ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше време ни админам..



2009/9/22 Anton Bessonov <exelib@xxxxxxxxxxxxxx>:
> Alex, the Marrch Ca'at schrieb:
>>>>
>>>> токену) и здаюсь. Мне недоело пытаться доказывать, что x+1 для
>>>> безопасности лучше, чем x.
>>>>
>>
>>
>>>
>>> Польза от x+1 в данном случае под вопросом. Прячетесь от процента
>>> скиддисов, а рискуете привлечь внимание остальных, по принципу: "Сервер
>>> не отдаёт версию, значит, что-то скрывает - проверю". Или даже: "Судя по
>>> фингерпринту, версия более старая, чем указана в заголовке - добавлю в
>>> список целей".
>>>
>>
>> Кроме того, утверждение про "x+1 для безопасности лучше, чем x" - есть
>> подмена понятий. Правильно было бы написать:
>> ...мне надоело пытаться доказывать, что +0.01% к безопасности всегда
>> хорошо, даже ценой +10% к геморрою и -20% к удобству обслуживания...
>> - а это утверждение уже очевидно спорно.
>>
>
> А Вы слова не передёргивайте - кривляться не красиво. Мне вот всё никак не
> понять о каком геморрое идёт речь? Как server_token влияет на удобство
> обслуживания?

Понятно, как: он позволяет быстро определять в сложной среде, каким
именно сервером обслужен конкретный запрос.

А вот как он влияет на безопасность, мне действительно непонятно. Те
самые "кидхакеры", или как вы их там называете, руками вообще ничего
не делают, как правило - для этого мозги нужны. Они запускают один из
множества сканеров, которые ищут веб-сервера и тестируют их
автоматически с помощью стандартной библиотеки эксплойтов. Я не скажу
за все сканеры, но все известные мне варианты - отнюдь не полагаются в
определении веб-сервера на поле Server. Более того - некоторые сканеры
отдельно выводят те сервера, для которых точно определить версию ПО не
удалось, и проверяют их полной библиотекой эксплойтов, а не только
специфическими для конкретной версии. То есть от таких кидхакеров
данная мера не поможет вообще, если хуже не сделает.

Те же перцы, которые пытаются вести целенаправленную атаку на
конкретный сервер в ручном режиме и могут теоретически быть введены в
заблуждение заголовком "Server" - скорее всего обладают достаточной
квалификацией, чтобы заподозрить неладное, увидев типичный для nginx
формат заголовка при другом имени в поле Server, и обратит на данную
машину более пристальное внимание. Так что от них эта мера тоже помочь
может вряд ли - а вот навредить может вполне.

Я вижу только два применения подмене заголовка "Server":
1. Для упрощения обслуживания путем сообщения БОЛЬШЕГО количества
информации о сервере - как я сделал для отладки в своем
nginx/gzip/memcached патче, где в server писалось вместо "nginx" -
"nginx+gzmemc".
2. Для усиления безопасности основных серверов путем установки в одной
сети с ними десятка непропатченных nginx-ов с подмененными заголовками
Server. Спорная идея, но может сработать :)))


 




Copyright © Lexa Software, 1996-2009.