公開WebサイトのSiteEdit命令にTCMIDを表示することは、セキュリティの問題ですか?Tridionはファイアウォールの背後にあるので、問題にはならないはずだと思います。専門家の意見を知りたい。
3 に答える
7
ここで間違った質問をしていると思います。これらのSiteEdit命令がセキュリティリスクであるかどうかは重要ではありません。これらは、SiteEditを使用する公開ターゲットにのみ存在する必要があります。他のターゲットでは、サイズを不必要に大きくし、そのターゲットの訪問者に関係のない実装の詳細を公開します。
したがって、公開WebサイトでSiteEditを有効にしない限り(ほとんどありません)、SiteEditの手順をHTMLに含めることはできません。
于 2012-08-08T19:17:37.580 に答える
5
必要なセキュリティのレベルによって異なります。原則として、「隠すことによるセキュリティ」に依存しないように、セキュリティは非常に優れている必要があります。すべての脅威をモデル化し、それを理解し、難攻不落の防御を設計する必要があります。
実生活では、これを実現するのは少し難しく、通常「多層防御」と呼ばれるものに焦点が当てられます。言い換えれば、あなたは難攻不落の防御をするために最善を尽くしますが、いくつかの単純な規律が攻撃者にとってより困難になる場合は、あなたもその努力をするようにします。攻撃の最初のステップは、使用しているテクノロジーを列挙することであるという証拠はたくさんあります。次に、そのテクノロジーに既知のエクスプロイトがある場合、攻撃者はそれらを使用しようとします。さらに、エクスプロイトが判明した場合、攻撃者は侵害されたテクノロジーのシグネチャを検索することにより、潜在的な被害者を検索します。
公開されている出力でTCMURIを公開することは、Tridionを使用していることを攻撃者に伝えるのと同じくらい優れています。つまり、そのことについては、SiteEditコードを公開しています。Tridionを使用する場合、これらのいずれかを行う必要はまったくありません。実装についての手がかりがないWebサイトを表示するだけです。(これらの手がかりを与えないようにする能力は、WCMSを選択する多くの大規模な組織にとって難しい要件であり、この点でのTridionの強みは、あなたが働いている組織がWCMSを使用することを選択した理由の1つである可能性があります。)
したがって、TCM URIにはそれ自体がセキュリティの問題を引き起こすものはありませんが、潜在的な攻撃者に不必要に情報を提供するため、そうです、これはセキュリティの問題です。金融機関、政府機関、および一般的な大企業は、悪意のある人に助けを与えないクリーンな実装を行うことを期待します。
于 2012-08-08T19:48:55.273 に答える
3
私はそれが実際に問題を提示しないと主張します。ファイアウォールに破られる可能性のある穴がある場合、攻撃者はそれを乗り越える方法を見つける可能性があります。ファイアウォールの背後にTridionCMSがインストールされているという事実は、多少関係ありません。
ソースコードにURIがあるかどうかに関係なく、Tridion CMSがあることを知って得られた知識がハッカーにとって価値がないように、実装は十分に保護されている必要があります。
于 2012-08-08T21:21:12.917 に答える