Il s'agit simplement de limiter la divulgation d'information qui permettrait à un utilisateur malveillant de bénificier d'informations lui rendant plus facile la tâche.
De la vrai "security through obscurity" serait de changer complètement la bannière de façon à renvoyer une version IIS au lieu d'apache par exemple.
Le fait de ne pas donner la distribution ni le numéro de version du serveur apache, permet par exemple dans le cas d'openfuck (exploit permettant de profiter d'une faille openSSL) d'augmenter la difficulté pour un débile mental (script kiddy en anglais) car l'exploit demande en parametre le numéro de version d'apache et le nom de la distrib sur laquelle il doit se lancer.
Cela n'empechera pas une attaque bien évidement mais en ne livrant pas ces informations, l'attaquant devra essayer plusieurs combinaisons en aveugle ce qui augmentera le bruit généré et donc les chances de remarquer ce traffic dans les logs.
Tout ceci n'est qu'un exemple bien entendu et ne peut être interprété comme ma vision de la sécurité informatique.
La sécurité c'est un peu comme les oignons, ca pu^H^H possède différentes couches :p
[^] # Re: Debian en progression pour les serveurs web
Posté par indigo . En réponse à la dépêche Debian en progression pour les serveurs web. Évalué à 2.
De la vrai "security through obscurity" serait de changer complètement la bannière de façon à renvoyer une version IIS au lieu d'apache par exemple.
Le fait de ne pas donner la distribution ni le numéro de version du serveur apache, permet par exemple dans le cas d'openfuck (exploit permettant de profiter d'une faille openSSL) d'augmenter la difficulté pour un débile mental (script kiddy en anglais) car l'exploit demande en parametre le numéro de version d'apache et le nom de la distrib sur laquelle il doit se lancer.
Cela n'empechera pas une attaque bien évidement mais en ne livrant pas ces informations, l'attaquant devra essayer plusieurs combinaisons en aveugle ce qui augmentera le bruit généré et donc les chances de remarquer ce traffic dans les logs.
Tout ceci n'est qu'un exemple bien entendu et ne peut être interprété comme ma vision de la sécurité informatique.
La sécurité c'est un peu comme les oignons, ca pu^H^H possède différentes couches :p