मैं अपनी साइट को चलाने के लिए जो भी उपयोग कर रहा हूं, उसे कैसे अस्पष्ट कर सकता हूं?

क्या ऐसा कुछ है जिसे मैं किसी को रोकने के लिए कर सकता हूं मेरी साइट को जानने के लिए फ्रंट पेज के सोर्स कोड को देखकर Drupal का उपयोग कर रहा है? मैं ऐसे लोगों का उल्लेख कर रहा हूं जो सॉफ़्टवेयर का उपयोग करने वाली साइटों को स्कैन करते हैं जो किसी भी ज्ञात कमजोर बिंदु का उपयोग करके उस पर हमला करने में सक्षम होने के लिए वेबसाइट चलाने के लिए उपयोग किए गए सॉफ़्टवेयर का पता लगाता है।

यदि यह पूरी तरह से इस तथ्य को छिपाना संभव नहीं है कि साइट ड्रुपल का उपयोग कर रही है, तो क्या उन्हें भ्रमित करना कम से कम संभव है (उदाहरण के लिए, यूआरएल जैसे नोड पेजों को अलियास करके http://example.com/servlets/<node-id>.jsp)?

यह एक पुराना और पहले से ही उत्तर दिया गया प्रश्न है, लेकिन मैंने हाल ही में उन सभी चीजों का विवरण लिखने में कुछ प्रयास किए हैं जिन्हें आपको बदलने की आवश्यकता होगी:

• Drupal 7 के लिए मेटा जनरेटर निकालें
• CHANGELOG.txt जैसे बताओ-कथा-पाठ को हटा दें
• एक्सपायर हेडर की जांच करें
• HTTP 200/404/403 स्थिति कोड के लिए पैदल निर्देशिका
• डिफ़ॉल्ट टेक्स्ट संदेशों के लिए देखें - सभी उपयोगकर्ता-सामना वाले संदेशों को ट्विक करें
• HTML को देखो - डिफ़ॉल्ट html कोर और मॉड्यूल से एक गप्पी संकेत है

मूल रूप से: यह तकनीकी रूप से इस तथ्य को छुपाने के लिए संभव हो सकता है कि आपकी साइट ड्रुपल चलाती है, लेकिन आप इस पर इतना समय खर्च करेंगे कि यह इसके लायक नहीं है। आपको इसके बजाय इसे सुरक्षित बनाने और सुरक्षित संचालन पर ध्यान केंद्रित करना चाहिए (उदाहरण के लिए अपडेट को जल्दी से तैनात करने की क्षमता, लॉग की निगरानी, ​​आदि)।

आप इसे पूरी तरह से छिपा नहीं सकते। इसके लिए सबसे ज्यादा जरूरी है हैकिंग कोर की जरूरत। सबसे बड़ा विवरण, Drupalजावास्क्रिप्ट चर है जो सामने वाले पृष्ठ या उस मामले के किसी भी पृष्ठ से पठनीय है।

यदि आप अपनी साइटों की सुरक्षा को यह छिपाना चाहते हैं कि यह एक ड्रुपल साइट है, तो आपका प्रयास कोड समीक्षाओं पर बेहतर खर्च होता है, क्योंकि यह इस तथ्य को छिपाने की कोशिश में है कि साइट ड्रुपल के साथ बनाई गई है।

यह करना आसान है, किम!

• एक रिवर्स प्रॉक्सी का उपयोग करें या कष्टप्रद Drupal http हेडर को फ़िल्टर करने के लिए अपने http डेमन को कस्टमाइज़ करें
• किसी भी Drupal डिफ़ॉल्ट फ़ोल्डर में http एक्सेस से इंकार करें
• अपने HTML स्रोत को फिर से लिखने और अस्पष्ट करने के लिए PHP आउटपुट बफ़रिंग का उपयोग करें, अनावश्यक डेटा को हटा दें
• अपने URL को गड़बड़ाने के लिए url उपनाम या custom_url_rewrite_in / आउटबाउंड का उपयोग करें
• डिफ़ॉल्ट 404 त्रुटि को बदलें, अपडेट को हटा दें / बदल दें
• अगर किसी को पता चल जाए तो कोई और बदलाव करें

और अंतिम लेकिन कम से कम नहीं, सुनिश्चित करें कि आपकी साइट इतनी सरल है कि सामान्य व्यवहारों के लिए जेएस या सीएसएस की आवश्यकता नहीं है (न ही दृश्य या सीटीओल्स का उपयोग करें ...), उपयोगकर्ता प्रमाणीकरण का समर्थन नहीं करता है, जिसका अर्थ है कि आपकी साइट चाहिए। एक स्थिर HTML साइट के रूप में सरल हो।

ठीक है, लोगों को यह विश्वास दिलाने के लिए कि आपकी साइट Drupal नहीं चलती है। वैसे भी, अस्पष्टता से सुरक्षा बेकार है।

उसी के संबंध में एक आधिकारिक लेख और चर्चा है ।

आप नहीं कर सकते। प्रयास मत करो

• स्वचालित हमले (अब तक के सबसे आम हमले) अपने कारनामों को आजमाने से पहले सर्वर का निरीक्षण भी नहीं करते हैं ।
  किसी भी हाई प्रोफाइल साइट के लॉग निरीक्षण के लिए निरर्थक अनुरोधों के हजारों दिखाएगा /AspBB/db/betaboard.mdb _private/cmd.asp /scripts/../../winnt/system32/cmd.exe /wp-login/ /administrator/components/com_wmtgallery/admin.wmtgal, /cgi-bin/ip.cgi... और किसी भी असंबंधित सिस्टम पर ऐतिहासिक कारनामे के प्रयास के किसी भी संख्या।
  शोषण पर हमले तब भी होते हैं, जब आपके ओएस या सीएमएस पर कारनामे मौजूद नहीं होते हैं। जो कुछ भी आप अपनी साइट को गलत पहचानने के लिए करते हैं उसे शौकिया हैकर्स द्वारा वैसे भी अनदेखा कर दिया जाएगा।
• जो कुछ भी आप सोचते हैं कि आप छिपा सकते हैं, किसी भी प्रणाली के लिए अन्य सुराग हैं ।
  बस उन सभी स्ट्रिंग्स को हटा देना चाहिए जिनमें 'ड्रुपल' शामिल है, जो आपकी साइट को किसी भी उचित स्नूपर तक नहीं पहुंचाता है। ऐसे दर्जनों तरीके हैं जिनका उपयोग यह अनुमान लगाने के लिए किया जा सकता है कि आपके पृष्ठों की सेवा क्या है, यहां तक ​​कि यह बताने के लिए समर्पित सेवाएं कि क्या Drupal चल रही है। बस वे कीवर्ड जिन्हें आप पहचानते हैं और सोचते हैं कि एक खतरा है, असली संकेतकों का एक छोटा सा सबसेट है।
  Index.php /? Q = उपयोगकर्ता के लिए पूछें। फिर अपनी साइट को अपंग किए बिना उस प्रतिक्रिया को अक्षम करने का प्रयास करें।
• अश्लीलता से सुरक्षा कोई सुरक्षा नहीं है। यह 'सुरक्षित' होने का झूठा आभास देता है जब आप केवल स्मोकस्क्रीन के पीछे कमजोरियों को छिपा रहे होते हैं जो कि किसी भी वास्तविक खतरे को प्रकट करने वाले किसी भी हमलावर के माध्यम से देख पाएंगे।
• हालाँकि यह उस बिंदु पर कोड को हैक करना पूरी तरह से असंभव नहीं है जहां Drupal के अधिकांश निशान HTML स्रोत से छिपे हुए हैं, (यह सब के बाद खुला स्रोत है) ऐसा करने के लिए आवश्यक कदम जरूरी कोर को इतनी बुरी तरह से तोड़ देंगे कि कोड की आपकी हैक की गई शाखा वास्तविक सुरक्षा अद्यतनों के साथ असंगत होगा जो आप पैच नहीं कर सकते थे और वास्तव में सुरक्षा टीम द्वारा पहचाने गए किसी भी वास्तविक खतरे के लिए खुले होंगे। यह सिस्टम भेद्यता के लिए एक सही मार्ग है।
• अधिकांश महत्वपूर्ण या उपयोगी मॉड्यूल का अपना कोड 'हस्ताक्षर' होता है, जो महत्वपूर्ण पुनर्लेखन के बिना छिपाना मुश्किल होता है। यदि आप 'दृश्य', 'cck', 'ad', 'imagecache', 'jquery', css-एकत्रीकरण, योगदान विषयों या अपनी साइट पर उपयोगी कुछ का उपयोग कर रहे हैं - तो कोई भी बता सकता है । यह छिपाना कि पूरी तरह से आमतौर पर थीम फ़ंक्शन के कुल रूपांतरण की आवश्यकता होगी - कम से कम। फिर भी, अश्लीलता शायद काम नहीं करेगी ।
• कई उन्नत सुविधाओं की पहचान को दूर करने के लिए, जैसे कि Google Analytics की आसान स्थापना, जो Drupal लाइब्रेरी का उपयोग करने के लिए काम कर सकती है, आपको आवश्यक रूप से उन सुविधाओं को पूरी तरह से छोड़ देना चाहिए, या उन्हें इस तरह से फिर से लिखना चाहिए जो Drupal बुनियादी ढांचे का लाभ नहीं उठाते हैं । कभी-कभी यह संभव है, लेकिन सभी मामलों में यह प्रति-उत्पादक है।

आपको अपनी साइट को सुरक्षित रखने में भी रुचि हो सकती है।

याद रखें कभी भी कोर हैक न करें

यह छिपाने का कोई मतलब नहीं है कि आपकी साइट ड्रुपल चलाती है। यह विकासशील वेबसाइटों को देखने का गलत तरीका है। आपको सुरक्षा पर ध्यान केंद्रित करना चाहिए। सुनिश्चित करें कि आप सभी प्रतिभूतियों के उपायों को लागू करते हैं और सब कुछ ठीक हो जाएगा। दुनिया में यह छिपाने का एक कारण नहीं है कि आप एक निश्चित सेमी या अन्य सॉफ्टवेयर का उपयोग कर रहे हैं। Wappalyzer जैसे FF addons के साथ, आप एक पल में बता सकते हैं कि क्या कोई साइट Drupal का उपयोग करती है, इसलिए यह प्रश्न बहुत बढ़िया है।

एक अतिरिक्त चीज़ जो आप कर सकते हैं वह है डिफ़ॉल्ट फ़ाइल संरचना को बदलने के लिए फाइल अलायस मॉड्यूल का उपयोग करना।

फ़ाइल उपनाम मॉड्यूल आप अपने फाइल सिस्टम है, जबकि स्वच्छ देख पथ (यानी, कोई और अधिक / साइटों / डिफ़ॉल्ट / फ़ाइलें /) उपलब्ध कराने के सामान्य के अनुसार व्यवस्थित रखने के लिए क्षमता के साथ, आप अपने अपलोड की गई फ़ाइलों के लिए टोकन अनुकूलन उपनाम का उपयोग करने की अनुमति देता है।

मैं अन्य लोगों से सहमत हूं कि आप इसे पूरी तरह से छिपा नहीं सकते। यदि आप HTML स्रोत को देखते हैं, तो आप देखेंगे कि कई बार CSS और JavaScript फ़ाइलों को एकत्र नहीं किया गया है। सीएसएस और जावास्क्रिप्ट एकत्रीकरण सक्षम होना चाहिए।

उस अतीत में, मैंने अपने रूबिक्स प्रोजेक्ट्स को लुसीडा सैन्स की तरह ठेठ रूबी फोंट के लिए अदला-बदली किया है, जो सभी कूल्हे बच्चों की तरह इनपुट आकार में वृद्धि कर रहे हैं।

एक और दूर स्वचलित क्षेत्रों के लिए "थ्रॉबर" ग्राफिक है। जब आप इनपुट आकार बढ़ाते हैं तो यह भी काम नहीं करता है। यहाँ आप एक चोरी कर सकते हैं: http://beta.seattlebedandbreakfast.com/misc/throbber.gif