Di solito si consiglia, quando si vuole proteggere un'applicazione, di "fornire" come poche informazioni, o meglio ancora, nessuna informazione a utenti non autorizzati (possibilmente malevoli). Sto pensando a informazioni come OS, versione dell'app, ecc.
La mia domanda è la seguente:
Ho un'applicazione web che consente l'accesso solo da specifici IP, il resto del mondo riceve una risposta Proibita HTTP. Mi stavo chiedendo, nel contesto della sicurezza di cui sopra, c'è qualcosa di sbagliato? Voglio dire, suppongo che un intruso possa sapere che un server HTTP è in esecuzione ma non sarebbe in grado di accedervi.
C'è un problema di sicurezza a causa di questo? Potrebbe essere migliorato in qualche modo?
UPDATE:
Sto anche utilizzando l'autenticazione tramite nome utente e password ma se l'IP di origine non è nella lista consentita non viene visualizzata la pagina di richiesta di nome utente / password. Appena proibito