web-dev-qa-db-ja.com

Webサイトのパフォーマンスデータの公開はセキュリティリスクですか?

現在、サーバーソフトウェアが認識しているパフォーマンスデータをライブで監視できるように、いくつかのWebサイトにサブサイトを追加しています。データは主に、使用されたメモリの量、割り当てられたメモリ、最後のガベージコレクション中に解放されたメモリ、並列性、稼働時間などです。エラーメッセージ、ログ、ソフトウェアバージョンなどはデータの一部ではありません。

私の訪問者の一部は少しマニアックなので、管理者アカウントの背後にサブサイトを隠すのではなく、サブサイトを公開した方が面白いと思いました。

私がよくわからないのは、セキュリティへの影響です。私は2つのリスクを考え出しました。データはddos攻撃に役立つ可能性があり(タイミングと結果に関する情報がそこにあります)、訪問者の行動に関する非常に大まかなアイデアを「競合他社」に公開する可能性があります。

しかし、私は十分に創造的ではない(そして、適切なGoogleワードを見つけるほど賢くない)と感じています。攻撃者は過去にそのような情報をどのように使用しましたか?

8
MarLinn

だから私は最初の反応が「私はこれをすることは決してないだろう」だったことを認めなければなりません。ただし、これは、実際のセキュリティ上の理由よりも、私が歴史的に、必要のないことを誰かに知られたくないためです。

そうは言っても、私が考えることができる唯一のセキュリティ問題はかなり限定されており、かなり難解です。それcouldは、DoSまたはDDoSベクトルを見つけるために使用されます。a)攻撃者がアプリのプロファイルを作成しようとし、b)リソースにストレスをかけるために必要な正確なアクションを偶然見つけた場合- and c)レポートに明確に、または少なくとも合理的に表示されます。とはいえ、ボットネットで時間を費やしてトラフィックを投入する方がはるかに簡単なので、perfデータ自体からの実際のリスクはかなり低いと考えられます。唯一の例外は、データをざっと見ただけで、サイトにすでにストレスがかかっているか、負荷がかかりやすいことです。それが世界に重大な弱点を宣伝している場合、誰かがその情報に対して悪意を持って行動する可能性があると考えられます。

競合他社からの脅威については、実際にどれだけのリスクがあるかを測定するのはあなた次第です。 Certianlyの多くのサイトがトラフィック数を公開しています。一部のサイトでは、広告主を引き付けるために公開することが非常に重要です。そのため、具体的な理由がない限り、数値を抑えておきたいのであれば、それほど大きな問題ではないかもしれません。サーバーのパフォーマンスも、おそらく一般的なアップ/ダウンの傾向以外に、トラフィックを推定するための唯一の方法ではありません。

したがって、私はこれを素晴らしいアイデアとして承認する準備ができていませんが、実際のセキュリティリスクはおそらく低い側にあります。

13
Xander