server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

[Anton Bessonov]

Alexandr Kutuzov schrieb:
>
> 21.09.2009, в 19:01, TDz написал(а):
>
>> Смена заголовка может оградить от ряда не слишком квалифицированных
>> нападающих работающих с готовым софтом. Они будут сканить сети
>> какимнить публичным сканнером исохранять себе список IP с искомыми
>> хедерами для последующей полуручной атаки. Уже это имеет как мне
>> кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше чем
>> реально заинтересованных спецов
>>
>> 2009/9/21 Alex, the Marrch Ca'at <marrch.caat at gmail.com>:
>>>> p.s. Моя позиция по поводу server tokens, if anybody cares,
>>>> сводится к следующему: сообщение неправильной и/или неполной
>>>> информации в заголовке Server затрудняет работу собственных
>>>> специалистов, но никоим образом не атакующего.  Ибо он просто
>>>> попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
>>>> смотреть не будет.
>>>
>>> Полностью поддерживаю предыдущего оратора!
>>>
>>> Alex, the Marrch Ca'at.
>>>
>
>
> мне кажется что поправить пару строк в исходниках не такая большая 
> проблема.
> в любом случае готовый софт как правило работает по fingerprint-ам и 
> будет искать последовательности в заголовках
>
Не проблема, но носить с собой пачку патчей - тоже не оптимально.
Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если что-то 
хоть как-то позитивно, хоть доли промиле влияет позитивно на 
безопасность, то это нужно использовать.