web-dev-qa-db-ja.com

Webアプリケーションで使用されるフレームワークを非表示にすることは良い習慣ですか?

「セキュリティ上の理由でWebアプリケーションで使用されているフレームワーク/テクノロジーを非表示にする」について読んだことがあります...

しかし、なぜ?プロジェクトの作成に使用しているツールを公開することは本当の問題ですか?

LinkedInやFacebookなどの大規模なパブリックWebアプリケーションでは、プラットフォームに使用されているテクノロジーが隠されていないので、なぜ私はそうすべきなのでしょうか。

これを行う他の理由はありますか?

7
davioooh

フレームワークを非表示にしても、セキュリティは保証されません。しかし、攻撃を成功させるのは簡単ではありません。

すべてのソフトウェアが最新であると仮定しても、Technology vX.YZを使用しているという事実をブロードキャストし、そのバージョンのセキュリティ問題が見つかった場合、攻撃者はその脆弱性の開示とアップデートのインストールの間に機会の窓があります。 。

セキュリティを重視するプロフェッショナルな組織の場合、最初から不必要なサービスが公開されることはなく、ソフトウェアの脆弱性にすばやくパッチを当てることができます。これの最大の部分は、問題があることを知ることです。つまり、使用しているソフトウェアの適切なメーリングリストに登録し、 CVEs で最新の状態に保ちます。

ソフトウェアバージョンに関する不要な情報を最小限に抑えることで、リスクも軽減されます。しかし、それは実際には何も妨げません。攻撃は自動的に実行される可能性があり、ホスティングプロバイダーとクラウドサービスのIP範囲は特に有望なターゲットであることに注意してください。 Shodan のような検索エンジンがあり、これらのサービスがメタデータを介して自身を開示する場合、特定のテクノロジーやバージョンを検索できることに注意してください。

15
amon