在公共網站上顯示TCM ID是否存在安全問題？

Question

在公共網站的SiteEdit指令上顯示TCM ID是否存在安全問題？我的想法是，它不應該是一個問題，因爲Tridion是在防火牆後面。我想知道專家意見。

Answer 1

我會爭辯說它並不真正出現問題。如果防火牆中有可能被破壞的漏洞，攻擊者可能會找到一種方法來解決問題。在防火牆後面安裝Tridion CMS的事實有點不相關。

無論您是否擁有源代碼中的URI，您的實施應該保證足夠好，以至於知道您擁有Tridion CMS對於黑客毫無價值。

Answer 2

我想你在這裏問錯了問題。這些SiteEdit指令是否存在安全風險並不重要，它們只應出現在使用SiteEdit的發佈目標上。在任何其他目標上，他們只是不必要地增加了大小，並暴露了與該目標訪問者無關的實現細節。

所以，除非你對你的公開網站（不大可能）使SiteEdit，該SiteEdit說明不應該在HTML。

Answer 3

這取決於您需要的安全級別。原則上，您的安全性應該非常好，以至於您不依賴「默默無聞的安全性」。你應該模擬每一個威脅，並理解它，並設計堅不可摧的防禦。

在現實生活中，這有點難以實現，重點更多地放在通常所說的「安全深度」上。換句話說，你儘可能地擁有堅不可摧的防禦能力，但是如果一些直截了當的規則會讓你的攻擊者變得更加困難，那麼你也要確保你也做到了這一點。有很多證據表明，任何攻擊的第一步都是試圖列舉你正在使用的技術。然後，如果有任何已知的攻擊技術，攻擊者將嘗試使用它們。另外，如果攻擊已知，攻擊者將通過搜索受感染技術的簽名來搜索潛在受害者。

在面向公衆的輸出中暴露TCM URI與告訴攻擊者您正在使用Tridion一樣好。所以，就此而言，正在公開SiteEdit代碼。如果你使用Tridion，完全沒有必要做這些事情。您可以簡單地顯示一個沒有提供關於其實施的線索的網站。 （避免給出這些線索的能力對於許多選擇WCMS的大型組織來說是一個硬性要求，並且Tridion在這方面的實力可能是您工作的組織選擇使用它的原因之一。）

所以雖然TCM URI中沒有任何內容會導致安全問題，但它不必要地向潛在的攻擊者提供信息，所以是的，這是一個安全問題。金融機構，政府組織和一般大公司都期望你做一個乾淨的實施，不會給壞人帶來任何幫助。