¿Es seguro tener un código fuente para el sitio web público? [duplicar]

Navega tus respuestas
4

Estoy trabajando en un sitio web y me gustaría tenerlo bajo control de revisión. He usado git para proyectos anteriores antes y me gusta. Aunque este proyecto es un sitio web escrito en Django. Estoy totalmente de fuente abierta, pero me pregunto si sería una mala idea dejar el código fuente para el sitio web público, para que alguien con malas intenciones pueda buscar agujeros de seguridad en el repositorio.

Por supuesto que no voy a cargar cosas que deban guardarse como contraseñas secretas, etc.

El sitio será una página web para un club deportivo local, por lo que supongo que la seguridad del sitio no tiene que ser tan alta como, por ejemplo, una tienda en línea.

Entonces, mi pregunta es: ¿es una mala idea tener un repositorio público para un sitio web de Django o es aceptable si no agrego la información confidencial?

Eché un vistazo al hilo Open Source vs Closed Source Systems discutiendo el mismo tema, pero más bien discute el código abierto contra el código cerrado desde un punto de vista de seguridad en general. Discusión interesante, sin embargo no es suficiente para que yo tome una decisión. En el hilo, algunas personas señalan que importa en qué tipo de proyecto está trabajando. ¿Podría darme algunas recomendaciones para mi proyecto con las siguientes especificaciones?

  • Pequeña página web para un club deportivo local.
  • No hay pagos en el sitio.
  • No hay información confidencial en general, excepto si alguien usaría la misma información de usuario que para otro sitio.
  • Una persona en desarrollo (yo), podría ser un poco más.

Lo que he descubierto hasta ahora:

Pro open source

  • Probablemente escribiré un código mejor si sé que otros pueden leerlo.
  • Si alguien ve un error, con suerte me informará.
  • Los piratas informáticos conocen los agujeros de seguridad comunes de todos modos.
  • No hay ningún interés (ganancia) muy pequeño o muy pequeño en piratear mi sitio.
  • Contribuyendo a la comunidad de código abierto.

Pro código cerrado

  • Seguridad a través de la oscuridad = > otra capa de seguridad.
  • Si yo o alguien más que trabaja en el sitio cometemos credenciales confidenciales por error.
  • El proyecto está expuesto porque será accesible directamente a través de Internet.
pregunta mseln 19.02.2015 - 17:01
fuente

4 respuestas

12

Si su sitio web es seguro, incluso el código fuente no ayudaría a un atacante en un mundo perfecto. Pero no vivimos en este mundo.

Al hacer público el código fuente, se está manteniendo simultáneamente a sí mismo un código estándar más alto y está introduciendo más riesgos. Ya que le está regalando su código a cualquiera que pregunte, será mejor que lo haga sólido como una roca. (De hecho, deberías estar haciendo esto de todos modos, ¡pero estoy seguro de que lo sabes!)

Liberar su fuente permitirá que personas buenas y útiles señalen cosas malas y le da una motivación para que escriba código sólido en todo momento. Yo diría que es una buena idea. Sin embargo, debe hablar sobre el riesgo con el propietario del sitio web. Los repositorios privados existen en GitHub y puedes instalar tu propio servidor Git / repositorio local de Git para el control de la versión privada.

Lectura sugerida:

respondido por el Ohnana 19.02.2015 - 17:12
fuente
6

¿Hará que su sitio sea menos seguro? Sí. Por un factor de .00000000000000001%, da o toma un cero.

Primero, ¿quién quiere piratear el sitio web de un club deportivo para algunas direcciones de correo electrónico?

Segundo, quién quiere revisar todo tu código para descifrar cualquier error o vulnerabilidad.

En tercer lugar, hay toneladas de sitios que utilizan código de código abierto (WP) que está criado por millones. Los piratas informáticos tendrían mucho más que ganar si revisan 1 conjunto de códigos para millones de víctimas en comparación con su relación 1 a 1.

Cuarto, la mayoría de las veces que los sitios son atacados es mediante el uso de bot o software que escanea a través de métodos de ataque conocidos. Tener tu código en dominio público no significa nada para esto.

Entonces, realmente el único problema que tienes es si tienes un colega, amigo, enemigo o simplemente enemigo que sabe que escribiste este sitio web, que es lo suficientemente secreto como para tener suficiente tiempo para analizar tu código y encontrar alguna vacante. Esto es realmente muy descabellado, pero supongo que podría suceder.

    
respondido por el blankip 19.02.2015 - 17:29
fuente
4

La respuesta tiene opiniones contradictorias

Ocultar el código fuente se llama seguridad a través de la oscuridad. En general, se reconoce que la seguridad a través de la oscuridad no es una forma válida de seguridad. Sin embargo, existe un ideal contrastante llamado "defensa en profundidad". La idea es que nunca dependes de una sola capa de defensa. Si su código fuente está disponible gratuitamente, depende de la seguridad de una sola capa: la seguridad escrita en el código fuente.

La respuesta a su acertijo probablemente depende de algunos factores:

  • ¿El sitio web administra el dinero? Si hay dinero involucrado, existe un incentivo más fuerte para que alguien quiera romper el sistema. La defensa en profundidad comienza a verse mejor, porque cualquiera que te ayude a encontrar errores también debe decidir si prefiere ganar dinero en su lugar.
  • ¿Cuánto espera que la gente ayude en el desarrollo? Si nadie le ayuda a hacer las cosas más seguras, las únicas personas que miran el código tienen intenciones maliciosas. Si crees que esto es algo que podría incendiarse y despegar por sus propios medios, es más probable que los hackers de sombrero blanco encuentren cosas y sugieran soluciones.
  • ¿Alguien sabe que el sitio web está utilizando este paquete fuente? Es más probable que las personas malintencionadas tengan que viajar del sitio web al código fuente, y no al revés. Cuanto más fácil sea averiguar qué repositorio de Git contiene el código fuente de ese sitio web, mayor será la ventaja de los piratas informáticos.
respondido por el Cort Ammon 19.02.2015 - 18:37
fuente
1

Las personas con malas intenciones son más que capaces de encontrar agujeros de seguridad de todos modos. El acceso abierto al sitio probablemente no llevará a las revisiones de terceros a las que el código abierto a veces puede llevar (para que eso funcione, alguien más debe preocuparse lo suficiente por hacerlo), pero si la seguridad depende de mantener el código fuente en secreto. no tiene seguridad Solo asegúrate de dejar las contraseñas y demás.

    
respondido por el cpast 19.02.2015 - 17:06
fuente

Lea otras preguntas en las etiquetas

¿Puede un archivo JS malicioso apuntado en URL / URI atacar el navegador / computadora? VPN solo para un software específico