Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..

[Gena Makhomed]

On Monday, September 21, 2009 at 23:55:46, Anton Bessonov wrote:

>> стоит применять решения проблем, которые работают
>> в 100% случаев, а не в 1% случаев + надеяться на авось.

AB> Раскажите об этих решениях по подробней, пожалуйста.

100% решение - это обновление nginx до latest stable 0.7.62
или применение патча http://sysoev.ru/nginx/patch.180065.txt
если изменение версии nginx по каким-то причинам невозможно.

>> AB> А что если именно этот 1%, да хоть всего 1 скрипткидди,
>> AB> в нужный момент и именно из-за известности вебсервера/версии
>> AB> найдёт в нете эксплоит - кому отчитываться перед начальством?

>> вовремя устанавливайте обновления безопасности и отчитываться не придется.
>> а заниматься деятельностью, которая создает только иллюзию защиты - нет смысла

AB> А это всегда возможно? Или хотя бы иногда? Большой поклон Игорю,
AB> что он вовремя реагирует. А что делать, если хосты - мэнеджед?
AB> Вот так вышло, что они предоставлены спонсором и там ребята
AB> весьма не спешат что-то менять, и, тем более, патчить.

Пьяный что-то ищет под фонарем
- Что ищешь?
- Ключи потерял.
- А где потерял?
- Там, в темноте.
- А что ж под фонарем ищешь?
- А здесь светлее!

AB> Повторюсь про иллюзию - не нужно просто её создавать.

даже если Вы знаете, что это не так, другие администраторы
могут решить, что применять обновления безопасности совсем
не обязательно, а вместо этого можно будет только изменить
имя сервера с nginx на что-либо другое.

и добавление этого параметра - будет только способствовать
дальнейшему укреплению и распостранению такого заблуждения.

-- 
Best regards,
 Gena