¿Exponer los datos de rendimiento del sitio web es un riesgo para la seguridad?

8

Actualmente estoy agregando un subsitio a algunos sitios web que me permite monitorear los datos de rendimiento en vivo según lo percibe el software del servidor. La mayoría de los datos son cosas como la cantidad de memoria utilizada, la memoria asignada, la memoria liberada durante la última recolección de basura, la paralelismo, el tiempo de actividad, etc. Los mensajes de error, los registros, la versión del software, etc. no forman parte de los datos.

Una parte de mis visitantes es un poco geek, así que pensé que podría ser interesante para ellos si expusiera el subsitio en lugar de ocultarlo detrás de una cuenta de administrador.

De lo que no estoy seguro son las implicaciones de seguridad. He encontrado dos riesgos: los datos pueden ayudar a realizar ataques de ddos (la información sobre el tiempo y los resultados están justo ahí) y podría exponer ideas muy generales sobre el comportamiento de los visitantes a "competidores".

Pero tengo la sensación de que no soy lo suficientemente creativo (y no lo suficientemente inteligente como para encontrar buenas palabras de Google). ¿Cómo han usado los atacantes esa información en el pasado?

    
pregunta MarLinn 27.02.2016 - 23:38
fuente

1 respuesta

13

Entonces, debo admitir que mi primera reacción fue "Nunca haría esto". Sin embargo, eso puede ser más porque a mí, históricamente, no me gusta que nadie sepa nada que no necesite, que por una verdadera razón de seguridad.

Dicho esto, los únicos problemas de seguridad que se me ocurren son bastante limitados y bastante esotéricos. podría usarse para encontrar un vector DoS o DDoS, si a) un atacante se esfuerza por crear un perfil de su aplicación, yb) tropieza con la acción exacta requerida para acentuar sus recursos y c) aparece definitivamente, o al menos razonablemente en su informe. Dicho esto, es mucho más fácil comprar algo de tiempo en una red de bots y lanzarle algo de tráfico, por lo que el riesgo real de los datos de perf en sí es bastante bajo. La única excepción sería si un vistazo rápido a los datos muestra que su sitio ya está bajo estrés o sufre una carga fácil. Si anunciaba debilidades significativas para el mundo, entonces es posible que alguien pueda actuar maliciosamente sobre esa información.

En cuanto a la amenaza de los competidores, depende de usted medir el riesgo que realmente representa. Seguramente muchos sitios publican sus números de tráfico, y para algunos es muy importante hacerlo para atraer anunciantes, por lo que, a menos que tenga razones específicas para querer mantener los números en secreto, puede que no sea tan importante. El rendimiento del servidor tampoco es la única forma, ni siquiera la mejor manera de estimar el tráfico, aparte de las tendencias generales de subida / bajada.

Entonces, aunque no estoy listo para aprobar esto como una gran idea, el riesgo real de seguridad probablemente sea bajo.

    
respondido por el Xander 28.02.2016 - 00:22
fuente

Lea otras preguntas en las etiquetas