¿Permitir el acceso de solo lectura a las páginas del lado del servidor para una revisión de seguridad?

Question

¿Permitir el acceso de solo lectura a las páginas del lado del servidor para una revisión de seguridad?

#1 de Manishearth (3 votos)

0

Esta respuesta:

Menciona el problema de la seguridad basada en host. Para el usuario final, el servidor web es una caja negra no configurable.

¿Proporcionaría la transparencia necesaria para que la seguridad basada en el host sea confiable si los usuarios pudieran leer el código del servidor en vivo que ejecuta el sitio?

Entonces, por ejemplo, además de acceder a example.com/default.aspx en su navegador y obtener la respuesta, ¿qué sucede si abrió el acceso FTP de solo lectura y permitió que se leyera el código en default.aspx ? ¿Haría eso que su código esté abierto para ser revisado y confiable? (Algo así como los proyectos de código abierto se consideran más confiables porque no hay ningún lugar donde ocultar puertas traseras o códigos de seguridad mal escritos)

¿Es factible hacer esto?

trust webserver ftp opensource

pregunta John 17.06.2013 - 16:31

fuente

1 respuesta

Lea otras preguntas en las etiquetas trust webserver ftp opensource

mprotect a nivel del kernel Detener la inyección de malware js en nuestro sitio de Wordpress

score 3 · Accepted Answer

Esto es factible de configurar. Pero solo soluciona superficialmente el problema.

No necesariamente crea confianza adicional. ¿Por qué? No es demasiado difícil redireccionar FTP a otro servidor (oa otra carpeta). Un usuario poco confiable puede afirmar que ha configurado dos servidores; Uno con el código en vivo, malicioso y uno con el código inocuo. Dirige las solicitudes de FTP al servidor inocuo y deja que el servidor web ejecute el código malicioso. Recuerda, puedes elegir lo que ven cuando piden una conexión FTP. Spoofing no es demasiado complicado.