jak UTAJIT ze pouzivam nette framework?

Upozornění: Tohle vlákno je hodně staré a informace nemusí být platné pro současné Nette.
před 10 lety
sq
Člen | 2
+
+3
-

Nevite podle ceho se to identifikuje a jak to skryt? diky

Editoval sq (6. 5. 2015 20:59)

před 10 lety
Filip Procházka
Moderator | 4668
+
+10
-

Nejsnadnější způsob jak poznat že používáš Nette Framework je HTTP hlavika, kterou Nette posílá.

Mělo by ji jít vypnout takto

http:
	headers:
		X-Powered-By: off

Problém ale je, že Nette poznáš i ze spousty dalších věcí, které už tak snadno nevypneš. Například formuláře mají velice specifický způsob pojmenování elementů a generování HTML kódu. Například id atributy, automaticky generované hidden elementy na konci formuláře atd. Použitý javascript, třeba netteForms.js – pokud chceš validaci formulářů, tak tohle schováš hodně težko. No a pak máš taky error stránky. A spoustu dalších věcí… „otisk“ Nette je zkrátka znát na celém webu a pro zkušené oko bude těžké ho skrýt.

Na druhou stranu, znáš termín Security through obscurity? Obecně se to nepovažuje za dobrej přístup. Největší nebezpečí je, že někdo uhádne na jaké verzi běžíš a díky tomu ví přesné zranitelnosti. Jenže Nette verzi nikam neposílá a tu už tak jednoduše nezjistíš. Já bych to zkrátka neřešil.

Důležitější je vypnout posílání na jaké verzi Nginxu jedeš, jako to mám já na blogu

No a teď jdu napsat našemu adminovi aby to vypl i na rohlíku :)

před 10 lety
HonzaN
Člen | 66
+
+1
-

Super doplněk :-)

před 10 lety
sq
Člen | 2
+
0
-

Diky za vycerpavajici odpoved. :-) Jinak koukam, ze krome verze ngixu zmizel i nette, takze diky i za nazornou demonstraci. :D

Editoval sq (21. 5. 2015 12:53)

před 10 lety
Filip Procházka
Moderator | 4668
+
0
-

Já to nevypl kvůli bezpečnost, ale protože jsme chtěli zmenšit přenášená data v api a bylo jednodušší to vypnout všude, než jenom v api :)

před 10 lety
buffus
Člen | 101
+
0
-

Tady ještě chybíte…