Es gibt viele Gründe, warum Apps nicht im debug = "true" -Modus (good rundown from Scott Gu) ausgeführt werden sollten, aber gibt es irgendwelche Angriffsvektoren, die durch diese Vorgehensweise aufgedeckt werden? Es ist keine Frage von "sollten Sie oder sollten Sie nicht", so viel ist klar, es ist eine Frage, ob es irgendwelche spezifischen Schwachstellen einführt.Gibt es ein Sicherheitsrisiko beim Ausführen von Web-Apps in debug = "true"?
Ich bin geneigt zu denken, dass die Fähigkeit zu remotely detect it kombiniert mit den bekannten Leistungsproblemen zu einem Exploit gegen die Verfügbarkeit von Diensten führen kann, aber ich möchte etwas ein wenig genauer. Kennt jemand einen bestimmten Angriff, der gegen eine App orchestriert werden kann, auf der debug = "true" ausgeführt wird?
Warum fragen Sie das nicht auf der [SecuritySE] (http://security.stackexchange.com/)? – AviD
Guter Punkt, ich habe nicht ursprünglich dort, da ich dachte, dass ich die Antwort hier bekommen würde. Ich habe eine Kopie über gesendet: http://security.stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-de-debug-true –
Ich habe FULL Verbindungszeichenfolgen gesehen (einschließlich Passwörtern) in der Vergangenheit, wo die Anwendung im Debug-Modus ausgeführt wurde, waren benutzerdefinierte Fehler ausgeschaltet und die Verbindung fehlgeschlagen - in diesem Fall nicht wegen eines Problems mit dem Datenbankserver, aber wenn ein anderer Server als einziger DNS-Server für die Gastgeber wurde außer Dienst gestellt. Die Aktivierung des Debug-Modus erhöht das Risiko der Offenlegung sensibler interner Anwendungsinformationen erheblich, aber das wussten Sie bereits. Ich mag die Analogie mit Abstürzen, die nicht von einem Ereignis verursacht werden, sondern von einer Serie, die zusammen das (oft tragische) Ergebnis liefert. – pwdst