跳转到主要内容
一路上有亮 提交于 8 March 2012

原文链接:http://drupal.org/node/766404

 

很多时候,一个不完整的“安全”理念的新用户的要求

  1. 如何隐藏从该网站使用Drupal的游客呢?
  2. 如何隐藏什么样的模块/主题使用本网站的访问者?

简短的答案是:

你不能。不要尝试

  • 自动攻击(迄今为止最常见的攻击),甚至不检查服务器,然后再尝试他们的盘剥。 检查任何高调网站的的日志将显示数以千计的无果而终的请求 / AspBB / DB / betaboard.mdb的 _private / cmd.asp  /  / WP登录/ <。代码scripts/../../winnt/system32/cmd.exe >的<code> /管理员/组件/ com_wmtgallery / admin.wmtgal/ cgi-bin/ip.cgi ... 任何企图在历史上任何无关的系统战功。漏洞攻击发生的漏洞,即使不存在于您的操作系统或CMS。不管你做什么误识别您的网站将被忽略,反正业余黑客。 
  • 无论你认为你可以隐藏,还有其他的线索,任何系统, 只需删除所有字符串包含Drupal的一些不掩饰你的网站以任何合理的窥探者。有几十种方法,可以用来猜测是为您的网页,甚至告诉的是,网站运行Drupal的专门服务。只是关键字,承认并认为是一种威胁,是一个真正的指标轻微集 要求的index.php / Q =用户。然后尝试禁用您的网站没有削弱这种反应。
  • 通过隐藏的安全性是没有安全保障。它提供了'安全',当你只躲在烟幕漏洞的任何攻击者带来任何真正的威胁将是能够识破假象。
  • 虽然它是不是完全不可能来破解代码的地方点 Drupal的痕迹是从HTML源代码中隐藏的,(这是毕竟是开源的),这样做所需的步骤将neccessarily突破核心如此糟糕的你砍死分支的代码将不相容的真正的安全更新,你无法修补,将真正成为开放的未来安全团队确定任何真正的威胁。这是一个真正的路由体系的脆弱性。
  • 最重要或有用的模块有自己的代码“签名”,是难以掩饰没有显著重写。如果您使用的是'意见','CCK','广告','imagecache','jQuery的,CSS-聚集,贡献您的网站上有用的主题或什么- 有人能告诉。隐藏,完全将通常需要一个总的主题功能转换-至少。甚至然后,obsfucation的可能不会工作
  • 鉴定到许多先进的功能,如甚至删除Google Analytics(分析)易于安装,可使用Drupal的图书馆工作,你必须要么放弃这些功能完全,或改写的方式,不采取Drupal的基础设施优势。有时候,这是可能的,但在任何情况下,它是反生产力的。

此页面上的发言可能对某些深举行的信念。手册页不讨论线程,所以请参加辩论与安全小组论坛和现有的系统管理员,后上的微不足道obsfucation价值审查,dopry gregglesMorbus IFFwebchickDWWGABOR几个以前的报表,如灯具hojtsysepeckVM ... 等