Что мне нужно сделать, чтобы ограничить работу сервера ColdFusion для приложений с выходом в Интернет? Единственное, что конкретно пришло в голову, - это ограничить каталоги CFIDE и JRunScripts локальной подсетью.
Есть ли в администраторе настройки, которые я могу настроить, чтобы сделать приложения более безопасными?
ОБНОВЛЕНИЕ 30 мая 2010 г .:
Adobe только что выпустила Руководство по блокировке ColdFusion 9 (PDF), который включает в себя всевозможную информацию для правильной блокировки и защиты сервера и приложения ColdFusion.
Исходное сообщение:
Если на сервере будут работать только ваши собственные приложения, начните с блокировки выбранного веб-сервера. Предложения Милнера о создании общесайтового обработчика ошибок, способного улавливать любые ожидания, являются хорошим средством предотвращения раскрытия данных. Вы можете запустить отладку в производственной среде, если вывод ограничен определенными IP-адресами, которые вы укажете. Что касается папки CFIDE, единственная часть, которую действительно нужно заблокировать, - это подпапка «администратор». В папке CFIDE есть много вещей, которые могут понадобиться вашему приложению, если вы используете какие-либо элементы управления формы ColdFusion.
Помимо самого сервера ColdFusion, в коде необходимо учитывать множество вещей, например:
Это может быть очевидно, но если сервер выходит в Интернет (напрямую доступен через общедоступный IP-адрес), вам определенно понадобится какой-то брандмауэр - по крайней мере, программный брандмауэр в вашей ОС или аппаратное устройство для защиты сервера.
Попробуйте www.hackmycf.com, это инструмент анализа безопасности от Foundeo, который работает очень хорошо!