| « IHクッキングヒータ電磁波の安全性 | ネットバンキング被害が急増 » |
サーバシグニチャは隠すのが当たり前
リンク: http://slashdot.jp/security/07/09/03/0219247.shtml
私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。犯罪者がどのように攻撃するか?を考えればなぜ隠す必要があるのか理由は明白です。サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。
最新版を使っているから安全ではない事も明白です。サーバに0day攻撃の脆弱性が発見された場合どの情報を使います?公開または推測できるバージョン情報に決まっています。
フィンガープリンティングでかなりの確率で推測可能、という議論もあるとは思います。しかし、適切に運用/設定されているシステムなら細かいバージョン番号までは推測できない場合が多いと考えられます。
犯罪者が攻撃に利用している、利用する可能性が高いと分かっている情報を わざわざ広く一般に公開しない方が良いに決まっていると思います。
近所で空き巣が多発しているにも関わらず「ただいま留守です」「鍵もかかっていません」とわざわざ正直に張り紙をする人がいるでしょうか?
「家を留守にする前に戸締まりをしてから出かけましょう」というアドバイスに対して「窓ガラスを割れば..」「ピッキングをすれば...」と「留守の戸締まりはあまり意味ない」と反論しているような議論は必要ないと思います。
このエントリがポストされているのは 9月 4th, 2007 09:54:58 and is filed under Security, Webシステム開発
永続的リンク
3 コメント
バージョン番号を隠すのは古いバージョンを使っている事を隠すことが目的ではありません。念のため。
>サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。
ここは関係ないと思う・・・。
サーバの情報読み取って攻撃手法変えるなんてしていなくて
「とりあえず全部やってみる」
ってのが攻撃者のパターンなんじゃないかなー、と。
> ってのが攻撃者のパターンなんじゃないかなー、と。
「下手な鉄砲数打ちゃあたる」方式が多いとは思います。どうせプログラムだし面倒なので手当たりしだい、という方法は多いですね。自動ではなく在る程度人間が脆弱性を選んで攻撃するときは、手間なのでバージョンを選んで攻撃すると思います。Defacement目的の攻撃等ではバージョン検索して攻撃が主流ではないか、と思います。
話が全く変わりますが、カナダでは玄関に鍵をかける習慣が無いと教えてもらいました。
これはこれで防犯上は良い効果があると思いました。
# コンピュータセキュリティではこの種のノーガード戦法は採用できませんが、
# リスクを丸ごと無くす事はできます。Webは使わないとか(w
この投稿へのコメント