Come posso nascondere quello che sto usando per eseguire il mio sito?
https://drupal.stackexchange.com/questions/237
-
16-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
C'è qualcosa che posso fare per evitare che qualcuno di conoscere il mio sito sta usando Drupal, cercando il codice sorgente della pagina anteriore? Mi riferisco alle persone che i siti di scansione utilizzando un software che rileva il software utilizzato per eseguire il sito web per essere in grado di attaccare utilizzando qualsiasi punto debole conosciuto.
Se non è possibile nascondere completamente il fatto che il sito sta usando Drupal, è almeno possibile confonderli (ad esempio, creando un alias per le pagine dei nodi con gli URL come http://example.com/servlets/<node-id>.jsp)?
Soluzione
Questo è un vecchio e già risposto alla domanda, ma di recente ho messo qualche sforzo in scrittura di una descrizione di tutti le cose che avrebbe bisogno di cambiamento:
- Rimuovere il generatore di meta per Drupal 7
- Rimuovi spia-testo come changelog.txt
- Controllare il Expires
- le directory a piedi per HTTP 200/404/403 codici di stato
- Cercare i messaggi di testo predefinite - modificare tutti i messaggi degli utenti rivolto
- Esaminando il codice HTML - HTML predefinito dal nucleo e dei moduli è un segno rivelatore
In sostanza: potrebbe essere tecnicamente possibile nascondere il fatto che il vostro sito viene eseguito Drupal, ma si sarebbe spendere così tanto tempo su di esso che non vale la pena. Si dovrebbe invece concentrarsi sul rendere più sicuro e sulle operazioni sicure (ad esempio, la possibilità di distribuire gli aggiornamenti in modo rapido, i registri di monitoraggio, ecc.).
Altri suggerimenti
Non è possibile nascondere completamente. La maggior parte di ciò che è necessario per farlo, richiederebbe l'hacking di base. Il più grande tell, è la variabile Drupal JavaScript che è leggibile dalla prima pagina, o qualsiasi pagina, per quella materia.
Se si vuole migliorare la sicurezza siti nascondendo che si tratta di un sito Drupal, il vostro sforzo è speso meglio su revisioni del codice di quello che è il tentativo di nascondere il fatto che il sito è realizzato con Drupal.
E 'troppo facile da fare, kiam!
- Usa un proxy inverso o personalizzare il http daemon per filtrare il fastidioso Drupal http intestazione
- Nega l'accesso HTTP a tutte le cartelle predefinite di Drupal
- Utilizzare PHP uscita buffer di riscrivere e oscurare la sorgente HTML, rimuovere i dati non necessari
- Utilizzare URL alias o custom_url_rewrite_in / outbound per rendere il vostro URL un pasticcio
- modificare il valore predefinito 404 errore, rimuovere / cambio update.php
- apportare altre modifiche, se qualcuno scopre
E, ultimo ma non meno importante, assicurarsi che il vostro sito è così semplice che non necessita di JS o CSS per comportamenti normali (non utilizzare Vista o Ctools ...), non si autenticazione utente di sostegno, ecc, che i mezzi il tuo sito dovrebbe essere semplice come un sito statico HTML.
Ok, tutto questo per far credere alla gente che il vostro sito non funziona Drupal. In ogni caso, la sicurezza tramite segretezza è inutile.
C'è un articolo e la discussione ufficiale per quanto riguarda lo stesso .
Non è possibile. Non cercare
- attacchi automatizzati (di gran lunga gli attacchi più comuni) non hanno nemmeno ispezionare il server prima provare le loro imprese .
Controllo i registri di qualsiasi di alto profilo sito mostrerà migliaia di richieste inutili per/AspBB/db/betaboard.mdb_private/cmd.asp/scripts/../../winnt/system32/cmd.exe/wp-login//administrator/components/com_wmtgallery/admin.wmtgal,/cgi-bin/ip.cgi... e qualsiasi numero di tentativi di exploit storici su qualsiasi sistema non correlato.
Attacchi a accadere anche se non esistono sul vostro sistema operativo sfrutta le gesta o CMS. Qualunque cosa tu faccia per mis-identificare il vostro sito sarà ignorato in ogni caso da parte di hacker dilettanti.- Qualunque cosa tu pensa che si può nascondere, ci sono altri indizi per ogni sistema.
È sufficiente rimuovere il alcuni di tutte le stringhe che contengono 'Drupal' non lo fa mascherare il sito a qualsiasi snooper ragionevole. Ci sono decine di modi che può essere utilizzato per indovinare che cosa sta scontando le pagine, anche dedicato servizi per dire è che sito in esecuzione Drupal. Proprio le parole chiave che si riconoscono e pensano sono una minaccia sono un minore sottoinsieme di i veri indicatori.
ASK per index.php /? q = user. Quindi provare a disabilitare che la risposta senza paralizzare il vostro sito.- Sicurezza tramite segretezza c'è sicurezza. Dà un falsa impressione di essere 'sicuro' quando si è solo nascosto vulnerabilità dietro una cortina di fumo che ogni attaccante che ha posto alcun vera e propria minaccia sarebbe in grado di vedere attraverso.
- Anche se non è del tutto impossibile per hackerare il codice al punto in cui più tracce di Drupal sono nascosti dalla sorgente HTML, (è open source dopo tutto) i passi necessari per farlo sarebbe necessariamente infrange nucleo così male che la filiale hacked del codice sarebbe incompatibile con aggiornamenti di sicurezza reali che non si poteva cerotto e sarebbe veramente aperta a eventuali future minacce reali identificate da il team di sicurezza. Si tratta di un vero e proprio percorso alla vulnerabilità del sistema.
- La maggior parte dei moduli significativi o utili hanno il loro proprio codice 'firma' che è difficile da nascondere, senza riscritture significative. Se si utilizza 'Vista', 'CCK', 'ad', 'imagecache', 'jQuery', css-aggregazione, contribuito temi o qualcosa di utile sul tuo sito - Qualcuno può dire . Nascondere che tutto sarebbe di solito richiedono un totale la conversione delle funzioni tema - almeno. Anche allora, obsfucation probabilmente non funzionerà .
- Per rimuovere l'identificazione di molte delle caratteristiche avanzate, come anche la facile installazione di Google Analytics che possono usare Drupal librerie per lavoro, è necessario necessariamente o rinunciare quelli caratteristiche del tutto, o riscrivere in modo che non tiene vantaggio delle infrastrutture Drupal. A volte questo è possibile, ma in tutti i casi è controproducente.
Si può essere interessati a leggere proteggere il vostro sito troppo.
Non v'è alcun punto in clandestinità che il vostro sito viene eseguito Drupal. E 'il modo sbagliato di guardare siti web in via di sviluppo. Che cosa si dovrebbe essere incentrato su è la sicurezza. Assicurati di implementare tutte le misure di titoli e tutto andrà bene. Non c'è una sola ragione al mondo per nascondere che si sta utilizzando un certo CMS o altro pezzo di software. Con addons FF come Wappalyzer, si può dire in un istante se un sito utilizza Drupal, quindi la domanda è piuttosto discutibile.
Una cosa in più si può fare è utilizzare anche il file del modulo Alias ??di modificare la struttura del file di default.
Il href="http://drupal.org/project/file_aliases" rel="nofollow"> File modulo consente di utilizzare gli alias personalizzabili gettone per i file caricati, dando la possibilità per mantenere il vostro file system organizzato come al solito, fornendo percorsi di ricerca pulito (cioè, non più / sites / default / files /).
Sono d'accordo con altre persone che non si può nascondere del tutto. Se si guarda il sorgente HTML, si noterà che molte volte file CSS e JavaScript non sono stati aggregati. CSS e JavaScript di aggregazione devono essere abilitati.
In quel passato ho scambiato miei font per i tipici caratteri del progetto di Ruby come Lucida Sans, anche aumentare le dimensioni di ingresso come tutti i ragazzi alla moda fanno.
Un altro dare via è la grafica "throbber" per i campi di completamento automatico. Inoltre non funziona quando si aumenta la dimensione di ingresso. Ecco quello che si può rubare: http://beta.seattlebedandbreakfast.com/misc/throbber.gif
