Hello!
On Mon, Sep 21, 2009 at 06:28:08PM +0200, Anton Bessonov wrote:
Alexandr Kutuzov schrieb:
21.09.2009, в 19:01, TDz написал(а):
Смена заголовка может оградить от ряда не слишком квалифицированных
нападающих работающих с готовым софтом. Они будут сканить сети
какимнить публичным сканнером исохранять себе список IP с искомыми
хедерами для последующей полуручной атаки. Уже это имеет как мне
кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше чем
реально заинтересованных спецов
2009/9/21 Alex, the Marrch Ca'at <marrch.caat@xxxxxxxxx>:
p.s. Моя позиция по поводу server tokens, if anybody cares,
сводится к следующему: сообщение неправильной и/или неполной
информации в заголовке Server затрудняет работу собственных
специалистов, но никоим образом не атакующего. Ибо он просто
попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
смотреть не будет.
Полностью поддерживаю предыдущего оратора!
Alex, the Marrch Ca'at.
мне кажется что поправить пару строк в исходниках не такая большая
проблема.
в любом случае готовый софт как правило работает по fingerprint-ам
и будет искать последовательности в заголовках
Не проблема, но носить с собой пачку патчей - тоже не оптимально.
Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если
что-то хоть как-то позитивно, хоть доли промиле влияет позитивно на
безопасность, то это нужно использовать.
Ещё раз, для тех кто не понял мою позицию:
1. Убранные server tokens не дают никакой, ну или практически
никакой защиты.
2. Убранные server tokens заметно уменьшают вероятность
обнаружения и исправления проблемы собственными/дружественными
специалистами.
Суммарный эффект - отрицательный.
Maxim Dounin
p.s. /me вот как раз сейчас сканирует окрестные сети на предмет
обнаружения забытых/необновлённых nginx'ов, и тихо матерится на
выжимателей "долей промиле".
1. "ну или практически никакой" - звучит как-то не уверенно. То есть Вы
сами не отрицаете того, что она всё же есть?
2. Специалисты на то и есть специалисты, что бы знать что и где. У меня
на работе ведётся банально вики со всеми кронжобами, аппликациями,
установленными модулями.
P.S. Разве речь идёт о том, что бы скрыть nginx -v/-V? Если в
организации где-то ошибка, то не надо винить, как Вы выразились,
'выжимателей "долей промиле"'.