たった2行でできるWebサーバ防御の「心理戦」 − ＠IT

高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。（編集部） 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報

[webmarksjp]

セキュリティ

[changko-han]

[お仕事[セキュリティ]]

[ysenda]

Apacheのバージョンを見えなくする。心理戦、としか書けない所が今日のセキュリティの限界なのか。これが必須、という空気になったら対応しなきゃはたくさん出てきちゃうし。

[denken]

[]バージョン偽装はどうですか？

[no_ri]

痛くない腹を探られないようにする、ということ。

[popona]

バージョンを隠すことよりも、狙われないようにするという考え方に気付ければいいのだと思う

[n2s]

隠すだけで安心してはだめ、という反論もちらほら。

[nezuku]

バージョンの名乗らないようにする / それだけで満足しちゃいけないけど

[t-murachi]

こういう情報をありがたがる人っていっぱいいるのね。(*sigh*)

[hiro_y]

Apacheのバージョンを見えないように、攻撃者の心理を考える。

[tohohomiti]

バナー偽装は本気の攻撃者には全く役に立たないんじゃね。バナー隠すとパッチ当てれない理由でもあるのかって邪推されそうだし、わざわざバナー見るような輩ならまだ最新のバージョン番号見せとくほうがいいような。

[kuni92]

ServerSignature Off ServerTokens ProductOnly

[NOV1975]

これは常識かと思ってた／このことそのものよりも、何故こういうことをしなくてはならないのか、という発想の部分のほうが重要ですね。

[uzuki-first]

たしかにバージョン情報が露呈されるのは知ってたが、この視点はなかった。

[flakwing]

ApacheのHTTPレスポンスヘッダとエラーページのフッタからバージョン情報を削除する方法

[r-top]

ターゲットになりにくくするための工夫も必要、ということ。やってみよう。

[wacky]

『攻撃者に選ばれないためにできるほんのちょっとした対策』を紹介する連載。第1回はApacheの設定。

[I11]

防御システムの情報を与えないことによる防御の強化。バージョン以外にも点検すべき所はありそうだ。

[fashi]

Webサーバのバージョン情報を非表示

[asaasa_mix]

Apache/x.x.x の x.x.x を秘匿する設定方法(デフォでは404等のフッターやGETのReplyヘッダにバージョンが含まれる)

[hasegawayosuke]

404ページはcharsetをまず確認。

[sho]

えー、いまどきバナー隠しネタ!?

[yorihito_tanaka]

Apacheの例

[secure23]

「攻撃されても大丈夫なシステム構築・運用は大切であり、大前提」それ以外は単なる気持ちの問題なのでは? 「心理」と書いてあるのでわかってるだろけど。http://ya.maya.st/d/200610a.html#s20061008_2 に同意

[momdo]

apacheのバージョンを消すのか、なるほど。

[t_43z]

「ServerTokens ProductOnly」「ServerSignature Off」