Lexa Software: Nginx-ru@sysoev.ru archive

		Apache-Talk @lexa.ru
		Inet-Admins @info.east.ru
		Filmscanners @halftone.co.uk
		Security-alerts @yandex-team.ru
		nginx-ru @sysoev.ru

СТАТЬИ

ПЕРСОНАЛЬНОЕ

ПРОГРАММЫ

ПИШИТЕ
ПИСЬМА

АРХИВ :: nginx-ru

Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времени админам..

To: nginx-ru@xxxxxxxxx
Subject: Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времени админам..
From: Anton Bessonov <exelib@xxxxxxxxxxxxxx>
Date: Mon, 21 Sep 2009 20:46:16 +0200
Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=googlemail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from :user-agent:mime-version:to:subject:references:in-reply-to :content-type:content-transfer-encoding; bh=coLShEgoBWqv25/Vr1yk7CoH2xOlUD5YM8qRlVOmwEc=; b=TbwmJAyJKjfNKm/J7IZENE29H+BaO5rx4f0/eM9fL5AIoBqDXcuIgKlKeZy/KxUjM1 lYL09rEzA8ux0B6Dnc2mxBmXBoPH3eSOnFIOPMBIuuDTy1swqXRESILwut41FW1TJA+L SQHGxtET1PfoNbs15MtnXuFh5o7IUGkYv3DFU=
Domainkey-signature: a=rsa-sha1; c=nofws; d=googlemail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; b=vKim7iQBn4v+hq1AUtJf7YD7xZKpEQAVW1ZwUZM1M5LUN9QB1G4VPemGgkfweyxrqi eR4ESWIPElutFn6qzEooe4F3m3U6PzHVB/cV2oRALQOj6DgA4jjWz2rwtRal7drviR9L mOczIJxWaK4Aa6o1xh3ytQnF2zdcc7RaMP4+I=
In-reply-to: <20090921171158.GG92686@xxxxxxxxxx>
References: <f027bef40909190456o22f6644n7d0b9ef6b3d7ec72@xxxxxxxxxxxxxx> <1972365273.20090919162221@xxxxxxxxx> <edcf61010909191322x4bd4c2e1hdbf248e6a6c3947@xxxxxxxxxxxxxx> <20090921100852.GC92686@xxxxxxxxxx> <e3ad6170909210352g6355f0b4u2a31ca3224bf8b8@xxxxxxxxxxxxxx> <c64ad04e0909210801n82916c9h34df21fec54cd455@xxxxxxxxxxxxxx> <F865A790-3047-4E20-9D79-EE16BA993075@xxxxxxxxx> <4AB7A998.6030700@xxxxxxxxx> <20090921171158.GG92686@xxxxxxxxxx>

Maxim Dounin schrieb:

Hello!

On Mon, Sep 21, 2009 at 06:28:08PM +0200, Anton Bessonov wrote:

Alexandr Kutuzov schrieb:

21.09.2009, в 19:01, TDz написал(а):

Смена заголовка может оградить от ряда не слишком квалифицированных
нападающих работающих с готовым софтом. Они будут сканить сети
какимнить публичным сканнером исохранять себе список IP с искомыми
хедерами для последующей полуручной атаки. Уже это имеет как мне
кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше чем
реально заинтересованных спецов

2009/9/21 Alex, the Marrch Ca'at <marrch.caat@xxxxxxxxx>:

p.s. Моя позиция по поводу server tokens, if anybody cares,
сводится к следующему: сообщение неправильной и/или неполной
информации в заголовке Server затрудняет работу собственных
специалистов, но никоим образом не атакующего.  Ибо он просто
попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
смотреть не будет.

Полностью поддерживаю предыдущего оратора!

Alex, the Marrch Ca'at.

мне кажется что поправить пару строк в исходниках не такая большая
проблема.
в любом случае готовый софт как правило работает по fingerprint-ам
и будет искать последовательности в заголовках

Не проблема, но носить с собой пачку патчей - тоже не оптимально.
Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если
что-то хоть как-то позитивно, хоть доли промиле влияет позитивно на
безопасность, то это нужно использовать.


Ещё раз, для тех кто не понял мою позицию:

1. Убранные server tokens не дают никакой, ну или практическиникакой защиты.

2. Убранные server tokens заметно уменьшают вероятностьобнаружения и исправления проблемы собственными/дружественнымиспециалистами.


Суммарный эффект - отрицательный.

Maxim Dounin

p.s. /me вот как раз сейчас сканирует окрестные сети на предметобнаружения забытых/необновлённых nginx'ов, и тихо матерится навыжимателей "долей промиле".

1. "ну или практически никакой" - звучит как-то не уверенно. То есть Высами не отрицаете того, что она всё же есть?

2. Специалисты на то и есть специалисты, что бы знать что и где. У меняна работе ведётся банально вики со всеми кронжобами, аппликациями,установленными модулями.

P.S. Разве речь идёт о том, что бы скрыть nginx -v/-V? Если ворганизации где-то ошибка, то не надо винить, как Вы выразились,'выжимателей "долей промиле"'.

Follow-Ups:
- Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времен и админам..
  - From: Alexey V. Karagodov

References:
- server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..
  - From: Adrenalin
- Re: server_tokens как убрать имя nginx из хедеров ? да ло бы больше времени админам..
  - From: Gena Makhomed
- Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше време ни админам..
  - From: Одинцов Павел
- Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..
  - From: Maxim Dounin
- Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше време ни админам..
  - From: Alex, the Marrch Ca'at
- Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше време ни админам..
  - From: TDz
- Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времен и админам..
  - From: Alexandr Kutuzov
- Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времени админам..
  - From: Anton Bessonov
- Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..
  - From: Maxim Dounin

Prev by Date: Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времени админам..
Next by Date: Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времен и админам..
Previous by thread: Re: server_tokens как убрат ь имя nginx из хедеров ? дало бы больше време ни админам..
Next by thread: Re: server_tokens как убрать и мя nginx из хедеров ? да ло бы больше времен и админам..
Index(es):
- Date
- Thread