Devo evitare di distribuire i file package.json o bower.json in produzione?

4

So che è consigliabile nascondere le informazioni sulla versione del sistema operativo e del server quando si pubblicano pagine Web. Che dire delle informazioni sulla versione della libreria js contenute nei file package.json o bower.json? Sembra che questo potrebbe essere usato per creare attacchi osservando vulnerabilità note. Tuttavia, so che alla fine un utente può capirlo da solo guardando i file, quindi vale la pena?

EDIT: Sono anche interessato a ciò che è una pratica standard, indipendentemente dai problemi di sicurezza.

    
posta xdhmoore 09.03.2017 - 19:08
fonte

1 risposta

4

Permettere l'accesso al tuo pacchetto.json e file simili sarà un po 'di divulgazione di informazioni e come tale dovrebbe essere generalmente evitato. In uno scenario in cui una libreria JS aveva una vulnerabilità nota, lasciare questo accessibile nella web root consentirebbe agli aggressori di assemblare rapidamente un elenco di destinazioni valide.

È improbabile che si tratti di un problema di alto rischio, ma il principio generale di non fornire informazioni agli aggressori è valido, quindi direi che non dovrebbe essere messo in produzione in un formato accessibile agli utenti finali.

In termini di pratica standard per affrontare questo rischio. In genere, elimina questi file come parte del processo di distribuzione o utilizza qualcosa come .htaccess per impedirne l'accesso.

    
risposta data 10.03.2017 - 15:34
fonte

Leggi altre domande sui tag