2007/09/05

[技術系]   サーバシグニチャは隠そうが隠すまいがどっちでもいいのが当たり前なので腹を切って死ぬべきだ

at 12:24JST
 
どうしてこう、なんでも宗教論争にしちまうんだろうな…。くだらないし、見ているだけで苦痛。こんなことに時間を割いているなら他のもっと技術的におもしろいことを検討しろと。今後仕事でサーバの設定をするたびに、この件で先鋭化したアルカイダの手先みたいな原理主義者(=自分の脳みそで考えることができない連中)が、キーキーわめくようになるかと思うとゾッとする。今で言うなら
「そのDTDではFRAMEは使えないんですよ!」
とか
「IFRAMEは非標準なんですよ!」
「IEは捨てるべきです!」
とか頭に湯気沸かして仕事の邪魔するようなタイプ。そういうのの相手するくらいならhttpdはぜんぶ捨ててgopherに戻りたい…。

ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
http://labs.unoh.net/2007/08/5.html

yohgaki's blog - サーバシグニチャは隠すのが当たり前
http://blog.ohgaki.net/index.php/yohgaki/2007/09/04/a_ma_fa_a_ma_da_a_a_pa_me_na_a_ra_af_a_a

Kazuho@Cybozu Labs: サーバシグニチャは隠さないのが当たり前
http://labs.cybozu.co.jp/blog/kazuho/archives/2007/09/re_server_sig.php

結局、こんなのどっちに設定しようがメリットもデメリットも大して差がないんだから好きにすればいいんだよ。適当にまとめると(持論でバイアスかかってるが)、

サーバシグニチャを出す
  • メリット:
    • バザール理論に基づき、多くの人に自分のサーバのセキュリティをチェックしてもらえる
      →なんだ、その他力本願寺宗徒な発想。セキュリティくらい自分でチェックしろ
    • buggyな実装があった場合、クライアント側でのネゴシエーションに使える
      →でも、これホントか?
      • Apacheの話してるんだからIISを引き合いに出すのはヘンじゃね? ウノウの設定でも「Apacheだ」ということはわかる。まあ、Apacheも特定バージョンによって不具合があったりはしたけれど、その場合はサーバを巻き戻すかアップデートすべきでしょ
      • そもそもServerヘッダなんて信用ならない。経路で書き換わってるかもしんね。ブラウザでのバージョンチェックだって今どきUserAgentに依存しているのはタコだろう(※ちなみにバカがNescape NavigatorやRealPlayer向けのApacheの対応策とかのことでツッコんでるが、あんなのはクライアント側実装の修正で対応されるまでの時間稼ぎのdirty quick hackに過ぎない。あれで全員が救済できるわけじゃない)。同じことがサーバサイドについても言える
      • 「シグニチャを隠すヤツはセキュリティホールが見つかったときにバージョンを上げるのをサボる!」という話をしてるんでしょ? これじゃ「シグニチャを出すヤツは問題のある実装をアップデートしなくなる!」と批判されるんじゃないの? 「HTTPの進化に貢献」してると言えるかどうかは疑わしい
      • PHPのバージョンに限ればなにをかいはんや。ネゴシエーションに使う要素などひとつもない。明らかに出すのが無意味な情報
  • デメリット:
    • レベルの低いストーカーに「オタク、××使ってるんですね…ヒヒヒ…」と「そんなのtelnetがあれば幼稚園児にだってわかるだろ」的なことを自慢げに言われて気分を害する可能性が残る
    • ムダにレスポンスヘッダが長くなる。こういうのに意味不明な自己満足を覚えているヤツが非常に多い。誰だよphpだのmod_perlだのWebDAVだの大量に並べ立てて2行にもなるServerヘッダ流してるの! 直でクライアントとのやりとり見るときにウザい


出さない場合のメリット・デメリット:上の逆

ぼくはApacheの場合で言うなら10年以上(かな? 少なくともディレクティブが追加されて以来)
ServerTokens ProductOnly
で運用してるけど、理由は「単なる趣味」。表に出す情報なんて必要最小限でいいと思ってるから。運用上のポリシーであって、セキュリティとは別問題。それでセキュリティへの意識レベルを計れるようなもんじゃないだろ。どうでもええやん。

…たとえばtar ballについてくる(昔ついてきた)printenv.cgiがあるけど。あれも削除したら批判されるのかね? バッカバカしい。要らないもんは捨てるのがサーバ運営の常道だろ。ServerTokensだってほとんどの場合その程度の意味しかないよ。あれか? Webサーバにsambaとかemacsとか入ってても気にしないゆとり教育の影響か?

結論:
サーバシグニチャを出さないことでは確かにウノウの言うようなセキュリティレベルの向上は“それほどは”得られないが、だからといって出さないことがクソだのタコだの言うのはバカ。



関連しそうな過去記事:
さらに過去の記事
2009/04 (1)   2008/12 (3)   2008/11 (9)   2008/10 (10)   2008/09 (20)   2008/08 (2)   2008/07 (23)   2008/06 (16)   2008/05 (22)   2008/04 (11)   2008/03 (21)   2008/02 (20)   2008/01 (21)   2007/12 (32)   2007/11 (37)   2007/10 (46)   2007/09 (63)   2007/08 (33)   2007/07 (41)   2007/06 (81)   2007/05 (173)   2007/04 (168)   2007/03 (113)   2007/02 (123)   2007/01 (92)   2006/12 (111)   2006/11 (185)   2006/10 (20)  
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。