サーバシグニチャは隠すのが当たり前

(Last Updated On: 2007年9月4日)私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。犯罪者がどのように攻撃するか？を考えればなぜ隠す必要があるのか理由は明白です。サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。 最新版を使っているから安全ではない事も明白です。サーバに0day攻撃の脆弱性が発見された場合どの情報を使います？公開または推測できるバージョン情報に決まっています。 フィンガープリンティングでかなりの確率で推測可能、という議論もあるとは思います。しかし、適切に運用／設定されているシステムなら細かいバージョン番号までは推測できない場合が多いと考えられます。 犯罪者が攻撃に利用している、利用する可能性が

[Erlkonig]

サンスクリット語か何かかと思った。カーマ・スートラ、ハルシャ・ヴァルダナ、サーバ・シグニチャ、ヤージュニャヴァルキヤ。違和感ない。

[sakichan]

PHPを隠すかどうかはともかく、URLに実装依存なものが埋まってるのは美しくないので(ohgakiさんところと同じb2evolutionを使ってる)うちのブログではindex.phpを消す設定にしてみました＞ id:HiromitsuTakagi

[n2s]

ああ、新たなる燃料が…/ 大垣さんがかすかに壊れ始めている悪寒… / id:Tarikiさんが何か書いている途中の模様。ガクブル。

[kmachu]

否定的な意見は「隠すだけで対策したつもりになっている」人に向けられているんじゃないかな。 「隠す/隠さない」と「適切に運用している/していない」の4象限で議論したほうがよさそう。

[taninsw]

フィンガープリントの偽装って簡単に出来ないかなぁ/このURLが何なのか気になる

[hiro_y]

隠すに越したことはない、ぐらいの話でしかないのでは。

[ryuzi_kambe]

いっそ隠すんじゃなくて偽のサーバシグニチャを返すような仕組みを考えては？遠回りさせるために。

[secure23]

ここApache使ってるって表示されるよ。この人の理屈ならバージョンと同じぐらいサーバの種類も隠すべきだよね。サーバの種類を「わざわざ広く一般に公開」してるのはなぜ?

[koyhoge]

バージョンを見て攻撃方法を変えるアタックが本当にあるのか? 可能性のある穴はしらみつぶしに攻撃を仕掛けるのが当たり前だと思う。

[makotokaga]

「当たり前」だなんて初耳だ。リンク先のタイトルは「隠すのが常識？」なのにリンク元のラベルは「当たり前」ってのはよくない。そもそも『十分な強度の鍵で戸締り』することが大事で、それを隠すことは別問題