Re: server_tokens как убрать имя nginx из хедеров ? дало бы больше времени админам..
Gena Makhomed
gmm at csdoc.com
Tue Sep 22 20:47:54 MSD 2009
On Monday, September 21, 2009 at 23:55:46, Anton Bessonov wrote:
>> стоит применять решения проблем, которые работают
>> в 100% случаев, а не в 1% случаев + надеяться на авось.
AB> Раскажите об этих решениях по подробней, пожалуйста.
100% решение - это обновление nginx до latest stable 0.7.62
или применение патча http://sysoev.ru/nginx/patch.180065.txt
если изменение версии nginx по каким-то причинам невозможно.
>> AB> А что если именно этот 1%, да хоть всего 1 скрипткидди,
>> AB> в нужный момент и именно из-за известности вебсервера/версии
>> AB> найдёт в нете эксплоит - кому отчитываться перед начальством?
>> вовремя устанавливайте обновления безопасности и отчитываться не придется.
>> а заниматься деятельностью, которая создает только иллюзию защиты - нет смысла
AB> А это всегда возможно? Или хотя бы иногда? Большой поклон Игорю,
AB> что он вовремя реагирует. А что делать, если хосты - мэнеджед?
AB> Вот так вышло, что они предоставлены спонсором и там ребята
AB> весьма не спешат что-то менять, и, тем более, патчить.
Пьяный что-то ищет под фонарем
- Что ищешь?
- Ключи потерял.
- А где потерял?
- Там, в темноте.
- А что ж под фонарем ищешь?
- А здесь светлее!
AB> Повторюсь про иллюзию - не нужно просто её создавать.
даже если Вы знаете, что это не так, другие администраторы
могут решить, что применять обновления безопасности совсем
не обязательно, а вместо этого можно будет только изменить
имя сервера с nginx на что-либо другое.
и добавление этого параметра - будет только способствовать
дальнейшему укреплению и распостранению такого заблуждения.
--
Best regards,
Gena
More information about the nginx-ru
mailing list