サーバのバージョンは隠すのが常識? | スラド オープンソース
ストーリー by yoosee 2007年09月03日 11時38分 いっそApache100.0とか表示しとけばいいじゃない 部門より 技術系ブログ「ウノウラボ」に「5分でできるウェブサーバのセキュリティ向上施策」という記事が掲載されて話題になっています。ApacheやOSのバージョンを表示しないようにする方法や、PHPでX-Powered-Byを応答しなくする方法が紹介された記事ですが、コメント欄や260件以上の登録を集めたはてなブックマークでは賛否両論になっています。「セキュリティがみじんも上がっていない」という意見や「セキュリティの甘さが見え見え」という意見がある一方で、隠さないでいると「こんな基本的なこともやっていないサイトと思われるよ」という意見も。そういえば、7月の@ITの記事「たった2行でできるWebサーバ防御の「心理戦」」にも同様のことが書かれていました。セキュリティ会社
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
