我目前正在向一些网站添加一个子站点,使我能够实时监控服务器软件感知的性能数据。数据主要是使用的内存量、分配的内存、上次垃圾收集期间释放的内存、并行性、正常运行时间等。错误消息、日志、软件版本等不是数据的一部分。
我的一部分访问者有点古怪,所以我认为如果我公开子网站而不是将其隐藏在管理员帐户后面,他们可能会很有趣。
我不确定的是安全隐患。我提出了两个风险:数据可能有助于进行 ddos 攻击(有关时间和结果的信息就在那儿),它可能会将有关访问者行为的非常粗略的想法暴露给“竞争对手”。
但我觉得我不够有创意(也不够聪明,无法找到好的谷歌词)。攻击者过去是如何使用此类信息的?
所以我不得不承认我的第一反应是“我永远不会这样做”。然而,这可能更多是因为从历史上看,我不喜欢让任何人知道他们不需要的任何事情,而不是出于任何真正的安全原因。
也就是说,我能想到的唯一安全问题相当有限,而且相当深奥。它可用于查找 DoS 或 DDoS 向量,如果 a) 攻击者努力分析您的应用程序,并且 b) 碰巧偶然发现了对您的资源施加压力所需的确切操作,并且c) 它明确显示,或者至少在你的报告中是合理的。也就是说,在僵尸网络上争取一些时间并向您投放一些流量要容易得多,因此性能数据本身的实际风险可能非常低。唯一的例外是,如果快速查看数据表明您的网站已经处于压力之下,或者很容易受到负载的影响。如果它向世界宣传重大弱点,那么可以想象有人可能会对这些信息采取恶意行动。
至于来自竞争对手的威胁,这取决于你衡量真正的风险有多大。当然,很多网站都会公布他们的流量数据,对于一些网站来说,这样做对于吸引广告商来说非常关键,所以除非你有特定的理由想要保密这些数据,否则这可能没什么大不了的。除了一般的上升/下降趋势之外,服务器性能也不是唯一的方法,甚至不是估计流量的最佳方法。
因此,虽然我还没有准备好将其视为一个好主意,但实际的安全风险可能偏低。