アカウント名:
パスワード:
って事で、一体全体何の理由でわざわざ隠蔽している処を選んで攻撃(どういう攻撃を何の為に?ってのも)するのかが判らないんですが。
少なくとも、隠蔽するためにはシステムを触る訳でして、何らかの対処をしているっての可能性は、前述のサイトに比べて大きいと思いますが。
#つーか、どのみちサーバとしては「攻撃は来る」として対処するしか無いんで、公開の有無は関係ないし。
いいえ、元々不作為の中の話で、それも攻撃対象をこれから選ぶ時の話ですよ?これは。
で、その対象としての唯一の判断基準が「バージョンの表示か隠蔽か」って話。
>お宝のありそうなサイトがまず目の前にあって、貫通できそうかな?って思うときに、 >ヘッダのServerフィールドが隠してあるとなれば、隠さないところが普通に多いのに、 >「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」 >ということになるわけで。
それは既に「お宝サイトを強略する時に云々」の別の条件の話になりますよ。
そんな後付条件なんか、幾らでも自分で都合良いのを用意できますから何とも。
>バージョンが最新のを応答してるなら、「apacheの脆弱性は突いても無理っぽいな」と >思ってもらえるかもしれないわけで。
いや、ですからサーバからして「最新じゃないよ」と自己申告しているのが有るって話なんですが。 で、それよりも「隠蔽している方が攻撃対象に成る」ってのが判らない、と。
#現実にバージョンで判定しての攻撃ツールも有るってのに。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ヴァージョンが不明なら (スコア:0)
隠すということは何かを隠蔽しようとしてるとみなし、
まず既存のセキュリティホールをつついてみます。
ヴァージョンを隠すのを対策とみなすのは三流のクラッカーで、
真のクラッカーなら先の先まで読むんじゃないのかな?
Re:ヴァージョンが不明なら (スコア:1)
って事で、一体全体何の理由でわざわざ隠蔽している処を選んで攻撃(どういう攻撃を何の為に?ってのも)するのかが判らないんですが。
少なくとも、隠蔽するためにはシステムを触る訳でして、何らかの対処をしているっての可能性は、前述のサイトに比べて大きいと思いますが。
#つーか、どのみちサーバとしては「攻撃は来る」として対処するしか無いんで、公開の有無は関係ないし。
Re:ヴァージョンが不明なら (スコア:0)
それはこういうことですよ。
「選んで攻撃」の話だから無差別自動攻撃以外の話をしているんですよね?
その場合、攻撃できるところを探すんではなしに、
お宝のありそうなサイトがまず目の前にあって、貫通できそうかな?って思うときに、
ヘッダのServerフィールドが隠してあるとなれば、隠さないところが普通に多いのに、
「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」
ということになるわけで。
バージョンが最新のを応答してるなら、「apacheの脆弱性は突いても無理っぽいな」と
思ってもらえるかもしれないわけで。
Re:ヴァージョンが不明なら (スコア:1)
>「選んで攻撃」の話だから無差別自動攻撃以外の話をしているんですよね?
いいえ、元々不作為の中の話で、それも攻撃対象をこれから選ぶ時の話ですよ?これは。
で、その対象としての唯一の判断基準が「バージョンの表示か隠蔽か」って話。
>お宝のありそうなサイトがまず目の前にあって、貫通できそうかな?って思うときに、
>ヘッダのServerフィールドが隠してあるとなれば、隠さないところが普通に多いのに、
>「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」
>ということになるわけで。
それは既に「お宝サイトを強略する時に云々」の別の条件の話になりますよ。
そんな後付条件なんか、幾らでも自分で都合良いのを用意できますから何とも。
>バージョンが最新のを応答してるなら、「apacheの脆弱性は突いても無理っぽいな」と
>思ってもらえるかもしれないわけで。
いや、ですからサーバからして「最新じゃないよ」と自己申告しているのが有るって話なんですが。
で、それよりも「隠蔽している方が攻撃対象に成る」ってのが判らない、と。
#現実にバージョンで判定しての攻撃ツールも有るってのに。
Re:ヴァージョンが不明なら (スコア:1)
>「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」
>ということになるわけで。
いいえ、なりません。
「しっかり隠してるな。このぶんじゃ穴も塞いでるだろう。バージョン探るのも面倒だし河岸をかえるか」となります。
または「ラッキー、turboだって(ごめん古い奴のことね)」というのもあるかも。
もっともゲインが大きければ、ゴミあさりから始まってどんな手でも使うでしょうから、この場合は、サーバー状況は意欲には関係しないでしょう。
...それともバージョン出してほしい理由でも。
それはさておき、集計しました
バージョン隠すが吉 29
バージョン出せ 7
えーと、
>どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。(#1213568)
に同意。
共通するバージョン出せ主張は、「バージョン隠してるサーバーはパッチを当てていないサーバー」。
その集計が 7 。
Re:ヴァージョンが不明なら (スコア:0)
不作為なら自動攻撃なのでは?言っていることが支離滅裂ですよ。