現在のところ、以下の対応は良い方法であり、一貫性があるでしょうか:
- ヘッダーのレスポンスから nginx のバージョン情報を隠すこと、しかし
- Discourse の HTML ソースコードに正確なバージョンと git パッチレベルを表示すること
もし誰かが修正されていないセキュリティ問題を検索する自動化ツールを持っている場合、HTML ソースにメタ generator タグでバージョンが表示されていれば、それは非常に簡単です。
私は、少なくとも匿名のリクエストからはその情報を削除することを提案します。もしかすると、管理者アクセス以外のすべてのリクエストからも削除するべきかもしれません。
「いいね!」 4
これは「セキュリティ・バイ・オスキュリティ」であり、真のセキュリティとは程遠いと考えます。実際的なセキュリティ向上に寄与する技術に注力する方が良いでしょう。
「いいね!」 2
もちろん、重要なのはバグを隠すことではなく、安全なシステムを構築することです。
ただ、なぜ nginx のバージョンは隠されるのに、メインアプリのバージョンは隠されないのか疑問に思いました。
さらに、IMAP や SMTP プロトコルに関しても、これらのバージョンを表示すべきか、それとも隠すか変更すべきかという問題になるかもしれません。
IAmGav
(Gavin Perch)
4
nginx が Docker コンテナ内部にあることが原因かもしれません?
「いいね!」 1