ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времени админам..



Alexandr Kutuzov schrieb:

21.09.2009, в 19:01, TDz написал(а):

Смена заголовка может оградить от ряда не слишком квалифицированных
нападающих работающих с готовым софтом. Они будут сканить сети
какимнить публичным сканнером исохранять себе список IP с искомыми
хедерами для последующей полуручной атаки. Уже это имеет как мне
кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше чем
реально заинтересованных спецов

2009/9/21 Alex, the Marrch Ca'at <marrch.caat@xxxxxxxxx>:
p.s. Моя позиция по поводу server tokens, if anybody cares,
сводится к следующему: сообщение неправильной и/или неполной
информации в заголовке Server затрудняет работу собственных
специалистов, но никоим образом не атакующего.  Ибо он просто
попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
смотреть не будет.

Полностью поддерживаю предыдущего оратора!

Alex, the Marrch Ca'at.



мне кажется что поправить пару строк в исходниках не такая большая проблема. в любом случае готовый софт как правило работает по fingerprint-ам и будет искать последовательности в заголовках

Не проблема, но носить с собой пачку патчей - тоже не оптимально.
Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если что-то хоть как-то позитивно, хоть доли промиле влияет позитивно на безопасность, то это нужно использовать.




 




Copyright © Lexa Software, 1996-2009.