¿Es inseguro informar a los usuarios qué marco de trabajo estoy usando?

Navega tus respuestas
0

Supongamos que uso un marco X para crear un juego móvil, y el sitio web de X me permite enviar el nombre de la aplicación que usa X para compilar. Pero sospecho que debo enviar el nombre de mi aplicación porque permitiría a los usuarios saber que mi aplicación está usando X. ¿Le está permitiendo a los usuarios saber qué marco de trabajo estoy usando un problema de seguridad?     

pregunta ggrr 17.10.2016 - 06:20
fuente

4 respuestas

3

La seguridad a través de la oscuridad no es suficiente , pero se puede usar en conjunto con otros mecanismos y prácticas de seguridad. Recuerde siempre que la seguridad del sistema no debe depender solo del secreto de la implementación o de sus componentes.

Puede conocer muy bien el código del marco, pero no puede suponer que sea completamente seguro. Ocultar eso no cambia eso, pero ciertamente puede agregar una seguridad adicional, lo que no significa que no debas preocuparte por cómo se implementa el código porque está oculto.

Evite las bibliotecas no utilizadas, mantenga el código limpio e inclinado, valide los datos de entrada y codifique los datos de salida, autentifique las credenciales, controle el acceso, trate los mensajes de error de registro, etc. Hay muchas buenas prácticas que deben usarse, porque solo ocultar tu código no es suficiente.

    
respondido por el RF03 17.10.2016 - 08:54
fuente
0

Lo describiría como defensa en medida de profundidad. No es algo en lo que pueda confiar, pero si puede salirse con la suya, podría ser útil. Si un atacante puede identificar cualquier parte de la pila, podría comenzar a buscar debilidades conocidas en ella, y posiblemente explotarla desde allí.

Hacer esto simplemente agrega más tiempo y esfuerzo por parte del atacante para encontrar una vulnerabilidad, si puedes hacerlo lo suficientemente prohibitivo, entonces un atacante especulativo puede aburrirse y buscar en otra parte.

Hay pocos beneficios, pero yo no apostaría el rancho solo.

    
respondido por el Colin Cassidy 17.10.2016 - 10:32
fuente
0

Primero, siempre es bueno divulgar la menor información posible a cualquier atacante potencial. Debe encontrar respuestas a los siguientes puntos para responder a su pregunta:

  1. ¿Qué registro de seguridad tiene su marco? ¿Hay muchos defectos conocidos del pasado? ¿Se conoce a los desarrolladores de ese marco por las características favorables sobre la seguridad?
  2. ¿Cuáles son los beneficios de enviar su aplicación en su sitio web? ¿Es eso realmente importante para ti?
  3. ¿Siguió de cerca las recomendaciones para escribir software seguro? En otras palabras: ¿Cuánto esfuerzo gastó en hacer que su propio código fuera seguro? ¿Es probable que uno de los vectores de ataque clásico funcione en tu propio código, independientemente de cualquier marco?

La seguridad de su aplicación depende principalmente de 1 y 3, de modo que es lo que debe ver primero, IMHO.

    
respondido por el kaidentity 17.10.2016 - 11:33
fuente
0

Me enseñaron a reducir la información dada a los usuarios a un mínimo. Independientemente de eso, un atacante dedicado encontrará el sistema que estás usando en un momento.

En ambos casos, el atacante buscaría explotaciones comunes, pero lo haría un poco más difícil, si no estás diciendo, qué estás usando. Tal vez esto también asustaría a los chiquillos del guión.

    
respondido por el pguetschow 17.10.2016 - 11:37
fuente

Lea otras preguntas en las etiquetas

¿Es posible que SSL compruebe el nombre de host del certificado con el encabezado HTTP del "host" en lugar de la URL? Mantener en secreto una clave gpg privada