読者です 読者をやめる 読者になる 読者になる

まじめにゆいがどくそん

仕事関連の真面目な記事が満載です、多分。

サーバシグニチャ

ブラウザでWebサーバにアクセスした際に返されるHTTPヘッダに "Server"ってのが含まれる場合がある。
Webサーバによっては、インストール直後のデフォルトの状態だと、サーバ製品名やそのバージョンなどが記述されていたりする。"404 Not Found" や "500 Internal Server Error" な画面にサーバの製品名とバージョンが表示されることも。
で、セキュリティコンサルティング会社に脆弱性の診断を依頼すると、決まって「サーバの製品名とバージョンが露呈しています。」なんて指摘されちゃう。
個人的には「必要のない情報なら公開しないほうがいい」と思ってたんだけど、(遅ればせながら)なにやら世間では賛否両論で騒然としてたらしい。

はてなブックマーク - ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策 ←騒動のきっかけ

サーバのバージョンは隠すのが常識? | スラッシュドット・ジャパン オープンソース
サーバシグニチャは隠すのが当たり前
Kazuho@Cybozu Labs: サーバシグニチャは隠さないのが当たり前

slashdot.jpのコメント中に「セキュリティコンサルのための心理戦」てのがあって、痛いところ突かれた感がある。確かに、「サーバの製品名とバージョンが露呈しています。」ってぇのは、診断報告書のページ数を稼ぐため、と思われても仕方ないかな。

いろいろな意見を読んで、今の心境に一番近いのがこれ。
サーバシグニチャは隠そうが隠すまいがどっちでもいいのが当たり前なので腹を切って死ぬべきだ : ひろ式めもちょう

うん、どっちでもいいね、確かに。

広告を非表示にする