アカウント名:
パスワード:
って事で、一体全体何の理由でわざわざ隠蔽している処を選んで攻撃(どういう攻撃を何の為に?ってのも)するのかが判らないんですが。
少なくとも、隠蔽するためにはシステムを触る訳でして、何らかの対処をしているっての可能性は、前述のサイトに比べて大きいと思いますが。
#つーか、どのみちサーバとしては「攻撃は来る」として対処するしか無いんで、公開の有無は関係ないし。
いいえ、元々不作為の中の話で、それも攻撃対象をこれから選ぶ時の話ですよ?これは。
で、その対象としての唯一の判断基準が「バージョンの表示か隠蔽か」って話。
>お宝のありそうなサイトがまず目の前にあって、貫通できそうかな?って思うときに、 >ヘッダのServerフィールドが隠してあるとなれば、隠さないところが普通に多いのに、 >「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」 >ということになるわけで。
そ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
ヴァージョンが不明なら (スコア:0)
隠すということは何かを隠蔽しようとしてるとみなし、
まず既存のセキュリティホールをつついてみます。
ヴァージョンを隠すのを対策とみなすのは三流のクラッカーで、
真のクラッカーなら先の先まで読むんじゃないのかな?
Re:ヴァージョンが不明なら (スコア:1)
って事で、一体全体何の理由でわざわざ隠蔽している処を選んで攻撃(どういう攻撃を何の為に?ってのも)するのかが判らないんですが。
少なくとも、隠蔽するためにはシステムを触る訳でして、何らかの対処をしているっての可能性は、前述のサイトに比べて大きいと思いますが。
#つーか、どのみちサーバとしては「攻撃は来る」として対処するしか無いんで、公開の有無は関係ないし。
Re:ヴァージョンが不明なら (スコア:0)
それはこういうことですよ。
「選んで攻撃」の話だから無差別自動攻撃以外の話をしているんですよね?
その場合、攻撃できるところを探すんではなしに、
お宝のありそうなサイトがまず目の前にあって、貫通できそうかな?って思うときに、
ヘッダのServerフィールドが隠してあるとなれば、隠さないところが普通に多いのに、
「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」
ということになるわけで。
バージョンが最新のを応答してるなら、「apacheの脆弱性は突いても無理っぽいな」と
思ってもらえるかもしれないわけで。
Re:ヴァージョンが不明なら (スコア:1)
>「選んで攻撃」の話だから無差別自動攻撃以外の話をしているんですよね?
いいえ、元々不作為の中の話で、それも攻撃対象をこれから選ぶ時の話ですよ?これは。
で、その対象としての唯一の判断基準が「バージョンの表示か隠蔽か」って話。
>お宝のありそうなサイトがまず目の前にあって、貫通できそうかな?って思うときに、
>ヘッダのServerフィールドが隠してあるとなれば、隠さないところが普通に多いのに、
>「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」
>ということになるわけで。
そ
Re:ヴァージョンが不明なら (スコア:1)
>「何か隠すことがあるんだな。パッチの体制ができてないんじゃないか?やってみよう」
>ということになるわけで。
いいえ、なりません。
「しっかり隠してるな。このぶんじゃ穴も塞いでるだろう。バージョン探るのも面倒だし河岸をかえるか」となります。
または「ラッキー、turboだって(ごめん古い奴のことね)」というのもあるかも。
もっともゲインが大きければ、ゴミあさりから始まってどんな手でも使うでしょうから、この場合は、サーバー状況は意欲には関係しないでしょう。
...それともバージョン出してほしい理由でも。
それはさておき、集計しました
バージョン隠すが吉 29
バージョン出せ 7
えーと、
>どうも話をすり替えて混乱させている人が居るような気がしてなりませんよ。(#1213568)
に同意。
共通するバージョン出せ主張は、「バージョン隠してるサーバーはパッチを当てていないサーバー」。
その集計が 7 。