アカウント名:
パスワード:
Apacheのセキュリティーホールを突くワームがあって、そのワームが Apache が返す ServerName を見て、ServerName に一致した exploit code を流し込むという動きをしていました。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
昔のワームの話ですが。 (スコア:4, 参考になる)
ディストリビューション屋にしてみれば、自社の名前を Apache のレスポンスヘッダに入れておくことで、Netcraft とかの統計で自社の製品がどれぐらい使われているといったマーケティング用途になる、なんていう話もありますが。 ディストリビューション屋としてはマーケティングの材料にしたいが、利用者にしてみれば迷惑なお話で。
Re:昔のワームの話ですが。 (スコア:1)
ワームではありませんし、セキュリティでもありませんが。
システムの設定がちゃんとしているかどうかを調べる際に、最初に相手のバージョンや誰が設定したのかを調べて、それに応じてテスト順序を入れ替える、というのならやったことがあります。
通らなさそうなテストを先に実行する事で、問題点を早い目に発見するのが目的だったのですが、同じ発想を使うと同じ総当たり戦であっても
「より短期間でアタックに成功する可能性の高い順序」
でアタックできそうな気がします。
バージョン番号を隠す事で、これを「ランダムな順序で実行した場合」と同じ程度まで耐久時間を延ばせるならば、その間に攻撃を検知・対処できる可能性が高くなります。
というわけで、バージョン番号はやはり隠しておいたほうがよいでしょう。
fjの教祖様