È insicuro far sapere agli utenti quale framework sto usando?

Naviga le tue risposte
0

Supponiamo che io usi un framework X per costruire un gioco mobile, e il sito Web di X mi consente di inviare il nome dell'app che usa X per costruire. Ma ho il sospetto che dovrei inviare il nome della mia app perché permetterebbe agli utenti di sapere che la mia app sta usando X. Gli utenti possono sapere quale framework sto usando un problema di sicurezza?

    
posta ggrr 17.10.2016 - 06:20
fonte

4 risposte

3

La sicurezza attraverso l'oscurità non è sufficiente , ma può essere utilizzata aggregata ad altri meccanismi e pratiche di sicurezza. Ricorda sempre che la sicurezza del sistema non deve dipendere solo dalla segretezza dell'implementazione o dei suoi componenti.

Puoi conoscere molto bene il codice del framework, ma non puoi supporre che sia completamente sicuro. Nasconderlo non lo cambia, ma sicuramente può aggiungere una sicurezza in più, il che non significa che non ti debba interessare come viene implementato il codice perché è nascosto.

Evita librerie inutilizzate, mantieni il codice pulito e snello, convalida i dati di input e codifica i dati di output, autentifica le credenziali, controlla l'accesso, tratti i messaggi di errore del log, ecc. Ci sono molte buone pratiche da usare, perché nascondere solo il tuo codice non è sufficiente.

    
risposta data 17.10.2016 - 08:54
fonte
0

Lo descriverei come misura difensiva in profondità. Non è qualcosa su cui fare affidamento, ma se riesci a farla franca, potrebbe essere utile. Se un utente malintenzionato può identificare qualsiasi parte dello stack, potrebbe iniziare a cercare i punti deboli noti in esso e possibilmente sfruttarlo da lì.

Fare ciò aggiunge semplicemente più tempo e sforzi da parte dell'aggressore per trovare una vulnerabilità, se puoi renderlo abbastanza proibitivo allora un attaccante speculativo potrebbe annoiarsi e guardare altrove.

Quindi c'è un piccolo vantaggio, ma non scommetterei sul ranch da solo.

    
risposta data 17.10.2016 - 10:32
fonte
0

Innanzitutto, è sempre opportuno rivelare il minor numero possibile di informazioni a qualsiasi potenziale aggressore. Dovresti trovare le risposte ai seguenti punti per rispondere alla tua domanda:

  1. Quale record di sicurezza ha il tuo framework? Ci sono molti difetti conosciuti del passato? Gli sviluppatori di tale framework sono noti per le funzioni di favore sulla sicurezza?
  2. Quali sono i vantaggi di inviare la tua app sul loro sito web? È davvero importante per te?
  3. Segui da vicino le raccomandazioni per scrivere software sicuro? In altre parole: quanto impegno hai speso per rendere sicuro il tuo codice? È probabile che uno dei classici vettori di attacco funzioni nel tuo codice indipendentemente da qualsiasi framework?

La sicurezza della tua app dipende principalmente da 1 e 3, quindi questo è quello che dovresti guardare prima, IMHO.

    
risposta data 17.10.2016 - 11:33
fonte
0

Mi è stato insegnato a ridurre al minimo le informazioni fornite agli utenti. Indipendentemente da ciò, un attaccante dedicato troverà quale sistema stai usando in poco tempo.

In entrambi i casi l'utente malintenzionato dovrebbe cercare exploit comuni, ma renderebbe un po 'più difficile, se non stai dicendo, cosa stai usando. Forse questo potrebbe anche spaventare gli script kiddies.

    
risposta data 17.10.2016 - 11:37
fonte

Leggi altre domande sui tag

Quale è più sicuro? AMD DASH o Intel vPro Quanto velocemente SHA-1 può essere forzato bruto se usato con un segreto?