アカウント名:
パスワード:
Debianの場合パッチが当たっててもバージョンが変化しない事が多いのですが、表示されるバージョンだけを見て「古いバージョンだ」とか騒ぎ立てるセキュリティ厨が良くいます。 バージョンを出さないようにしておけば、そういう輩の相手をしなくても済むので、それはそれで嬉しい。 バージョン隠しても、そういうバカ除け以上の意味は無いですね。
元の文書で言う「情報を与えるな」というのは、例えばDBをアクセスするようなソフトで、エラーの表示にエラーを発生させたSQL文を表示しちゃうと不正なQuery(を注入できる入力データ)を作りやすくなるとか、そういう話ですね。 他の例で言えば、CGIなどでファイルのロックをかけていて、ロックができなかった時にそのファイル名を表示しちゃうとターゲットのファイル名を知られてしまうので、「Index表示しないようにしてるから大丈夫」とか言ってhttpでGETできるような所にファイル置いてると抜かれるとか。(まぁそもそもGETできるような所に置くのがマヌケなんだが)
ウチのApacheのログやsnortのログには痕跡残りまくってますが
>身代金目的で子供を誘拐する場合も大抵の犯人は(以下略)
一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
ソフト名も隠さなければいけない (スコア:1)
# 「最終更新日」とかまずそうだね...
サーバーとか調べれば、OSとか使っているサーバーとか分かってしまうのが多いと思う(←良く知らない)のですが、そういうのもちゃんと隠したほうが良いということでしょうか?
Apacheにはバージョン情報を隠すオプションがあったのをかすかに記憶していますが、そういうオプションをつけておくというのほうがベストなのでしょう。もちろんデフォルトは「バージョン情報は隠す」というような感じにしてセキュリティを高めるというのはソフトウェア開発者の責任ですが。
// Give me chocolates!
Re:ソフト名も隠さなければいけない (スコア:2, 興味深い)
攻撃者がバージョンからセキュリティホール(や、その他の動作)を把握する事が可能なため、バージョン情報を隠すことによって攻撃者に与える情報を*減らす*事は出来ても、バージョンを隠す事によって、そのバージョンのソフトウェアにある不具合が消えるわけではないでしょう。
僕が攻撃者ならば、攻撃対象が自称するバージョン情報は信じませんね。
無差別攻撃するなら、とりあえず穴のあるバージョンを吐いている所だけを狙うかもしれませんが ;)
# 穴が見つかった時、とりあえず(fix済みの)嘘バージョンを吐くようにした事があったりなかったり...
Re:ソフト名も隠さなければいけない (スコア:1)
例えば PHP なら <?php // コメント ?> は問題ないでしょう。
でもどうせなら、攻撃の徴候を検出して偽のコメントやエラーメッセージ吐かせるとかした方がおもしろそう。
それから、ソフト名やバージョン隠す事にどれ程の効果があるかは疑問です。
メジャーなソフト使ってる限り、2~3程度の代表的なソフトに絞り込まれちゃいますし、バージョンに関しても最新(笑)のセキュリティホールで攻撃する限りは、何の解決にもならないように思います。
その辺りはいかがなものでしょうか?
uxi
Re:ソフト名も隠さなければいけない (スコア:2, 参考になる)
Debianの場合パッチが当たっててもバージョンが変化しない事が多いのですが、表示されるバージョンだけを見て「古いバージョンだ」とか騒ぎ立てるセキュリティ厨が良くいます。
バージョンを出さないようにしておけば、そういう輩の相手をしなくても済むので、それはそれで嬉しい。
バージョン隠しても、そういうバカ除け以上の意味は無いですね。
元の文書で言う「情報を与えるな」というのは、例えばDBをアクセスするようなソフトで、エラーの表示にエラーを発生させたSQL文を表示しちゃうと不正なQuery(を注入できる入力データ)を作りやすくなるとか、そういう話ですね。
他の例で言えば、CGIなどでファイルのロックをかけていて、ロックができなかった時にそのファイル名を表示しちゃうとターゲットのファイル名を知られてしまうので、「Index表示しないようにしてるから大丈夫」とか言ってhttpでGETできるような所にファイル置いてると抜かれるとか。(まぁそもそもGETできるような所に置くのがマヌケなんだが)
Re:ソフト名も隠さなければいけない (スコア:3, 興味深い)
> 突いた方が早いですからね。
それをやると相手先に痕跡が残ります。
もし穴が開けば入って痕跡を消せば良いのですが、
穴がなかったら無意味どころか不要な痕跡を残すだけマイナスです。
ターゲットを絞らず世界中無闇やたらに無差別攻撃をすると
世界中に自分が攻撃をしたことの痕跡が残ります。
この痕跡の量は多ければ多いほど攻撃者にとって損ですので
もしあらかじめ攻撃先を絞ることができるならば絞っておきたいと
考えるのが犯罪者心理です。
身代金目的で子供を誘拐する場合も大抵の犯人は
あらかじめ金持ちを捜し出しておいて、
その中で成功率が高いと予想できるターゲットだけを攻撃します。
やたらめったら片っ端に子供を誘拐していって片っ端に身代金を請求していき、
そのうち1人からでもすぐに大金が入金されたら
そこで仕事を終了して全員を殺すという豪快な手法をとる犯罪者は少数派です。
いちいちターゲットの資産状況をチェックしてから誘拐するより
イキナリ全部誘拐した方が仕事は早いかもしれませんが
デメリットが大きいため流行しないのです。
クラッキングという犯罪も同様です。
Re:ソフト名も隠さなければいけない (スコア:0)
#営利じゃなくて、愉快犯の話してんじゃーないのか?
Re:ソフト名も隠さなければいけない (スコア:0)
Re:ソフト名も隠さなければいけない (スコア:0)
ウチのApacheのログやsnortのログには痕跡残りまくってますが
>身代金目的で子供を誘拐する場合も大抵の犯人は(以下略)
一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか?
Re:ソフト名も隠さなければいけない (スコア:0)
Apacheのログに残る攻撃の痕跡のうち
ウイルスによるものと手作業による攻撃の比率はどのくらいになってますか?
当方ではほとんど100%ウイルスです
> 一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか?
成功率の低い攻撃へのチャレンジを無闇大量に行なうことに伴うデメリットとして
証拠をあちこちにばらまいてしまい、それを消すことが困難になり
自分に対する捜査に対して余計な情報を与えてしまうことが挙げられます。
その例として窃盗や誘拐などの犯罪が例示さ
Re:ソフト名も隠さなければいけない (スコア:0)
Red Hatもそうですね。
Re:ソフト名も隠さなければいけない (スコア:0)
Re:ソフト名も隠さなければいけない (スコア:0)
う~ん、、コメント入れないとメンテナンス性が落ちますよね。
勿論必要以上のコメントを入れないようにはしていますがメンテナンス性を落としてまで削るほどなのか、と。
元々秘匿を期待していない
Re:ソフト名も隠さなければいけない (スコア:0)
Re:ソフト名も隠さなければいけない (スコア:0)
Re:ソフト名も隠さなければいけない (スコア:0)
もしかして手元のソースと公開用ドキュメントの加工や分類や管理を
手作業で行うことを前提としていませんか?
Re:ソフト名も隠さなければいけない (スコア:0)
Re:ソフト名も隠さなければいけない (スコア:0)
そういうスクリプトかませばいいのか、、