公开网站性能数据是否构成安全风险？

Question

我目前正在添加一个子网站到一些网站，允许我监测性能数据的实时服务器软件感知它。数据主要包括内存使用量、内存分配、上次垃圾收集过程中释放的内存、并行性、正常运行时间等。错误消息、日志、软件版本等都不是数据的一部分。

我的一部分访问者有点古怪，所以我想如果我公开这个子网站而不是把它藏在管理帐户后面，他们可能会很感兴趣。

我不确定的是安全问题。我提出了两个风险:数据可能有助于ddos攻击(关于时间和结果的信息就在那里)，它可能会向“竞争者”暴露关于访问者行为的粗略想法。

但我有一种感觉，我没有足够的创造力(也不够聪明，无法找到好的谷歌词汇)。攻击者过去是如何使用这些信息的？

Answer 1

所以我不得不承认，我的第一反应是“我永远不会这么做。”然而，这可能更多的原因是，从历史上来说，我不想让任何人知道他们不需要知道的事情，而不是出于任何真正的安全原因。

因此，我能想到的唯一安全问题是相当有限的，而且相当深奥。它可以用于查找DoS或DDoS载体，如果a)攻击者试图对您的应用程序进行分析，而b)碰巧发现了强调资源所需的确切操作，而c)它最终显示出来，或至少在您的报告中出现。尽管如此，只要在僵尸网络上花点时间并向你扔点流量就更容易了，因此perf数据本身的实际风险很可能相当低。唯一的例外是，如果快速查看数据显示您的站点要么已经承受压力，要么很容易受到负载的影响。如果它向世界宣传重大弱点，那么就可以想象有人可能会对这些信息采取恶意的行动。

至于来自竞争对手的威胁，这取决于你要衡量的风险到底有多大。很多网站都会公布自己的访问量，而对于一些网站来说，为了吸引广告商，这样做是非常关键的，所以除非你有具体的理由想要保密这些数字，否则这可能没什么大不了的。服务器perf也不是唯一的估计流量的方法，甚至不是估计流量的最佳方法，而不是一般的上升/下降趋势。

所以，虽然我还没有准备好签下这个好主意，但实际的安全风险可能偏低。