L'esposizione dei dati sulle prestazioni del sito Web è un rischio per la sicurezza?

8

Attualmente sto aggiungendo un sito secondario ad alcuni siti Web che mi consente di monitorare i dati sulle prestazioni dal vivo mentre il software server lo percepisce. I dati sono per lo più come quantità di memoria utilizzata, memoria allocata, memoria liberata durante l'ultima garbage collection, parallelismo, uptime, ecc. I messaggi di errore, i log, la versione del software ecc. Non fanno parte dei dati.

Una parte dei miei visitatori è un po 'geek, quindi ho pensato che potesse essere interessante per loro se avessi esposto il sito secondario invece di nasconderlo dietro un account amministratore.

Ciò di cui non sono sicuro sono le implicazioni per la sicurezza. Ho individuato due rischi: i dati potrebbero aiutare a fare attacchi ddos (le informazioni su tempistica e risultati sono proprio lì) e potrebbero esporre idee molto approssimative sul comportamento dei visitatori a "concorrenti".

Ma ho la sensazione di non essere abbastanza creativo (e non abbastanza intelligente da trovare buone parole su google). In che modo gli aggressori hanno usato tali informazioni in passato?

    
posta MarLinn 27.02.2016 - 23:38
fonte

1 risposta

13

Quindi devo ammettere che la mia prima reazione è stata "Non lo farei mai". Questo, tuttavia, potrebbe essere più perché io, storicamente, non mi piace far sapere a nessuno di cosa non è necessario, piuttosto che per motivi di sicurezza reali.

Detto ciò, le uniche questioni di sicurezza a cui posso pensare sono piuttosto limitate e abbastanza esoteriche. potrebbe essere usato per trovare un vettore DoS o DDoS, se a) un attaccante si sforza di profilare la tua app, e b) capita di imbattersi nell'azione esatta richiesta per sottolineare le tue risorse e c) si presenta in modo definitivo, o almeno ragionevolmente sulla tua segnalazione. Detto questo, è molto più semplice comprare un po 'di tempo su una botnet e lanciare un po' di traffico verso di te, quindi il vero rischio derivante dai dati perf è probabilmente piuttosto basso. L'unica eccezione potrebbe essere se un rapido sguardo ai dati mostra che il tuo sito è già sotto stress, o soffre facilmente sotto carico. Se pubblicizzava significative debolezze nel mondo, allora è ipotizzabile che qualcuno possa agire maliziosamente su tali informazioni.

Per quanto riguarda la minaccia dei concorrenti, spetta a te misurare quanti rischi sono realmente. Certianamente molti siti pubblicano i loro numeri di traffico, e per alcuni è abbastanza importante farlo per attirare gli inserzionisti, quindi, a meno che non si abbiano motivi specifici per voler mantenere i numeri nascosti, potrebbe non essere un grosso problema. Anche il server perf non è l'unico modo, o anche il modo migliore per stimare il traffico, se non le tendenze generali di up / down.

Quindi, anche se non sono pronto a sottoscriverlo come una grande idea, il rischio reale per la sicurezza è probabilmente basso.

    
risposta data 28.02.2016 - 00:22
fonte

Leggi altre domande sui tag