Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

[Alex, the Marrch Ca'at]

2009/9/22 Anton Bessonov <exelib at googlemail.com>:
> Alex, the Marrch Ca'at schrieb:
>>>>
>>>> токену) и здаюсь. Мне недоело пытаться доказывать, что x+1 для
>>>> безопасности лучше, чем x.
>>>>
>>
>>
>>>
>>> Польза от x+1 в данном случае под вопросом. Прячетесь от процента
>>> скиддисов, а рискуете привлечь внимание остальных, по принципу: "Сервер
>>> не отдаёт версию, значит, что-то скрывает - проверю". Или даже: "Судя по
>>> фингерпринту, версия более старая, чем указана в заголовке - добавлю в
>>> список целей".
>>>
>>
>> Кроме того, утверждение про "x+1 для безопасности лучше, чем x" - есть
>> подмена понятий. Правильно было бы написать:
>> ...мне надоело пытаться доказывать, что +0.01% к безопасности всегда
>> хорошо, даже ценой +10% к геморрою и -20% к удобству обслуживания...
>> - а это утверждение уже очевидно спорно.
>>
>
> А Вы слова не передёргивайте - кривляться не красиво. Мне вот всё никак не
> понять о каком геморрое идёт речь? Как server_token влияет на удобство
> обслуживания?

Понятно, как: он позволяет быстро определять в сложной среде, каким
именно сервером обслужен конкретный запрос.

А вот как он влияет на безопасность, мне действительно непонятно. Те
самые "кидхакеры", или как вы их там называете, руками вообще ничего
не делают, как правило - для этого мозги нужны. Они запускают один из
множества сканеров, которые ищут веб-сервера и тестируют их
автоматически с помощью стандартной библиотеки эксплойтов. Я не скажу
за все сканеры, но все известные мне варианты - отнюдь не полагаются в
определении веб-сервера на поле Server. Более того - некоторые сканеры
отдельно выводят те сервера, для которых точно определить версию ПО не
удалось, и проверяют их полной библиотекой эксплойтов, а не только
специфическими для конкретной версии. То есть от таких кидхакеров
данная мера не поможет вообще, если хуже не сделает.

Те же перцы, которые пытаются вести целенаправленную атаку на
конкретный сервер в ручном режиме и могут теоретически быть введены в
заблуждение заголовком "Server" - скорее всего обладают достаточной
квалификацией, чтобы заподозрить неладное, увидев типичный для nginx
формат заголовка при другом имени в поле Server, и обратит на данную
машину более пристальное внимание. Так что от них эта мера тоже помочь
может вряд ли - а вот навредить может вполне.

Я вижу только два применения подмене заголовка "Server":
1. Для упрощения обслуживания путем сообщения БОЛЬШЕГО количества
информации о сервере - как я сделал для отладки в своем
nginx/gzip/memcached патче, где в server писалось вместо "nginx" -
"nginx+gzmemc".
2. Для усиления безопасности основных серверов путем установки в одной
сети с ними десятка непропатченных nginx-ов с подмененными заголовками
Server. Спорная идея, но может сработать :)))