Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

Mon Sep 21 23:22:36 MSD 2009

ну пропачте уже фронтенд нжинкс или парочку, сколько их у вас там и  
давайте уже закроем тему типа того
но только фронты
остальное думаю курочить не надо

On 21.09.2009, at 22:46, Anton Bessonov wrote:

> Maxim Dounin schrieb:
>> Hello!
>>
>> On Mon, Sep 21, 2009 at 06:28:08PM +0200, Anton Bessonov wrote:
>>
>>
>>> Alexandr Kutuzov schrieb:
>>>
>>>> 21.09.2009, в 19:01, TDz написал(а):
>>>>
>>>>
>>>>> Смена заголовка может оградить от ряда не слишком  
>>>>> квалифицированных
>>>>> нападающих работающих с готовым софтом. Они будут сканить сети
>>>>> какимнить публичным сканнером исохранять себе список IP с искомыми
>>>>> хедерами для последующей полуручной атаки. Уже это имеет как мне
>>>>> кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше  
>>>>> чем
>>>>> реально заинтересованных спецов
>>>>>
>>>>> 2009/9/21 Alex, the Marrch Ca'at <marrch.caat at gmail.com>:
>>>>>
>>>>>>> p.s. Моя позиция по поводу server tokens, if anybody cares,
>>>>>>> сводится к следующему: сообщение неправильной и/или неполной
>>>>>>> информации в заголовке Server затрудняет работу собственных
>>>>>>> специалистов, но никоим образом не атакующего.  Ибо он просто
>>>>>>> попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
>>>>>>> смотреть не будет.
>>>>>>>
>>>>>> Полностью поддерживаю предыдущего оратора!
>>>>>>
>>>>>> Alex, the Marrch Ca'at.
>>>>>>
>>>>>>
>>>> мне кажется что поправить пару строк в исходниках не такая большая
>>>> проблема.
>>>> в любом случае готовый софт как правило работает по fingerprint-ам
>>>> и будет искать последовательности в заголовках
>>>>
>>>>
>>> Не проблема, но носить с собой пачку патчей - тоже не оптимально.
>>> Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если
>>> что-то хоть как-то позитивно, хоть доли промиле влияет позитивно на
>>> безопасность, то это нужно использовать.
>>>
>>
>> Ещё раз, для тех кто не понял мою позицию:
>>
>> 1. Убранные server tokens не дают никакой, ну или практически  
>> никакой защиты.
>>
>> 2. Убранные server tokens заметно уменьшают вероятность обнаружения  
>> и исправления проблемы собственными/дружественными специалистами.
>>
>> Суммарный эффект - отрицательный.
>>
>> Maxim Dounin
>>
>> p.s. /me вот как раз сейчас сканирует окрестные сети на предмет  
>> обнаружения забытых/необновлённых nginx'ов, и тихо матерится на  
>> выжимателей "долей промиле".
>>
>>
> 1. "ну или практически никакой" - звучит как-то не уверенно. То есть  
> Вы сами не отрицаете того, что она всё же есть?
>
> 2. Специалисты на то и есть специалисты, что бы знать что и где. У  
> меня на работе ведётся банально вики со всеми кронжобами,  
> аппликациями, установленными модулями.
>
> P.S. Разве речь идёт о том, что бы скрыть nginx -v/-V? Если в  
> организации где-то ошибка, то не надо винить, как Вы выразились,  
> 'выжимателей "долей промиле"'.
>