Zeigt TCM ID auf der öffentlichen Website ein Sicherheitsproblem?

Question

Zeigt die TCM-ID in der SiteEdit-Anweisung auf der öffentlichen Website ein Sicherheitsproblem? Meine Gedanken sind, dass es kein Problem sein sollte, da Tridion hinter der Firewall steht. Ich möchte die Expertenmeinung wissen.

Answer 1

Ich würde argumentieren, dass es nicht wirklich ein Problem darstellt. Wenn es Löcher in der Firewall gibt, die durchbrochen werden können, kann ein Angreifer einen Weg finden, um unabhängig davon durchzukommen. Die Tatsache, dass hinter der Firewall eine Tridion CMS-Installation installiert ist, ist irrelevant.

Ob Sie die URIs in Ihrem Quellcode haben oder nicht, Ihre Implementierung sollte gut genug gesichert sein, damit das Wissen, das Sie mit dem Wissen, dass Sie ein Tridion CMS haben, für einen Hacker keinen Wert hat.

Answer 2

Ich denke, du stellst hier die falsche Frage. Es ist nicht wichtig, ob diese SiteEdit-Anweisungen ein Sicherheitsrisiko darstellen, sie sollten nur auf den Veröffentlichungszielen vorhanden sein, auf denen Sie SiteEdit verwenden. Auf jedem anderen Ziel erhöhen sie unnötigerweise die Größe und legen Implementierungsdetails offen, die für die Besucher dieses Ziels nicht relevant sind.

Also, wenn Sie SiteEdit auf Ihrer öffentlichen Website (höchst unwahrscheinlich) ermöglichen, die SiteEdit Anweisungen sollten nicht im HTML sein.

Answer 3

Es hängt von der Sicherheitsstufe ab, die Sie benötigen. Grundsätzlich sollte Ihre Sicherheit so gut sein, dass Sie sich nicht auf "Sicherheit durch Dunkelheit" verlassen. Du hättest jede Bedrohung modellieren und verstehen müssen und unüberwindbare Verteidigungsmechanismen entworfen.

Im wirklichen Leben ist das ein wenig schwieriger zu erreichen, und der Fokus liegt eher auf dem, was normalerweise als "Sicherheit in der Tiefe" beschrieben wird. Mit anderen Worten, Sie tun Ihr Bestes, um eine uneinnehmbare Verteidigung zu haben, aber wenn einige einfache Disziplinen es Ihrem Angreifer erschweren, dann stellen Sie sicher, dass Sie sich auch diesem Ziel widmen. Es gibt viele Beweise dafür, dass der erste Schritt eines Angriffs darin besteht, zu versuchen, aufzuzählen, welche Technologie Sie verwenden. Wenn es dann bekannte Exploits für diese Technologie gibt, versucht der Angreifer diese zu nutzen. Wenn ein Exploit bekannt wird, werden Angreifer nach potenziellen Opfern suchen, indem sie nach Signaturen der kompromittierten Technologie suchen.

Wenn Sie TCM-URIs in Ihrer öffentlich zugänglichen Ausgabe anzeigen, können Sie einem Angreifer sagen, dass Sie Tridion verwenden. In diesem Fall wird SiteEdit-Code veröffentlicht. Wenn Sie Tridion verwenden, ist es absolut unnötig, eines dieser Dinge zu tun. Sie können einfach eine Website anzeigen, die keine Hinweise auf ihre Implementierung gibt. (Die Möglichkeit, diese Hinweise zu vermeiden, ist für viele große Organisationen eine schwierige Anforderung, die ein WCMS wählen. Tridions Stärke in dieser Hinsicht könnte einer der Gründe sein, warum die Organisation, für die Sie arbeiten, sich dafür entschieden hat.)

So während es in einem TCM-URI nichts gibt, das selbst ein Sicherheitsproblem verursacht, gibt es potentiellen Angreifern unnötigerweise Informationen, also ja, es ist ein Sicherheitsproblem. Finanzinstitute, Regierungsorganisationen und große Unternehmen im Allgemeinen werden von Ihnen erwarten, dass Sie eine saubere Implementierung durchführen, die den bösen Jungs keinen Beistand gewährt.