Wie finde ich heraus, in welcher Programmiersprache eine Website eingebaut ist?
Und andere Fragen wie diese ^.
Kurz: Es scheint, dass wir zumindest im Hinblick auf die Entwicklung von Web-Apps so wenig wie möglich offenlegen möchten Informationen an den Angreifer wie möglich.
- Angreifer möchten die Plattform bestimmen, auf der unsere Web-App ausgeführt wird, aber wir möchten sie dazu verleiten, zu glauben, dass es sich um eine andere Plattform handelt als sie tatsächlich ist.
- Es wird empfohlen, den Debug-Modus auszuschalten, da bei detaillierten Ausnahmeinformationen möglicherweise Teile des Quellcodes unserer App (nicht der Plattform) verloren gehen.
Wenn wir unser Web als Open Source-Version verwenden Mit dem Servercode der App geben wir bereitwillig jedem genau diese Informationen, die ich in den Fragen verlinkt habe, um zu besprechen, wie man versteckt ; und noch mehr Informationen als das.
Es scheint daher, dass Open-Sourcing der App eines der letzten Dinge ist, die man tun möchte.
Das ist für mich überraschend weil:
- Einige denken, dass Open-Source-Apps sicherer sind, weil freundlichere Augen möglicherweise auf den Code schauen, nach ausnutzbaren Fehlern suchen und Patches einreichen;
- Nicht Open-Sourcing App wegen der oben genannten Probleme ist Sicherheit durch Dunkelheit, was schlecht ist.
Laut @Mason Wheelers Kommentar auf dieser Site:
Ich denke, wenn selbst ein Sicherheitstester nicht herausfinden kann, in welcher Sprache die Site erstellt ist, ist sie sicherer, da dann niemand weiß, welche Exploits er versuchen soll. (Ja, es gibt gelegentlich gültige Anwendungsfälle für Sicherheit durch Unklarheit.)
Ist man sich daher einig, dass Open-Sourcing des serverseitigen Codes einer Web-App eine schreckliche Idee ist?