LINUX.ORG.RU

Security by obscurity нннада?

 , ,


1

5

Я почему-то считал, что security by obscurity - занятие бесполезное. Сейчас в процессе чтения OWASP Security Testing Guide. Прочитал уже четверть, половина из неё посвящена тому, что надо менять header'ы серверов, имена cookies / структуру файлов фреймворков.

Есть даже совет о том, чтобы примешивать произвольные символы ко всем статическим файлам, поставляющимся с фреймворком / CMS (чтобы нельзя было по fingerprinting'у вычислить их использование) и даже (!) совет о добавлении файлов из других приложений и фреймворков, чтобы сбить с толку какиров и «пустить их по ложному следу».

Таки ваши мысли на этот счёт?

Я так не делаю, по моему бесполезно. Помогает до тех пор, пока работает правило неуловимого Джо.

Black_Roland ★★★★ ()

Нельзя полагаться только на security through obscurity при разработке веб-приложений. Однако, неизбежно в твоем коде или в коде фреймфорка будет найдена какая-нибудь дырка. Поэтому, этим советам можно и последовать, от менее опытных какиров они точно спасут, а остальным на каждом шагу будут ставить подножку.

derlafff ★★★★★ ()
Последнее исправление: derlafff (всего исправлений: 1)

Есть угроза автоматических сканеров. В твоём фреймворке находят баг, продают его взломщикам, те адаптируют веб-сканнер на нахождение сайтов с этим фреймворком и автоматическим образом взламывают твой сайт. Исправлять баг, про который ты не знаешь, ты не можешь, а вот сделать так, чтобы распознавание фреймворка было затруднено - вполне можешь. Таким образом ты нивелируешь эту угрозу. Остаются и другие угрозы, конечно, и об этом нельзя забывать, безопасность это комплексный вопрос.

Legioner ★★★★★ ()

Китайские боты пробуют все что есть, даже не смотря на версию. Вывод делай сам. Не говоря уже о том, что чтобы иногда изменить заголовки нужно пересобирать приложение вручную, а это значит потеря времени и затруднение использования версии из твоего дистрибутива, для которой приходят автоматические исправления безопасности.
Эта тема не сколько прибавляет безопасности, сколько забавно наблюдать в логах, как кто-то обламывается.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 1)

Таки ваши мысли на этот счёт?

Фигня, не работает. То есть работает, но до той поры, пока никому не интересно.

Проверено ☻

Deleted ()

тут ты смешиваешь понятия: в термине «безопасность через неясность» важно понимать, для кого это «неясность»? Если для администратора всё ясно, то такие меры можно и даже иногда нужно применять _после_ того, как все основные меры приняты(все дыры закрыты, и автоматчикам на вышках выдали по два магазина, и собаки в меру сытые, что-бы быть злыми и быстро бегать. И всё остальное. После этого можно раскрасить в яркие краски нашу РЛС, что-бы она со спутника казалось детской площадкой, или хрен знает чем).

emulek ()
Ответ на: комментарий от vertexua

Никак. Перебить nginx server string вместе с версией, поменять страницы. Но это тщательного детекта не спасет. Другое дело если впереди какой-нибудь веб-акселератор поставить, но это уже тогда будет не nginx. И опять же, что под ним nginx тоже можно будет узнать и очень просто, если не будет специально пересобран. Хотя если контент будет отдавать другой веб-сервер, к примеру cdn'а, а nginx будет доступен из локалки, то можно.

anonymous_sama ★★★★★ ()
Последнее исправление: anonymous_sama (всего исправлений: 2)
Ответ на: комментарий от anonymous_sama

Ну все это можно делать добрым скриптом настроеным раз и навсегда на развертывание защищенного nginx. Смущает порядок заголовков, формат etag и типичные ответы на ошибки (речь не о страницах, их можно заменить)

vertexua ★★★★☆ ()
Ответ на: комментарий от vertexua

Ну я и говорю, придется nginx переписывать. А так в плане заголовков можно что угодно конечно, где угодно c тем же headers-more добавить и убрать.
Другое дело что не все веб приложения любят когда с них начинают убирать заголовки, но это уже более частная специфика. Хотя впрочем nginx тем и крут, что он как конструктор, модулей столько, что можно построить ракету.
Но имхо обычно как раз наоборот форсят заголовки, origin и т.д.

anonymous_sama ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.