Por lo general, se recomienda, cuando uno quiere asegurar una aplicación, "proporcionar" como poca información, o mejor aún, no hay información para usuarios no autorizados (posiblemente maliciosos). Estoy pensando en información como el sistema operativo, la versión de la aplicación, etc.
Mi pregunta es la siguiente:
Tengo una aplicación web que permite el acceso solo desde direcciones IP específicas, el resto del mundo recibe una respuesta HTTP prohibida. Me preguntaba, en el contexto de seguridad mencionado anteriormente, ¿hay algo malo? Quiero decir, supongo que un intruso sabría que un servidor HTTP se está ejecutando pero no podría acceder a él.
¿Hay algún problema de seguridad debido a esto? ¿Se podría mejorar de alguna manera?
ACTUALIZACIÓN:
También estoy usando la autenticación a través del nombre de usuario y la contraseña, pero si la IP de origen no está en la lista permitida, no reciben una página de solicitud de nombre de usuario / contraseña. Solo prohibido