Permetti l'accesso in sola lettura alle pagine sul lato server per la revisione della sicurezza?

0

Questa risposta:

link

Menziona il problema della sicurezza basata su host. Per l'utente finale, il server Web è una scatola nera non controllabile.

Fornirebbe la trasparenza necessaria per rendere affidabile la sicurezza basata su host se gli utenti potessero leggere il codice lato server attivo che esegue il sito?

Quindi, ad esempio, oltre all'accesso a example.com/default.aspx nel tuo browser e ricevendo la risposta, cosa succede se hai aperto l'accesso FTP di sola lettura e hai permesso che il codice in default.aspx venisse letto? Renderebbe il tuo codice aperto per la revisione e affidabile? (un po 'come il modo in cui i progetti open source sono considerati più affidabili perché non c'è nessun posto dove nascondere back doors o codice di sicurezza scritto male)

È possibile farlo?

    
posta John 17.06.2013 - 16:31
fonte

1 risposta

3

Questo è possibile impostare. Ma risolve solo superficialmente il problema.

Non crea necessariamente ulteriore fiducia. Perché? Non è troppo difficile reindirizzare l'FTP su un altro server (o su un'altra cartella). Un utente non fidato potrebbe affermare di aver installato due server; uno con il codice malevolo vivo e uno con codice innocuo. Dirigi le richieste FTP al server innocuo e lascia che il server esegua il codice dannoso. Ricorda, puoi scegliere ciò che vedono quando chiedono una connessione FTP. Spoofing non è troppo complicato.

    
risposta data 17.06.2013 - 16:47
fonte

Leggi altre domande sui tag