Webセキュリティ対策 第二回 (Serverヘッダ)
ワタナベです。
前回に続き、第二回です。
世の中のWebサーバがどのアプリケーションで動作しているか、
についての統計を取り、公開しているサイトがあります。
Netcraftというところがそれです。
ここでは1995年以来、実際に動作中であるWebサーバの情報を集め、集計した結果を
公開しています。ある程度は流行の変遷を見ることができ、有用です。
これはWebサーバに直接アクセスし、そのレスポンスに含まれる「Serverヘッダ」
から情報を取得しています。
普段WebブラウザによってWebページにアクセスする場合、この「Serverヘッダ」を
始め、ヘッダ情報は意識されることはありませんが、実はページにアクセスする度に
Webサーバから返されるレスポンスの中に含まれています。
たとえば、こんな情報が含まれています。
Server: Apache/2.0.54 (Debian GNU/Linux) PHP/4.3.10-16
このように、Serverヘッダは、
稼働中のWebシステムが何のアプリケーションの、どのバージョンで動作しているかなどを
外部から知ることができるため、この情報を元に攻撃を受けやすくなるかもしれないという
問題点もあります。(過去にはこの情報を元に攻撃ターゲットを決めるワームも存在しました。)
HTTP 1.1についての規定が記述されているRFC2616という文書においても、
Serverヘッダは設定可能にするべきであるとあり、可能な限り隠蔽することを推奨しています。
また、このほかX-Powered-Byヘッダなども隠蔽するように設定するべきでしょう。
セキュリティにおいて、情報を隠蔽することは十分な対策とはなりえませんが、
少しでもリスクを軽減させるためには重要な施策です。
まとめ:
Serverヘッダなどに表示する情報は最小限に留めましょう。
トラックバック
このエントリーのトラックバック:
http://news.brain-gate.net/mt-tb.cgi/117
