水無月ばけらのえび日記

IIS の X-Powered-By だけ隠す話

少し前にサーバのバージョンを隠すのはどうなのかという話がありましたが、とあるサイトの脆弱性診断結果が興味深いことになっていました。

その検査対象のサーバは以下のような内容を含む応答ヘッダを出力していたのですが、

これに対してサーバのバージョンを隠せという指摘は無く、X-Powered-By: ASP.NET を隠せという指摘が。

※といっても、隠さなきゃ駄目という論調ではなく、まあ問題ないけど隠したほうが良いかもね、くらいの論調でしたが。

IIS/5.0 は隠さなくても良くて、ASP.NET は隠した方が良い、という理由って何かあるのでしょうか。サーバが IIS だと分かった時点で「ASP か ASP.NET が動作している可能性大」と判断できると思いますので、あんまり意味が無いような気も……。まあ、このあたりは宗教論争になりそうですが。

• 「IIS の X-Powered-By だけ隠す話」へのコメント (4件)

関連する話題: セキュリティ