水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > IIS の X-Powered-By だけ隠す話

IIS の X-Powered-By だけ隠す話

2007年9月20日(木曜日)

IIS の X-Powered-By だけ隠す話

少し前にサーバのバージョンを隠すのはどうなのかという話がありましたが、とあるサイトの脆弱性診断結果が興味深いことになっていました。

その検査対象のサーバは以下のような内容を含む応答ヘッダを出力していたのですが、

Server: Microsoft-IIS/5.0

X-Powered-By: ASP.NET

これに対してサーバのバージョンを隠せという指摘は無く、X-Powered-By: ASP.NET を隠せという指摘が。

※といっても、隠さなきゃ駄目という論調ではなく、まあ問題ないけど隠したほうが良いかもね、くらいの論調でしたが。

IIS/5.0 は隠さなくても良くて、ASP.NET は隠した方が良い、という理由って何かあるのでしょうか。サーバが IIS だと分かった時点で「ASP か ASP.NET が動作している可能性大」と判断できると思いますので、あんまり意味が無いような気も……。まあ、このあたりは宗教論争になりそうですが。

関連する話題: セキュリティ

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)友井町バスターズ (富士見ファンタジア文庫)

その他サイト