Die Serverzeit ist für einen Angreifer im Allgemeinen von geringem Nutzen, solange sie korrekt ist. Tatsächlich wird nicht die aktuelle Zeit (abgesehen von der relativistischen Physik, die Zeit ist überall konsistent) offenbart, sondern die Zeitverschiebung. Beachten Sie, dass es häufig zahlreiche Möglichkeiten gibt, die lokale Serverzeit zu ermitteln, auch wenn Sie die Uhrzeit nicht explizit angeben. Beispielsweise bettet TLS bis Version 1.2 die aktuelle Zeit in den Handshake ein. Auf Webseiten werden möglicherweise die letzten Änderungsdaten dynamischer Seiten angezeigt. HTTP-Antworten selbst können enthalten Die aktuelle Uhrzeit und das aktuelle Datum in Antwortheadern usw.

Die genaue Kenntnis des Zeitversatzes eines Servers ist nur in ganz bestimmten Bedrohungsmodellen ein Problem:

• Clock Skew kann bei Angriffen verwendet werden, um versteckte Dienste von Tor zu deonymisieren.

• Schlecht geschriebene Anwendungen verwenden möglicherweise Serverzeit, um geheime Werte zu generieren.

• Die Umgebungsbedingungen des RTC können in erfundenen Situationen offengelegt werden.

"Servlet" klingt so, als würden Sie dort bereits einen komplexen Server betreiben.

Es gibt viele Möglichkeiten, wie Protokolle die Serverzeit verlieren. Beispielsweise verfügt HTTP über ein beliebtes Headerfeld für die Erstellungs- / Änderungszeit, und dynamisch generierte Daten haben bei ordnungsgemäßer Verwendung immer die aktuelle Systemzeit.

Aus Gründen der TLS-Authentifizierung können Sie sogar eine binäre Suche suchen Datum und Uhrzeit eines Endpunkts mithilfe ablaufender Client-Zertifikate.

Dies ist ein notwendiges Übel. Wenn Sie TLS ausführen, muss Ihr Server eine Vorstellung von der Zeit haben, um zu wissen, was ein gültiger Schlüssel / Zertifikat ist und was nicht . Wenn dies der Fall ist, wird dies sehr wahrscheinlich eine NTP-koordinierte Zeit sein. Sie können also wirklich nichts über den Server sagen, was ein Angreifer nicht bereits wissen würde - es gibt wirklich nur eine "richtige" Zeit.

Wenn Sie kein TLS ausführen, ist es wahrscheinlich, dass die Systemzeit verloren geht Nicht das erste, was Sie beheben sollten.

In Bezug auf die Sicherheit: Sie sind sich nicht sicher, ob Sie ein weiteres Servlet verfügbar machen sollten, damit Geräte die Weltzeit ermitteln können.

Um mehr zu erklären, wird dieser Endpunkt von mobilen Apps verwendet, um deren Sicherheit zu verbessern (um Betrug durch Anpassen des Gerätedatums zu vermeiden).

Rote Fahne . Sie sind abhängig von der Unverändertheit Ihres Kunden in Bezug auf die Sicherheit. TU das niemals. Sie können einfach nicht darauf vertrauen, dass auf den Geräten Ihres Benutzers etwas passiert. Dies sind nicht Ihre Geräte. Sie können einfach einen Debugger anschließen und Zeitvorstellungen im Speicher Ihres Prozesses ändern, unabhängig davon, ob sie vom Betriebssystem des Telefons oder von Ihrer Anwendung gespeichert werden.

Das einzige, was wirklich ein Sicherheitsrisiko darstellen könnte, sind die hochpräzisen Timer und Leistungsindikatoren. Diese können verwendet werden, um genau zu bestimmen, wie lange ein kryptografischer Prozess auf dem Server dauert, und von dort aus geheime Daten abzuleiten. p>

Serverzeit ist kein Geheimnis . Im Gegenteil, es wird dringend empfohlen, Ihre Zeit mit einer externen objektiven Zeitquelle zu synchronisieren (z. B. einer Atomuhr, die über einen Zeitserver verfügbar gemacht wird).

Nicht geheim zu sein hat zwei Konsequenzen:

1. Sie müssen es nicht schützen oder verstecken. Sie können davon ausgehen, dass der Angreifer in der Lage ist, die aktuelle Uhrzeit zu ermitteln.
2. Es sollte keine Funktion für etwas haben, das Sie schützen oder verbergen möchten. Zum Beispiel sollten Sie keine Schlüssel oder Geheimnisse aus der Zeit ableiten. Alle zufälligen Funktionen, die Sie verwenden, sollten nicht mit der aktuellen Zeit (in vielen Fällen immer noch ein fauler Standard), sondern mit einer besseren Startquelle gesetzt werden.
ol>

Die Kenntnis der Serverzeit ist für einen Angreifer von geringem Nutzen. Hier sollten Sie sich also über mögliche Nebenwirkungen informieren.

• Ist der Schutz für dieses Servlet (in irgendeiner Weise) schwächer als der eines anderen Servlets? Was sind die möglichen Auswirkungen der Keine Authentifizierung in Bezug auf DOS / DDOS-Angriffe? Es kann von Bedeutung sein, ob die Authentifizierung auf anderen sichereren Servern verarbeitet wurde. Gibt es einen Unterschied beim Reverse Proxy?
• Welche Risiken bestehen für Sicherheitslücken in diesem Servlet? Hat es die gleichen Qualitätsversicherungskontrollen wie die anderen Servlets durchgeführt? Was ist mit dem Wartungszyklus?
• was ist mit dem Servlet-Container?

Ich möchte darauf antworten, indem ich darauf hinweise, was sich aus der Annahme ergeben würde, dass das Offenlegen der Serverzeit tatsächlich ein Risiko darstellt. Dies würde bedeuten, dass Systemadministratoren zufällige Zeiten auf ihren Systemen festlegen müssten, da alle Der Server, der auf die richtige Zeit eingestellt ist, ist anfällig, da eine korrekte oder nahezu korrekte Serverzeit einfach zu leicht zu erraten ist. Es würde auch einen extremen Entwicklungsaufwand bedeuten, eine falsche Einstellung in eine korrekte Zeit für die Verwendung in jeder zeitbezogenen Anwendung zu übersetzen. Jede einzelne Datei auf dem System hätte einen falschen Zeitstempel.

Nach meiner Erfahrung verursachen Sie viel mehr Probleme, wenn Sie falsche Serverzeiten einstellen, als Sie mit der richtigen Einstellung erwarten können. Einige Beispiele werden in anderen Antworten erwähnt, aber Sie müssen auch verteilte Anwendungen oder Cluster berücksichtigen, bei denen normalerweise korrekte Zeiteinstellungen erforderlich sind. Grundsätzlich sind alle zeitbezogenen Informationen, die Sie speichern, fehlerhaft.

Wenn die Offenlegung Ihrer Systemzeit Ihr größtes Risiko darstellt, hatten Sie Glück. Aber höchstwahrscheinlich gibt es viele andere Bedenken, denen Sie nicht genug Aufmerksamkeit geschenkt haben. Unter https://www.owasp.org/index.php/Main_Page finden Sie sicherheitsrelevante Probleme und Best Practices.

Das einzige, woran ich denken kann, ist, wenn Sie die "Betriebszeit" des Servers offengelegt haben - dies könnte einen Hinweis auf die zuletzt installierten Patches geben. Ich glaube jedoch, dass dies normalerweise nicht öffentlich zugänglich gemacht wird - aber nicht überprüft wurde. Es könnte sich daher lohnen, dies zu bestätigen, wenn Sie interessiert sind.