カテゴリ | |
サマリ | 設置後、最下部にPHPバージョンとPukiwikiバージョンを表示するのってセキュリティ的にどうなんでしょうか |
バージョン | 1.4.7 |
投稿者 | hiro |
状態 | 完了 |
投稿日 | |
お世話になります。
題名にもありますが、Pukiwiki設置後、最下部にPHPバージョンとPukiwikiバージョンが表示されますが、これはセキュリティ的にどうなんでしょうか。この部分を隠したいと思うのは私だけでしょうか。また隠して利用するのはGPL違反になるのでしょうか。宜しくお願い致します。
- dev-雑談(フッター部分のpukiwikiのバージョンとphpのバージョンについて) のmashiki 2007-07-07 (土) 04:44:04 から始まるコメントを参照 --
- こんにちは。隠すも隠さないも自由ですが、問題はそこではない様に聞こえました。バージョンを隠すという行為が「セキュリティ」「対策」の本論として挙がるとしたら、その感覚は現実とズレていると思いますがいかがですか。隠していたとして、それに対する攻撃側の苦労を考えてみて下さい。例えば、別のソフトウェアなどから間接的にLinux distributionとバージョンを推定するかもしれません。また、レンタルサーバーなら調査用のアカウントを作ることである程度特定するかもしれません。また、何かしらの試行錯誤を与えることで推定できるかもしれません。また、一定の低いバージョンであっても、その脆弱性に合致する機能を使っていない(とかでクラックできない)かもしれません。また、最新バージョンであっても、甘い設定のために危険な行為を他者に許可しているかもしれません。何らかの自動調査ツールにかけた結果を参考にするかもしれませんね。我々は気休めより、意識を高める術を優先して共有すべきだと思います。なおGPLではそのような縛りはありません。 -- henoheno
- まとめると、(1) やるべき事*1をやっていないならば、全く意味がない (2) やるべき事をやっているなら、気休めとかキディ避けとかデザインの都合かも*2 といった部類の話題なんじゃないかと思います。やれば充分か、やらなければ不十分かという話題ではありません。セキュリティ的には余談なんじゃないでしょうか。 -- henoheno
- 後でdevのその話題の下にでも移動しましょうか (^^; いい場所があったらそこでも良いのですが -- henoheno
- 昔は表示をみて侵入を決めているクラックボットがいたからだと思うけど、今はバージョン表示など気にせず穴があるかどうかをチェックして侵入するのでセキュリティ的にはほとんど意味はない。どうしてもそこに侵入しようとする人はどうであろうとトライするんだろうからそういう場合はきちんと穴を塞ぐことでしか対処できない。効果があるのは古のクラックスクリプトをはじけることかな。ただし、表示を消しているところの方がそれで満足して実際のセキュリティは甘いという戦略で侵入を試みるクラックボットも存在します。(某クラックグループのサイトで誰でも入手できます)なので結局は表示を消したいなら消せばよい。ただしセキュリティ的には大した効果はない。きちんと穴を塞ぐ、しっかりした運用ポリシーを定めて従うという地道なことをしなきゃダメです。 --
- henoheno様、有用なURLありがとうございます。質問したきっかけはそこではありませんが賛否両論色々な考えを伺うことができ楽しく拝見させて頂きました。またGPLではそのような縛りはないとの事理解いたしました。それでバージョンを隠して利用する場合については、どの程度の削除までが認められるのでしょうか。リンク部分の文字列の変更は可能なのでしょうか。現状でこのページ内の最下部でのリンク文字列は、「PukiWiki Developers Team.」 「GPL.」「yu-ji.」という文字列にリンクが張られておりますが、全体からどの程度省略する事が可能なのでしょうか。例)Based on "PukiWiki" by yu-ji License is GPL. Powered by (自分のサイト名) 程度に省略は可能でしょうか。この場合は「PukiWiki」「yu-ji」「GPL」「自分のサイト名」の文字にリンクしている事を想定しています。また今回のこの質問に関してhenohenoさんのおっしゃる通りセキュリティ的な話としては余談でした。ですのでこの話題を適切な場所に移動して頂いて全然OKです。 -- hiro
- 参考 : PukiWiki/Install/ライセンスについて --