Zum Ende der Metadaten springen
Zum Anfang der Metadaten

Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

« Vorherige Version anzeigen Version 4 Aktuelle »

Fingerprints sollten vermieden werden. Nachfolgend einige Möglichkeiten:

Apache
ServerTokens Prod
ServerSignature Off


Sensible Daten per HTTP
/**
 * @return string
 */
private function getConfigCryptoKey16() {
  return (string)basic\utility\config::get('brandbox', 'cryptoKey16');
}

/**
 * @param string $encrypted
 * @return mixed
 */
private function decrypt($encrypted = '') {        
  $decrypted = '';
  if($encrypted != ''):
    $cryptoKey16 = $this->getConfigCryptoKey16();
    $decrypted = openssl_decrypt($encrypted, 'aes-256-cbc', $cryptoKey16, 0, $cryptoKey16);
  endif;
  
  return $decrypted;
}

/**
 * @param $decrypted
 * @return mixed
 */
private function encrypt($decrypted) {
  $cryptoKey16 = $this->getConfigCryptoKey16();

  return openssl_encrypt($decrypted, 'aes-256-cbc', $cryptoKey16, 0, $cryptoKey16);
}

Fingerprinting von Assets

Es ist nicht möglich, Assets nicht zu fingerprinten. Wird bspw. eine Datei jquery.js ausgeliefert, liefern bereits die Meta-Daten Informationen über die eingesetzte Version. Im Fall von Assets ist es notwendig, regelmäßige Security-Fixes bereitzustellen.

  • Keine Stichwörter