Se hai questo problema con Y,
it is wrong to return a 404 when the resource does not exist because this helps to enumerate the existing resources.
quindi questo significa che hai questo problema con X:
L'enumerazione delle risorse dovrebbe essere prevenuta .
Questo a sua volta potrebbe influenzare tutte le risorse o solo le risorse non autenticate. In altre parole, potresti essere in grado di mitigare il problema richiedendo l'autenticazione prima di richiedere una determinata risorsa.
Altrimenti, potresti rendere difficile indovinare la risorsa e implementare una sorta di rilevamento dello scanner (è sufficiente memorizzare le risorse che ottengono 404'ed da quale rete per un po 'di tempo potrebbe essere sufficiente. Potresti forse scaricare il problema su un'installazione di fail2ban ).
Il problema come detto ha poco senso perché non è possibile restituire una risorsa valida se ne è stata richiesta una non valida; in generale, non è possibile creare risorse sensibili e credibili dal nulla! Quindi sempre sarà un modo per distinguere tra risorse esistenti e risorse che non lo fanno. Certo, fornire le informazioni in un'intestazione di stato HTTP rende le cose più semplici per l'aggressore, ma rende anche le cose più facili per tu .
In alcuni casi potresti essere in grado di sintetizzare una risorsa inesistente. Ad esempio, dì che offri qualcosa di simile a un servizio di avatar. Quindi /users/lserni/avatar.png potrebbe restituire la mia immagine, mentre /users/someoneelse/avatar.png potrebbe restituire un'immagine casuale generata usando "qualcunoelse" come seme casuale, in modo che lo stesso qualcun altro riceva sempre lo stesso PNG. Ma come vedi, questo tipo di approccio richiede una conoscenza specifica del dominio, non ci può essere una regola valida per tutti.