アカウント名:
パスワード:
攻撃回数を多少なりとも減らせる事はリスク低減なのでとるべきかと。
バージョンを隠しても攻撃はまったく減らない。ゼロ。これが事実。いいかげん理解したらどうか。
数年前に上場企業のWebサーバを片っぱしから見ていましたけど、NCSA httpdとか出たり したサーバどう思いますか?
だからそういうのはもう5年位前までの話で、バージョンを隠すなんてのは5年古い「常識」なの。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
最新バージョンを騙るのが吉 (スコア:0)
Re:最新バージョンを騙るのが吉 (スコア:3, 参考になる)
偽り隠したところで,ある程度までは特定可能 [owasp.org]らしいですから,
相手が人間である場合には効果無いですね。
> バナー情報が抑制されていることで攻撃者は、「このサイトは、セキュリティを考慮した運用を行っているのではないか?」
現場はそんなに甘くない。
攻撃者は,「このサイトは,セキュリティを考慮した運用をしていないことを隠しているのではないか?」と思うじゃろ。
Re:最新バージョンを騙るのが吉 (スコア:1)
> 現場はそんなに甘くない。
> 攻撃者は,「このサイトは,セキュリティを考慮した運用をしていないことを隠しているのではないか?」と思うじゃろ。
そうかな....
仕事でwebの管理をしている立場で考えると。
スピア型攻撃を狙わない人手での無差別攻撃は避けられると思う。
そもそもパッチが当たってようが設定が確かだろうとも運用中に完全性を担保する
必要があり、これが台数が増えると大変。攻撃回数を多少なりとも減らせる事は
リスク低減なのでとるべきかと。
最新版にあげるのも検証時間や出社のタイムラグがどうしてもあるので、
常に問題の無い最新版にする分けにもいきません。
気を付けるとすると大小各1点あり
1.バージョン番号が消える事で内部の人間(社内だが他部所とか)も簡単にバージョンが分からないので
設定や版による洩れがあった際に通知されにくい。可能であれば定期的にセキュリティスキャナを
かけて完全性を確認する。
2.apacheやモジュールのバージョンを消すのは賛成だが「apache」という
文字列までは消すべきではない。apacheプロジェクトに敬意を表して
名乗るぐらいは、できるだけするべきかと。
数年前に上場企業のWebサーバを片っぱしから見ていましたけど、NCSA httpdとか出たり
したサーバどう思いますか? 公式サイトにハニーポットもないでしょう。
ほかにhogeとかXXXXbankといった名称を返すところもごくごく小数ですが
ありました。
Re:最新バージョンを騙るのが吉 (スコア:0)
バージョンを隠しても攻撃はまったく減らない。ゼロ。これが事実。いいかげん理解したらどうか。
だからそういうのはもう5年位前までの話で、バージョンを隠すなんてのは5年古い「常識」なの。
Re:最新バージョンを騙るのが吉 (スコア:0)
# NCSA って書いたら手が Mosaic って書いちゃったよ
# CERN か NCSA で悩んでね…