アカウント名:
パスワード:
などとすればサーバーのバージョンが判ります。これは、単にブラウザでアクセスするのと同じで、許可が必要なワケはありません。sorede, 既にセキュリティーホール(クロスサイトスクリプティング含む)があると判っているバージョンだったら、それだけで「危険」だとわかるでしょ?
ええ、おっしゃる通りですが、隠す事まで考えていないない所が多いんじゃないでしょうか? (自分でも100個所ぐらいサンプルとしてやってみて、調べてみようかな)
もっとも、telnet 80 以外の方法でバージョンを特定する方法も幾つか頭に浮かびますが、、、(要は、突っつくという事ですが)
Debian の安定版の場合には、セキュリティ上の問題が見つかった場合、通常はバージョンアップせず、パッチをバックポートします。ので、バージョンで判断すると、問題あり、ということになってしまいます。
他の場合は知りませんが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
どうでもいい疑問 (スコア:1)
アレだけの母体数だったら許可なんて取ってられないし
バナーだけで判断かな?
あとクロスサイトスクリプティングは脆弱性に含まれているのだろうか?
これを含めるともっとありそうな気がしないでもない
そんなの簡単じゃん (スコア:1)
などとすればサーバーのバージョンが判ります。これは、単にブラウザでアクセスするのと同じで、許可が必要なワケはありません。sorede, 既にセキュリティーホール(クロスサイトスクリプティング含む)があると判っているバージョンだったら、それだけで「危険」だとわかるでしょ?
Re:そんなの簡単じゃん (スコア:1)
Apache なら ServerTokens [apache.org].
-- wanna be the biggest dreamer
Re:そんなの簡単じゃん (スコア:1)
ええ、おっしゃる通りですが、隠す事まで考えていないない所が多いんじゃないでしょうか? (自分でも100個所ぐらいサンプルとしてやってみて、調べてみようかな)
もっとも、telnet 80 以外の方法でバージョンを特定する方法も幾つか頭に浮かびますが、、、(要は、突っつくという事ですが)
バージョン番号 (スコア:2, 参考になる)
Debian の安定版の場合には、セキュリティ上の問題が見つかった場合、通常はバージョンアップせず、パッチをバックポートします。ので、バージョンで判断すると、問題あり、ということになってしまいます。
他の場合は知りませんが。