Почему мы не ставим "Powered by..." по умолчанию

Позвольте мне нарисовать неприглядную картину того, что очень часто происходит с сайтами. Для тех, кто не в курсе "script kiddie" - это дети, которые используют различные инструменты, доступные в сети, для взлома вашего сайта, увеличения эго и прибыли, это так же известно как "p0wning" (сленг, можно перевести как "тотальная победа", подробнее тут). Это не СНС (Страх, Неуверенность и Сомнение), а мрачная реальность нынешнего интернета.
Этот человек не злобный хакер. Любое сходство этого человека с вашим знакомым злобных хакером - случайно. Фото предоставлено XRWN. (А вообще, может он и злобный хакер. Теперь я боюсь его и использования Creative Commons image search от Flickr.)
Шаг 1 - один гнусный злой бородатый гений выявляет уязвимости ПО, которое вы используете на сервере. Затем он распространяет то, что узнал в виде "скрипта" своим миньонам - script kiddies. (Их компьютер может стоять в подвале у мамочки, но они все равно вредные хитрые сволочи, помни об этом).
Шаг 2 - script kiddie по всему миру качают "warez" и "pr0n" скрипты, для загрузки их в свое Приложение-Для-Любого-Взлома 3000, или как там оно называется.
Шаг 3 - пока кто-то всерьез работает, эти балбесы с пеной у рта гуглят "powered on...", чтобы найти случайные цели (или что под руку попадется, это все равно автоматом делается). И все, "Роберт, брат твоей матери и твой сайт были p0wned". Некоторые из этих детишек даже входят в банды и при взломе повышают свой авторитет, и даже немного зарабатывают.
Тысячи сайтов теперь распространяют экранки, порно или превращают компьютеры посетителей в членов спящего ботнета. (И впоследствии, многие сайты пропадает из выдачи Гугла.) Это все возможно, частично благодаря программному обеспечению, которое легко определяет на чем работает сайт.
Это все не касается MODX.
На самом деле, вы можете заставить MODX выглядеть как любое ПО в списке внизу, или как Java приложение, или как сайт .Net или даже коммерческое ПО.

Правильный выбор? Ваш вызов...

Есть ложь, большая ложь и статистика. Выбор за вами.
Рекомендации безопасности Secunia.com для большинства распространяемых систем управления контентом с открытым кодом.

Безопасность через неизвестность - не выход

Мы ни в коем случае не выступаем за безопасность через неизвестность, как правильную стратегию в защите сайта. У вас должна быть целая армия, которая заботится о безопасности, и финансовая стабильность. Разработчики, которые строят вам сайт должны понимать, что они делают, иметь список успешных работ и рекомендовать хорошо спроектированное ПО. У вашего производителя ПО должен быть номер телефона, который вы сможете набрать и заказать коммерческую поддержку, если вам действительно понадобится помощь. И вы должны держать другое ПО на вашем сервере и в инфраструктуре в актуальном состоянии.
Наконец, убедитесь, что вы не загрузили "крутой" плагин или модуль, который не был тщательно проверен на безопасность.
Но так же мы считаем, что держаться тише воды, ниже травы и не отсвечивать всему миру на чем работает ваш сайт, специально или нет - это часть 100% сохранения проекта под вашим управлением.
В интернете очень просто спровоцировать акулу, даже если вы не хотели этого делать. Не помогайте ей укусить вас.

МБНЕ (еще сленг: Многа Букав, Не Осилил)

Нехорошие люди используют инструменты для выявления легкоэксплуатируемых уязвимостей. Проверка версии и идентификация системы управления один из способов определения жертвы.
MODX делает сложным, практически невозможным нацелиться на ваш сайт таким методом, если админ потратит несколько лишних минут при конфигурировании. С MODX вы полностью управляете всем, и показываете только то, что хотите показать.

1 комментарий

Юрий Зюзин
Хм, кстати по идее со стороны точки зрения SEO, это немного сокращает код и -строчка дублирования контента) Как говорится вроде мелочь, а приятно)
bezumkin.ru
Personal website of Vasily Naumkin
Прямой эфир
Василий Наумкин
01.07.2024, 11:56:41
Да, верно, именно так. А в контроллере, скорее всего, ловить данные методом post.
Василий Наумкин
26.06.2024, 09:38:15
О, точно, вылезает если не залогинен. Спасибо, исправил!
Василий Наумкин
09.04.2024, 04:45:01
> Ошибка 500 Это не похоже на ошибку Nginx, это скорее всего ошибка PHP - надо смотреть его логи. ...
Futuris
04.04.2024, 08:56:12
Я просто немного запутался. Когда в абзаце "Vesp/Core" ты пишешь про "новый trait FileModel", я поду...
Василий Наумкин
20.03.2024, 21:21:52
Volledig!
Андрей
14.03.2024, 13:47:10
Василий! Как всегда очень круто! Моё почтение!
russel gal
09.03.2024, 20:17:18
> А этот стоило написать хотя бы затем, чтобы получить комментарий от юзера, который ничего не писал...
Александр Наумов
27.01.2024, 03:06:18
Василий, спасибо! Извини, тупанул.
Василий Наумкин
22.01.2024, 07:43:20
Давай-давай!
Василий Наумкин
24.12.2023, 14:26:13
Спасибо!