Note: Revealing the specific software version of the server might allow the server machine to become more vulnerable to attacks against software that is known to contain security holes. Server implementors are encouraged to make this field a configurable option.
RFC 2616 によると (スコア:4, 参考になる)
Note: Revealing the specific software version of the server might allow the server machine to become more vulnerable to attacks against software that is known to contain security holes. Server implementors are encouraged to make this field a configurable option.
Re:RFC 2616 によると (スコア:1, 興味深い)
ただ、このRFCは1999年に書かれたものだということに注意したいところです。
当時は実際、脆弱性パッチの適用があまり常識になっておらず、脆弱なバージョンのサーバが大半を占めるという時代でした。
その頃は確かに、バージョンを隠すのが常識という空気があり、脆弱性スキャナにもバナーチェックの機能が搭載され、セキュリティコンサルも「お宅、バナー出してますね」などとしたり顔で言っていたものでした。
しかしその後21世紀に入ると、ワームによる攻撃が盛んになり、攻撃ツールの自動化も進んで、バージョンを隠すことは常識ではなくなりました。
Re:RFC 2616 によると (スコア:0)
古い情報は、消すのがいいのでしょうか? 残しておくのがいいのでしょうか? みたいなもんです
Re:RFC 2616 によると (スコア:0)
「セキュリティ業界の常識−19990601」みたいにバージョン番号併記で残しておくのがよいと思います.
Re:RFC 2616 によると (スコア:2, おもしろおかしい)
1999060101とかしておけば、一日のうちに99回まで修正できます。
100回以上修正したかったら19990601001で。