1. Accueil
  2. Question et réponse
  3. Quelle est la différence entre <deployment retail = "true"> et debug = "false"?

Quelle est la différence entre <deployment retail = "true"> et debug = "false"?

2011-07-28 2 views
6

Nous avons un tas de sites/applications avec debug = « true » dans leurs fichiers web.config.Quelle est la différence entre <deployment retail = "true"> et debug = "false"?

Nous voulons remplacer ce à un niveau de serveur avec détail = « true », comme décrit here

Cependant, ces sites encore répondre au http verbe DEBUG avec 200, qui est au moins une différence .

Je voudrais savoir si cela est le seul ou s'il y a d'autres conséquences (peut-être plus précaire) de se fonder sur la vente au détail = « true »

Il y a une question similaire here, mais pas de réponse claire à la question que je pose.

Source

2011-07-28 Kram

Répondre

5

Mode Retail certainement désactive le mode de débogage. Il désactive également le suivi et définit les erreurs personnalisées. Voyez-vous cela? Avez-vous eu un redémarrage? Comment lancez-vous la demande de débogage?

Source

2011-07-29 09:19:30

+0

Oui, il semble ... comme je l'ai dit, je l'ai trouvé (bien fait, le cabinet d'essais de pénétration que nous avons employé l'ont trouvé) que même en mode de vente au détail, les verbes DEBUG sont toujours reconnus par les applications avec debug = "true "dans leur config ... et je voulais vraiment un définitif sur si c'est la seule différence. Si * est *, alors je peux être sûr que nous sommes * juste * aussi sûrs que si nous avions debug = "false" dans notre config (et s'il vous plait, ne demandez pas "pourquoi ne pas simplement mettre debug =" false "dans votre config !!!!!!!) – Kram

+0

Merde, je vais dire que vous devriez essayer de le désactiver dans le web.config et voir ce que vous obtenez résultat mais je reçois aussi l'impression que vous ne l'avez pas testé vous-même. - pouvez-vous reproduire ce que disent les gens de votre test en utilisant une demande de débogage? Et vous avez eu un redémarrage? En guise de note, je n'ai pas encore trouvé de vulnérabilité réelle en mode debug: http: // security. stackexchange.com/questions/1180/is-there-a-security-risk-running-web-apps-in-debug-true –

+0

J'ai bien essayé toutes les combinaisons. Je suis toutefois pas au courant d'une * liste complète * de "features" qui sont activés quand debug = "true" est spécifié ... sinon je pourrais vérifier pour voir lequel d'entre eux est désactivé quand retail = "true" est spécifié ... tous savent que c'est celui-là différent mentionné, un d que les gens du test Pen ont fait remarquer ... cependant, ils sont vagues sur les implications, suggérant que nous avons activé le débogage et que cela pourrait fuir les ressources ou le code ... cependant, j'essaie de convaincre les pouvoirs être que nous * ne * ont debug activé lorsque détail = « true » – Kram

Questions connexes

 Questions connexes