星期五, 3月 16, 2007

錯誤訊息

剛才在同人的生活派對留言時,跳出php的錯誤訊息,記得之前似乎也在某個blog看過。

錯誤訊息對於Debug很有幫助,但是在上線服務時,卻成為cracker攻擊的重要資訊。因此在下對於上線服務的程式,都把debug information關閉。

asp.net在Web.config 改 compilation debug="true" ,Tomcat在web.xml可以設定,WordPress我就不知道了。

另外自訂錯誤訊息頁面,例如 404 要出現什麼訊息,都對資訊保全有幫助。許多人把jsp偽裝成asp,php裝做aspx,就是這種道理。不是每個人都有能力防止cracker入侵,還是小心點好。在下管的機器,連HTTP Server偽裝成IIS,OS裝成Linux,Mail裝做Sendmail。

2 則留言:

Qing 提到...

最有用的應該是把 500 Server Internal Error 的頁面換成

系統正在忙碌中,請稍候再試

XD

鳥毅 提到...

Q大說到重點了,在下去年參與的案子,就是這麼幹的。由於Rainbow portal某些bug,現在公司內網的portal遇到500就導回首頁,原本還不好意思寫出來,哈哈!