Versionsnummer wird übermittelt

[qbic]

Hi Leute, lang ists her =D

Zum einstieg gleich mal eine Frage da mich google nicht wirklich weiter gebracht hat.
Hab eben mal die Sicherheit meiner DS1010+ Websites bewerten lassen.

Grundsätzlich gibt es keine Probleme, das einzige was dem Server vorgeworfen wird ist, dass er die Versionsnummer des Apachen mitsendet.
Daher die Frage: Es läuft ja ein normaler Apache auf der 1010+. Wenn die DS nun die Version mitliefert, weiß ein potenzieller Angreifer ja direkt bescheid, ob es in der eingesetzten Version irgendwelche Exploits gibt.

Wie kann man das senden der Versionsnummer abschalten?
Php ini?
Was haltet Ihr von diesem "Sicherheitsfeature"?
Wäre das eine Anregung für Synology einen böppel in den DSM einzubauen um das senden der Versionsnummer zu deaktivieren?

Danke schonmal
mfg qBiC

 

[KlausKaa]

lies Dich mal hier ein - das sollte evtl. das sein, was Du suchst....

Grüße, Klaus

 

[itari]

Was haltet Ihr von diesem "Sicherheitsfeature"?
Wäre das eine Anregung für Synology einen böppel in den DSM einzubauen um das senden der Versionsnummer zu deaktivieren?

In besagtem Thread habe ich schon angedeutet, dass ich nicht allzu viel davon halte, weil es nur einen 'vermeintlichen' Schutz darstellt, denn ein echter Hacker, der feststellen kann, dass es sich um eine DiskStation handelt, kann sich die Firmware herunter laden und findet schnell heraus, welche Apache-Version verwendet wird. Nicht desto trotz kann man den Synology-Entwicklern eine Anfrage zusenden (wie du sicherlich weisst, schaut ja hier in das Forum von Synology niemand herein) und schauen, was die davon halten.

Ich persönlich finde es 'besser', wenn man mit dem Gedanken lebt, dass eine im Internet agierende DiskStation 'gehackt' werden kann. Dann kann man für sich abschätzen, ob und welche Daten man auf der DS vorhält und welche Protokolle man für den Zugang öffent (Firewall/Servereinstellungen). Und auch, ob man sich eine weitere DS gönnt, um zwischen internen und externen Einsatz genau trennen zu können.

Itari

 

[schimi007]

Man sollte doch wissen das "JEDER" Computer der sich im Internet befindet gehackt werden kann und nicht nur die DS. Desweiteren sollte man sich die Frage stellen wem die Daten die sich auf dem Rechner oder der DS befinden was nützen. Ich denke das sich viele User viel zu wichtig nehmen. Wen sollte es denn interessieren was sich auf einem privaten Rechner befindet, und solange keine persönlichen Daten, Paßwörter etc. auf dem Rechner gespeichert sind ist dieser völlig uninteressant für einen Hacker.

 

[jahlives]

Wen sollte es denn interessieren was sich auf einem privaten Rechner befindet, und solange keine persönlichen Daten, Paßwörter etc. auf dem Rechner gespeichert sind ist dieser völlig uninteressant für einen Hacker.

in 99.9% der Fälle wirst du nicht gezielt zum Opfer einer Hackerattacke, sondern ein Script grast IPs ab und versucht sich an offenen Ports. In solchen Fällen kann es aber schon gut sein, wenn die verwendete Serversoftware nicht genannt wird, weil sonst das Script auch gleich noch automatisch passende Exploits probieren könnte.
Bei einem gezielten Angriff gegen dich ist es egal ob du den Server und die Version nennst oder nicht, dann bringt dieses "Verstecken" rein gar nichts, denn es gibt ja wie itari sagte viele Möglichkeiten anhand der Antwort auf den Server und die Version zu schliessen.