bugie.cz
Sniperův blog o věcech webových i newebových
Publikování použitého frameworku
Má o sobě použitý framework prohlašovat, že je použitý? A včetně verze?
Posledních pár let se v oblasti PHP rozmáhá používání frameworků. Programátory už nebaví vymýšlet znova kolo a tak šáhnou po nečem, co už je hotové. Nette, jeden z nejpopulárnějších PHP frameworků v české kotlině posílá v hlavičkách odpovědi informaci o svém použití a to včetně verze. Není to náhodou chyba?
Když jsem před asi rokem podobnou funkcionalitu protlačoval do zend frameworku, protiargument byl velmi logický a docela i pochopitelný - bezpečnost. Pokud se v daném frameworku nalezne nějaká bezpečností chyba, je pro útočníka velmi snadné napsat robota, který bude vyhledávat a napadat weby, které daný framework používají. Stačí se podívat do hlavičky odpovědi a hned má jasno, zda může zahájit útok nebo má jít o dům dál.
Co si budeme nalhávat, žádný framework není bez chyby. A changelogy tomu dávají za pravdu. V mojim oblíbeném zend frameworku se tu a tam nejaká bezpečnostní chybka objeví. Je sice velmi rychle opravena, ale málokdo se obtěžuje již na běžící aplikaci framework aktualizovat. Občas je to jenom lenost vývojáře, občas nemožnost v implementaci. Což se ale dá docela slušně obejít automatizovaným testováním - projdou testy = můžeme aktualizovat framework.
A přitom víceméně neexistuje z této informace žádná výhoda. Ano, dají se dělat statistiky "x% web; používá ten a ten framework" ale k čemu to? Proč útočníkům ulehčovat práci a na talíři jim říkat, že web je napadnutelný?
Sdílet
May 23, 2011 9:06:05 PM Pravdu dis. Kdysi jsem vypustil do sveta webovou aplikaci. Urcita verze mela bezpecnostni chybu. Prestoze jsem chybu behem asi mesice odhalil a opravil, verze postizena touto chybou uz byla rozsirena. V paticce aplikace je jeji jmeno, bez verze. Jeste dnes, po dvou letech, se mi ozyvaji lide, ze jim nekdo hacknul web kvuli teto bezpecnostni chybe, pricemz hackeri (spis script-kiddies) se na web dostanou vetsinou pomoci googleni jmena aplikace ...
May 23, 2011 9:06:58 PM Jinak obecne i v pripade Nette se jedna proste jen o reklamu ...
May 24, 2011 7:38:03 AM Nette, jeden z nejpopulárnějších PHP frameworků v české kotlině posílá v hlavičkách odpovědi informaci o svém použití a to včetně verze.
May 24, 2011 7:39:48 AM nejak me to neodeslalo celej komentar... :-( Můžu se tě zeptat kde tam verzi vidíš? Jinak ať nejsem moc OT. Posílaní informace o použitém frameworku zase za tak velkou chybu nepovažuji - pokud neobsahuje verzi (souhlasím s argumenty). Je to ale čistě osobní "cítění" bez argumentů. Co se týká Nette jde hlavně o reklamu (hele Amplión.cz běží na Nette - každý si to může ověřit pohledem do hlaviček)
May 25, 2011 7:13:29 AM Patrik: Priznam se ze jsem na to uz dlouho nekoukal, mozna verzi David vyhodil a uz tam neni (defaultne).
Jun 17, 2011 1:51:40 AM Verze tam nikdy nebyla.