我正在考虑在我的Web应用程序的页脚中提供一个say的版本,数据库模式和业务逻辑的dlls
。
这是建议吗?
是否有任何陷阱或指示如何做到最好?
可用性问题?
我已经在我的CI解决方案中使用了架构和dll的版本方案。
答案 0 :(得分:9)
不要这样做。它向潜在的攻击者提供免费信息,使他们的工作更轻松。如果您的软件版本已知漏洞,则无需告诉他们。实际上有一些建立在谷歌之上的搜索引擎使用这些信息失禁来为大量攻击提供支持(例如cDc的Goolag scanner)。
虽然这可能听起来像默默无闻的安全性(因为它 ),但仍然建议尽可能地使攻击者的工作变得更加困难。不泄露实施细节是重要的一步。当然,这只能是确保网站安全的努力的一部分。
答案 1 :(得分:6)
我非常喜欢所做的事情,例如: here。如果你看向页面的底部,就会有一段文字“由前夕社区提供支持”。如果单击该文本,您将获得一小部分技术信息。
对我而言,这是一个很好的权衡,让(有用的)信息随时可用(用于错误报告等),并且必须让(令人不快的)技术术语对网站用户可见。
答案 2 :(得分:1)
IMO,显示版本号的唯一原因是:
因此,如果这些内容对您的错误报告很重要,那么请将它们公开。如果没有,那就不要。