¿Debo evitar la implementación de archivos package.json o bower.json en producción?

4

Sé que se recomienda ocultar la información de versión del SO y del servidor cuando se sirven páginas web. ¿Qué pasa con la información de la versión de la biblioteca js contenida en los archivos package.json o bower.json? Parece que esto podría usarse para crear ataques observando vulnerabilidades conocidas. Sin embargo, en última instancia, sé que un usuario podría resolver esto solo mirando los archivos, ¿vale la pena?

EDITAR: También me interesa lo que es una práctica estándar, independientemente de las preocupaciones de seguridad.

    
pregunta xdhmoore 09.03.2017 - 19:08
fuente

1 respuesta

4

Permitir el acceso a tu package.json y archivos similares será un poco de divulgación de información y, como tal, generalmente debe evitarse. En un escenario donde una biblioteca JS tenía una vulnerabilidad conocida, dejarla accesible en la raíz web permitiría a los atacantes reunir rápidamente una lista de objetivos válidos.

Es poco probable que se trate de un problema de alto riesgo, pero el principio general de no proporcionar información a los atacantes se mantiene, por lo que diría que no se debe poner en producción en una forma que sea accesible para los usuarios finales.

En términos de práctica estándar para hacer frente a este riesgo. Normalmente, elimine estos archivos como parte del proceso de implementación o use algo como .htaccess para evitar el acceso a ellos.

    
respondido por el Rоry McCune 10.03.2017 - 15:34
fuente

Lea otras preguntas en las etiquetas