Perché utilizzare un URL per tutte le "pagine" sul mio sito?

0

Ho sentito che dovrei (A) utilizzare un URL per tutte le "pagine" sul mio sito, in modo che la pagina visualizzata sia determinata dallo stato della sessione e (B) non utilizzare un'estensione come .php . Un curioso ha anche affermato (C) in un discorso che la gente non dovrebbe restituire 200 codici, ma dovrebbe usare codici scelti a caso.

Suppongo di capire B e C come questi confondenti potenziali attaccanti che eseguono Nikto o Skipfish o qualsiasi altra cosa.

Quali sono le ragioni per fare l'endpoint personale? Potrebbe essere molto lavoro convertire il mio codice PHP4 per utilizzare un solo endpoint poiché ho forse 40 file PHP. Avrei pensato che gli aggressori avrebbero avuto più problemi a gestire molti URL, uno per file PHP.

    
posta Icann 08.02.2015 - 06:56
fonte

1 risposta

1

Se queste erano proposizioni fatte nel contesto della sicurezza delle informazioni, allora sarebbero tutti esempi di sicurezza attraverso l'oscurità . Dall'articolo Wikipedia collegato:

In security engineering, security through obscurity is the use of secrecy of design or implementation to provide security. Security through obscurity is discouraged and not recommended by standards bodies. A system relying on security through obscurity may have theoretical or actual security vulnerabilities, but its owners or designers believe that if the flaws are not known, then attackers will be unlikely to find them. A system may use security through obscurity as a defense in depth measure; while all known security vulnerabilities would be mitigated through other measures, public disclosure of products and versions in use makes them early targets for newly discovered vulnerabilities in those products and versions. An attacker's first step is usually information gathering; this step is delayed by security through obscurity. The technique stands in contrast with security by design and open security, although many real-world projects include elements of all strategies.

Security through obscurity has never achieved engineering acceptance as an approach to securing a system, as it contradicts the principle of simplicity. The National Institute of Standards and Technology (NIST) in the United States specifically recommends against this practice: "System security should not depend on the secrecy of the implementation or its components."

In generale, è un approccio molto povero al ragionamento sulla sicurezza di un sistema. Non vedo alcun beneficio per la sicurezza che potrebbe derivare dall'impiego di un solo endpoint, né l'estensione delle estensioni dei file potrebbe migliorare la sicurezza del servizio web. Ci possono o non possono esistere benefici di omissione nel regno dell'ottimizzazione dei motori di ricerca (SEO), e penso che potrebbe essere stato ciò che si intendeva originariamente. Vedo ancora meno benefici SEO per il sito web di una sola pagina, tuttavia, come sottolineato da @Fiasco Labs. Non mi vendo da esperto di SEO (consulta i tuoi forum Digital Point locali).

L'idea di utilizzare un solo endpoint potrebbe essere scaturita dalla prassi sempre più comune di delegare la logica e il routing al lato client mentre serve solo una pagina con dipendenze statiche e, comunque, solo eseguendo database autenticati alla sessione / a lungo termine operazioni di stato in risposta all'interazione dell'utente (vedi Meteor ). Forse la raccomandazione di omettere ".php" è stata appena generata dal disgusto di una persona per quella lingua in particolare? Non ero lì.

    
risposta data 08.02.2015 - 09:38
fonte

Leggi altre domande sui tag