Sollte in Apache-Fehlermeldungen Infos über Version und OS auftauchen?
-
Ich war gerade mal wieder auf einer Seite welche gerade nicht erreichbar ist und bekam folgende schöne Meldung zu gesicht:
Service unavailable!
The server is temporarily unable to service your request due to maintenance downtime or capacity problems. Please try again later.
If you think this is a server error, please contact the webmaster.
Error 503Mon Jul 14 10:55:36 2008
Apache/2.2.4 (Linux/SUSE)Ich frage mich immer wenn ich sowas sehe ob man die Fehlermeldungen nicht besser ändern sollte damit keine Informationen über Apache und OS bekannt gegeben werden.
Was denkt ihr dazu?
Klar security by obscurity ist nicht der Weg um seinen Server sicher zu machen, man muss aber auch nicht mit der verwendeten Software hausieren gehen..
-
Webber schrieb:
Was denkt ihr dazu?
Die meisten ISP haben ihre Server so eingerichtet, dass Fingerprinting so schwer wie möglich wird. Und so gehört sich das natürlich auch. Ein kundiger Cracker kann aber auch ohne so einen direkten Output relativ präzise die verwendete Software erkennen, da gibt es viele Möglichkeiten.
-
árn[y]ék schrieb:
Webber schrieb:
Was denkt ihr dazu?
Die meisten ISP haben ihre Server so eingerichtet, dass Fingerprinting so schwer wie möglich wird. Und so gehört sich das natürlich auch. Ein kundiger Cracker kann aber auch ohne so einen direkten Output relativ präzise die verwendete Software erkennen, da gibt es viele Möglichkeiten.
Mir fällt gerade ein, es wäre ja recht schlau die Angabe drin zu lassen, aber sie zu fälschen, das dürfte einen großteil von potentiellen Angreifern doch in die Irre führen, oder nicht?
-
Nein. Ein ernsthafter Cracker verlässt sich auf so eine Angabe eh nicht. Die haben Tools, die zig verschiedene Dinge probieren und daraus automatisiert relativ wahrscheinlich die Software und sogar die grobe Version bestimmen können.
Hier wird z.B. der HTTP-Header analysiert. Viele Webserver haben ihre ganz eigene typische Reihenfolge der Header-Daten (MIME-Type, Expiration etc.), oder auch der Schreibweisen (Content-Type, Content-type etc.). Andere Analysen, z.B. zum Verhalten in bestimmten erzeugbaren Situationen (Seite nicht gefunden, Handling, bestimmte Outputs, bestimmte Return-Values etc.) kommen noch hinzu.
Alle diese Fingerprints zusammen ausgewertet ergeben ein recht genaues Bild, bzw. einen relativ kleinen Range von vermutbarer Software und Version.
... und alles automatisiert, hey, Cracken macht Spaß
-
árn[y]ék schrieb:
Nein. Ein ernsthafter Cracker verlässt sich auf so eine Angabe eh nicht. Die haben Tools, die zig verschiedene Dinge probieren und daraus automatisiert relativ wahrscheinlich die Software und sogar die grobe Version bestimmen können.
Hier wird z.B. der HTTP-Header analysiert. Viele Webserver haben ihre ganz eigene typische Reihenfolge der Header-Daten (MIME-Type, Expiration etc.), oder auch der Schreibweisen (Content-Type, Content-type etc.). Andere Analysen, z.B. zum Verhalten in bestimmten erzeugbaren Situationen (Seite nicht gefunden, Handling, bestimmte Outputs, bestimmte Return-Values etc.) kommen noch hinzu.
Alle diese Fingerprints zusammen ausgewertet ergeben ein recht genaues Bild, bzw. einen relativ kleinen Range von vermutbarer Software und Version.
... und alles automatisiert, hey, Cracken macht SpaßGibs zu du bist ein Cracker
Danke für die Auskunft
