server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

[Anton Bessonov]

Maxim Dounin schrieb:
> Hello!
>
> On Mon, Sep 21, 2009 at 06:28:08PM +0200, Anton Bessonov wrote:
>
>   
>> Alexandr Kutuzov schrieb:
>>     
>>> 21.09.2009, в 19:01, TDz написал(а):
>>>
>>>       
>>>> Смена заголовка может оградить от ряда не слишком квалифицированных
>>>> нападающих работающих с готовым софтом. Они будут сканить сети
>>>> какимнить публичным сканнером исохранять себе список IP с искомыми
>>>> хедерами для последующей полуручной атаки. Уже это имеет как мне
>>>> кажется смысл, ибоскрипт кидисов с готовыми сплоями и ко больше чем
>>>> реально заинтересованных спецов
>>>>
>>>> 2009/9/21 Alex, the Marrch Ca'at <marrch.caat at gmail.com>:
>>>>         
>>>>>> p.s. Моя позиция по поводу server tokens, if anybody cares,
>>>>>> сводится к следующему: сообщение неправильной и/или неполной
>>>>>> информации в заголовке Server затрудняет работу собственных
>>>>>> специалистов, но никоим образом не атакующего.  Ибо он просто
>>>>>> попробует имеющиеся эксплоит'ы, а на заголовок Server вообще
>>>>>> смотреть не будет.
>>>>>>             
>>>>> Полностью поддерживаю предыдущего оратора!
>>>>>
>>>>> Alex, the Marrch Ca'at.
>>>>>
>>>>>           
>>> мне кажется что поправить пару строк в исходниках не такая большая
>>> проблема.
>>> в любом случае готовый софт как правило работает по fingerprint-ам
>>> и будет искать последовательности в заголовках
>>>
>>>       
>> Не проблема, но носить с собой пачку патчей - тоже не оптимально.
>> Правило не правило, а процент-другой хацкеров отпадёт. ИМХО если
>> что-то хоть как-то позитивно, хоть доли промиле влияет позитивно на
>> безопасность, то это нужно использовать.
>>     
>
> Ещё раз, для тех кто не понял мою позицию:
>
> 1. Убранные server tokens не дают никакой, ну или практически 
> никакой защиты.
>
> 2. Убранные server tokens заметно уменьшают вероятность 
> обнаружения и исправления проблемы собственными/дружественными 
> специалистами.
>
> Суммарный эффект - отрицательный.
>
> Maxim Dounin
>
> p.s. /me вот как раз сейчас сканирует окрестные сети на предмет 
> обнаружения забытых/необновлённых nginx'ов, и тихо матерится на 
> выжимателей "долей промиле".
>
>   
1. "ну или практически никакой" - звучит как-то не уверенно. То есть Вы 
сами не отрицаете того, что она всё же есть?

2. Специалисты на то и есть специалисты, что бы знать что и где. У меня 
на работе ведётся банально вики со всеми кронжобами, аппликациями, 
установленными модулями.

P.S. Разве речь идёт о том, что бы скрыть nginx -v/-V? Если в 
организации где-то ошибка, то не надо винить, как Вы выразились, 
'выжимателей "долей промиле"'.