Re:ソフト名も隠さなければいけない (#342257) | Linux/Unixでのセキュアなプログラムの書き方

「Linux/Unixでのセキュアなプログラムの書き方」記事へのコメント

記事ページを表示すべてのコメント取得

検索89コメント Log In/Create an Account

ソフト名も隠さなければいけない (スコア:1)

by bluedwarf (11629)

8.2. コメントはいれない [linux.or.jp]とあるけれど、どの程度コメントならOKでどの程度のコメントならまずいのだろうか？

# 「最終更新日」とかまずそうだね...

サーバーとか調べれば、OSとか使っているサーバーとか分かってしまうのが多いと思う(←良く知らない)のですが、そういうのもちゃんと隠したほうが良いということでしょうか？

--
// Give me chocolates!
- Re:ソフト名も隠さなければいけない (スコア:1)
  
  by uxi (5376) on 2003年06月21日 1時53分 (#342257)
  
  そこで言ってるのはあくまで＜!-- --＞　のコメントを出すなと言ってるだけなのでは？
  例えば PHP なら＜?php // コメント ?＞は問題ないでしょう。
  でもどうせなら、攻撃の徴候を検出して偽のコメントやエラーメッセージ吐かせるとかした方がおもしろそう。
  
  それから、ソフト名やバージョン隠す事にどれ程の効果があるかは疑問です。
  メジャーなソフト使ってる限り、2～3程度の代表的なソフトに絞り込まれちゃいますし、バージョンに関しても最新(笑)のセキュリティホールで攻撃する限りは、何の解決にもならないように思います。
  その辺りはいかがなものでしょうか？
  
  --
  uxi
  
  シェア
  
  親コメント
  - Re:ソフト名も隠さなければいけない (スコア:2, 参考になる)
    
    by Anonymous Coward on 2003年06月21日 3時18分 (#342279)
    
    いちいちバージョンチェックしてから穴突くよりはイキナリ穴突いた方が早いですからね。
    Debianの場合パッチが当たっててもバージョンが変化しない事が多いのですが、表示されるバージョンだけを見て「古いバージョンだ」とか騒ぎ立てるセキュリティ厨が良くいます。
    バージョンを出さないようにしておけば、そういう輩の相手をしなくても済むので、それはそれで嬉しい。
    バージョン隠しても、そういうバカ除け以上の意味は無いですね。
    元の文書で言う「情報を与えるな」というのは、例えばDBをアクセスするようなソフトで、エラーの表示にエラーを発生させたSQL文を表示しちゃうと不正なQuery（を注入できる入力データ）を作りやすくなるとか、そういう話ですね。
    他の例で言えば、CGIなどでファイルのロックをかけていて、ロックができなかった時にそのファイル名を表示しちゃうとターゲットのファイル名を知られてしまうので、「Index表示しないようにしてるから大丈夫」とか言ってhttpでGETできるような所にファイル置いてると抜かれるとか。（まぁそもそもGETできるような所に置くのがマヌケなんだが）
    
    シェア
    
    親コメント
    - Re:ソフト名も隠さなければいけない (スコア:3, 興味深い)
      
      by Anonymous Coward on 2003年06月21日 13時56分 (#342448)
      
      > いちいちバージョンチェックしてから穴突くよりはイキナリ穴
      > 突いた方が早いですからね。
      
      それをやると相手先に痕跡が残ります。
      もし穴が開けば入って痕跡を消せば良いのですが、
      穴がなかったら無意味どころか不要な痕跡を残すだけマイナスです。
      ターゲットを絞らず世界中無闇やたらに無差別攻撃をすると
      世界中に自分が攻撃をしたことの痕跡が残ります。
      この痕跡の量は多ければ多いほど攻撃者にとって損ですので
      もしあらかじめ攻撃先を絞ることができるならば絞っておきたいと
      考えるのが犯罪者心理です。
      
      身代金目的で子供を誘拐する場合も大抵の犯人は
      あらかじめ金持ちを捜し出しておいて、
      その中で成功率が高いと予想できるターゲットだけを攻撃します。
      やたらめったら片っ端に子供を誘拐していって片っ端に身代金を請求していき、
      そのうち1人からでもすぐに大金が入金されたら
      そこで仕事を終了して全員を殺すという豪快な手法をとる犯罪者は少数派です。
      
      いちいちターゲットの資産状況をチェックしてから誘拐するより
      イキナリ全部誘拐した方が仕事は早いかもしれませんが
      デメリットが大きいため流行しないのです。
      クラッキングという犯罪も同様です。
      
      シェア
      
      親コメント
      - Re:ソフト名も隠さなければいけない (スコア:0)
        
        by Anonymous Coward
        
        なんだか、さっきからずっと家のルータがつつかれてますが、何か？
        
        #営利じゃなくて、愉快犯の話してんじゃーないのか？
        
        Re:ソフト名も隠さなければいけない (スコア:0)
        
        by Anonymous Coward
        
        ウィルスの仕業？
      - Re:ソフト名も隠さなければいけない (スコア:0)
        
        by Anonymous Coward
        
        ＞それをやると相手先に痕跡が残ります。
        ウチのApacheのログやsnortのログには痕跡残りまくってますが
        ＞身代金目的で子供を誘拐する場合も大抵の犯人は（以下略）
        一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか？
        
        Re:ソフト名も隠さなければいけない (スコア:0)
        
        by Anonymous Coward
        
        > ウチのApacheのログやsnortのログには痕跡残りまくってますが
        
        Apacheのログに残る攻撃の痕跡のうち
        ウイルスによるものと手作業による攻撃の比率はどのくらいになってますか?
        当方ではほとんど100%ウイルスです
        
        > 一人誘拐する時にかかる手間と、セキュリティホールを突くパケットを送る手間の違いは無視ですか？
        
        成功率の低い攻撃へのチャレンジを無闇大量に行なうことに伴うデメリットとして
        証拠をあちこちにばらまいてしまい、それを消すことが困難になり
        自分に対する捜査に対して余計な情報を与えてしまうことが挙げられます。
        その例として窃盗や誘拐などの犯罪が例示さ
    - Re:ソフト名も隠さなければいけない (スコア:0)
      
      by Anonymous Coward
      
      >Debianの場合パッチが当たっててもバージョンが変化しない事が多いのですが
      
      Red Hatもそうですね。
      - Re:ソフト名も隠さなければいけない (スコア:0)
        
        by Anonymous Coward
        
        Red Hatの場合は結構バージョン上がりますよ。

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Linux/Unixでのセキュアなプログラムの書き方 More ログイン

「Linux/Unixでのセキュアなプログラムの書き方」記事へのコメント

ソフト名も隠さなければいけない (スコア:1)

Re:ソフト名も隠さなければいけない (スコア:1)

Re:ソフト名も隠さなければいけない (スコア:2, 参考になる)

Re:ソフト名も隠さなければいけない (スコア:3, 興味深い)

Re:ソフト名も隠さなければいけない (スコア:0)

Re:ソフト名も隠さなければいけない (スコア:0)

Re:ソフト名も隠さなければいけない (スコア:0)

Re:ソフト名も隠さなければいけない (スコア:0)

Re:ソフト名も隠さなければいけない (スコア:0)

Re:ソフト名も隠さなければいけない (スコア:0)

スラド