server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..
Maxim Dounin
mdounin at mdounin.ru
Mon Sep 21 21:11:58 MSD 2009
Hello!
On Mon, Sep 21, 2009 at 06:28:08PM +0200, Anton Bessonov wrote:
> Alexandr Kutuzov schrieb:
> >
> >21.09.2009, в 19:01, TDz написал(а):
> >
> >>Смена заголовка может оградить от ряда не слишком квалифицированных
> >>нападающих работающих с готовым софтом. Они будут сканить сети
> >>какимнить публичным сканнером исохранять себе список IP с искомыми
> >>хедерами для последующей полуручной атаки. Уже это имеет как мне
> >>кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше чем
> >>реально заинтересованных спецов
> >>
> >>2009/9/21 Alex, the Marrch Ca'at <marrch.caat at gmail.com>:
> >>>>p.s. Моя позиция по поводу server tokens, if anybody cares,
> >>>>сводится к следующему: сообщение неправильной и/или неполной
> >>>>информации в заголовке Server затрудняет работу собственных
> >>>>специалистов, но никоим образом не атакующего. Ибо он просто
> >>>>попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
> >>>>смотреть не будет.
> >>>
> >>>Полностью поддерживаю предыдущего оратора!
> >>>
> >>>Alex, the Marrch Ca'at.
> >>>
> >
> >
> >мне кажется что поправить пару строк в исходниках не такая большая
> >проблема.
> >в любом случае готовый софт как правило работает по fingerprint-ам
> >и будет искать последовательности в заголовках
> >
> Не проблема, но носить с собой пачку патчей - тоже не оптимально.
> Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если
> что-то хоть как-то позитивно, хоть доли промиле влияет позитивно на
> безопасность, то это нужно использовать.
Ещё раз, для тех кто не понял мою позицию:
1. Убранные server tokens не дают никакой, ну или практически
никакой защиты.
2. Убранные server tokens заметно уменьшают вероятность
обнаружения и исправления проблемы собственными/дружественными
специалистами.
Суммарный эффект - отрицательный.
Maxim Dounin
p.s. /me вот как раз сейчас сканирует окрестные сети на предмет
обнаружения забытых/необновлённых nginx'ов, и тихо матерится на
выжимателей "долей промиле".
More information about the nginx-ru
mailing list