我正在考虑dlls在我的 Web 应用程序的页脚中提供一个版本,比如数据库模式和业务逻辑。
这是建议吗?
是否有任何陷阱或如何做到最好的指示?
可用性问题?
我已经有一个用于架构和 dll 的版本方案,用于我的 CI 解决方案。
ChanChan
问问题
1756 次
3 回答
10
不要这样做。它向潜在的攻击者提供免费信息,使他们的工作更轻松。如果您的给定软件版本存在已知漏洞,则无需告诉他们。实际上有建立在谷歌之上的搜索引擎使用这种信息失禁来推动大规模的利用(例如 cDc 的Goolag 扫描仪)。
尽管这听起来像是默默无闻的安全(因为它是),但仍然建议让攻击者的工作尽可能困难。不泄露实现细节是重要的一步。当然,这只能是使网站更安全的努力的一部分。
于 2008-08-24T01:06:46.637 回答
6
我很喜欢这里所做的。如果你看向页面底部,有一段文字“由 eve community 提供支持”。如果您单击该文本,您将获得一小部分技术信息。
对我来说,这是在(有用的)信息随时可用(用于错误报告等)和必须让网站用户看到(不愉快的)技术术语之间的一个很好的权衡。
于 2008-08-24T00:48:37.913 回答
2
IMO,显示版本号的唯一原因是:
- 显示正在取得进展
- 为了帮助错误报告本地化到它们被发现的版本
因此,如果这些事情对您的错误报告很重要,那么请公开它们。如果没有,那就不要。
于 2008-08-24T00:40:47.790 回答