Quali sono i rischi dell'esecuzione di Team Foundation Server su HTTP?

2

se TFS è installato utilizzando HTTP ma è accessibile solo da una LAN con autenticazione di Windows, è possibile che un utente impersoni qualcun altro? quali sono gli altri rischi?

    
posta Paolo Vigori 27.10.2015 - 12:19
fonte

2 risposte

1

Dipende dalla sicurezza della tua LAN. Se si dispone di protezioni complete contro gli attacchi man-in-the-middle (ad es. Protezione contro lo spoofing ARP, DNS o DHCP), contro lo sniffing passivo su tutta la rete (mirror port switch) e anche lo sniffing sulla macchina locale, allora potrebbe essere sufficiente, cioè almeno non meno sicuro quindi con HTTPS. Se non fosse possibile la rappresentazione.

    
risposta data 27.10.2015 - 13:37
fonte
0

Risposta breve, Sì, è possibile.

Risposta lunga,   Questo è anche possibile senza HTTP, (come con HTTPS) ma quando il tuo TFS-server è in esecuzione su una macchina che può solo contattare la rete interna.

E la rete è protetta come suggeriscono @ steffen-ullrich. Di quanto solo l'attaccante determinato può impersonare un altro.

La cosa che devi chiederti è "quando c'è abbastanza protezione per me", o "Quando i rischi di un compromesso sono abbastanza bassi, così posso vivere con esso."

Spesso le aziende che si proteggono da questo tipo di minacce sono l'impiego di IDS e altre tecniche di monitoraggio della rete. In questo modo hanno saputo quando qualcuno sta cercando di ingannare il sistema e può intervenire quando succede.

    
risposta data 27.10.2015 - 15:36
fonte

Leggi altre domande sui tag