我正在考虑dlls在我的Web应用程序的页脚中提供一个say,数据库模式和业务逻辑的版本.
这是建议吗?
是否存在任何陷阱或指示如何做到最好?
可用性问题?
我已经在我的CI解决方案中使用了模式和dll的版本方案.
不要这样做.它向潜在的攻击者提供免费信息,使他们的工作更轻松.如果您的软件版本已知漏洞,则无需告诉他们.实际上有一些建立在谷歌之上的搜索引擎使用这种信息失禁来为大量攻击提供支持(例如cDc的Goolag扫描程序).
虽然这可能听起来像是默默无闻的安全(因为它是),但仍然建议尽可能地使攻击者的工作变得更加困难.不泄露实施细节是重要的一步.当然,这只能是使网站更加安全的努力的一部分.
我非常喜欢这里所做的事情.如果你看向页面的底部,就会有一段文字"由前夕社区提供支持".如果单击该文本,您将获得一小部分技术信息.
对我来说,这是一个很好的权衡,让(有用的)信息随时可用(用于错误报告等),并且必须让(令人不愉快的)技术术语对网站用户可见.
京公网安备 11010802040832号 | 京ICP备19059560号-6 