È buona norma nascondere il framework utilizzato in un'applicazione web?

7

A volte leggo di "nascondere il framework / le tecnologie utilizzate in un'applicazione web per motivi di sicurezza" ...

Ma perché? È un vero problema mostrare pubblicamente quali strumenti sto usando per creare un progetto?

Le grandi applicazioni web pubbliche come LinkedIn, Facebook e molti altri non nascondono le tecnologie utilizzate per le loro piattaforme, quindi perché dovrei?

C'è qualche altra ragione per farlo?

    
posta davioooh 01.09.2017 - 11:47
fonte

1 risposta

15

Nascondere il tuo framework non garantisce la sicurezza. Ma rende gli attacchi riusciti meno facili.

Anche supponendo che tutto il tuo software sia aggiornato, se trasmetti il fatto che stai utilizzando Technology vX.YZ e viene rilevato un problema di sicurezza con quella versione, gli hacker hanno una finestra di opportunità tra la divulgazione di tale vulnerabilità e installazione di aggiornamenti.

Per un'organizzazione professionale attenta alla sicurezza, non ci saranno servizi inutili esposti all'inizio e saranno in grado di applicare le patch vulnerabilità nel loro software molto rapidamente. La maggior parte di questo è sapere che c'è un problema, ovvero iscriversi alle mailing list appropriate del software che si sta utilizzando e tenersi aggiornati con CVE .

Ridurre al minimo le informazioni non necessarie sulle versioni del software riduce anche i rischi. Ma in realtà non impedisce nulla. Essere consapevoli che gli attacchi possono essere eseguiti in modo automatico e che le gamme IP dei provider di hosting e dei servizi cloud sono un obiettivo particolarmente promettente. Nota che esistono motori di ricerca come Shodan che possono cercare tecnologie e versioni specifiche se questi servizi si rivelano tramite metadati.

    
risposta data 01.09.2017 - 12:08
fonte

Leggi altre domande sui tag