您正在使用的技术。然后,如果该技术存在任何已知漏洞,攻击者将尝试使用它们。此外,如果已知漏洞利用,攻击者将通过搜索受感染技术的签名来搜索潜在受害者。
在面向公众的输出中公开 TCM URI 与告诉攻击者您正在使用 Tridion 一样好。因此,就此而言,就是公开 SiteEdit 代码。如果您使用 Tridion,则完全没有必要做这些事情。您可以简单地显示一个不提供有关其实施线索的网站。(避免给出这些线索的能力将是许多大型组织选择 WCMS 的硬性要求,而 Tridion 在这方面的实力可能是您所在的组织选择使用它的原因之一。)
因此,虽然 TCM URI 中没有任何内容本身会导致安全问题,但它会不必要地向潜在的攻击者提供信息,所以是的,这是一个安全问题。金融机构、政府组织和一般的大公司会期望你做一个干净的实施,不会帮助坏人。
我认为它并没有真正提出问题。如果防火墙中有可能被破坏的漏洞,攻击者可能会找到一种方法来通过。防火墙后面有一个 Tridion CMS 安装的事实有点无关紧要。
无论您的源代码中是否包含 URI,您的实现都应该得到足够的保护,以使通过知道您拥有 Tridion CMS 获得的知识对黑客来说毫无价值。