Come puoi vedere dal tag, so che sicurezza per oscurità non è una vera sicurezza.
Considerare quindi un server disponibile su Internet sulla porta 443 (SSL) di un indirizzo IP fisso nell'intervallo di connessione remota di un provider di telecomunicazioni. Quando viene visualizzato https, mostra una pagina di benvenuto IIS 8 . Il server può essere raggiunto solo tramite indirizzo IP, nessuna voce DNS (tranne la normale voce ip-<ip>.customers.provider.com
impostata per OGNI indirizzo IP nell'intervallo del provider). L'indirizzo IP è memorizzato negli account di posta di Windows Phone, iOS e dispositivi Android e inserito dai browser con Google, Bing e Yahoo auto-search, quindi tecnicamente noti a Google, Apple, Yahoo e Microsoft, e possibilmente altri fornitori di applicazioni di terze parti se questi possono accedere alle impostazioni dell'account di posta dalle loro applicazioni.
Inoltre è usato per navigare in Internet e scrivere e-mail, e viene memorizzato in molti registri server, ecc. ecc., e specialmente sui siti dove si deve accedere, come Stack Exchange, è facile vedere che è un indirizzo IP fisso, poiché l'indirizzo IP è sempre stato legato allo stesso nome utente negli ultimi due anni.
Su quel server IIS, OWA e ActiveSync sono in esecuzione. Entrambi sono necessari per accedere alla posta da qualsiasi luogo. Queste sono le applicazioni che mi aspetterei da un server IIS e provo prima quando vedo una pagina di benvenuto IIS.
Oltre a fare regolarmente aggiornamenti su Windows / Exchange, usando password complesse, introducendo tutti i dipendenti ai concetti di phishing e social engineering e sperando che la nostra e-mail non sia abbastanza interessante da giustificare un attacco vero e proprio diretto contro di noi, potrebbe ha senso "proteggere" il server modificando la pagina restituita su una richiesta HTTPS "nuda" a una pagina indistinguibile (incluse tutte le intestazioni) da "Funziona!" Pagina Apache?
Potrei usare alcune argomentazioni ottimistiche che un amministratore delegato, che ha avuto questa idea in primo luogo, potrebbe capire.
EDIT: No, non ho bisogno di ottenere il supporto della direzione per la sicurezza. L'amministratore delegato sembra già preoccuparsi per la sicurezza, altrimenti non avrebbe idea di "miglioramento". Non sono un ragazzo di sicurezza con certificati e tutto, solo un cittadino interessato, principalmente sviluppatore, amministratore di server part-time. La nostra azienda non ha un vero ragazzo di sicurezza; siamo in quattro adesso.
Poiché eseguo l'amministrazione del server part time, mi è stato chiesto di cambiare il server. Ma prima di approfondire le informazioni su come modificare le intestazioni predefinite in IIS, vorrei mettere in discussione l'intero "progetto" ...