Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann: [Versions-Anzeige und "security by obscurity"] > > > > Und wieso gehört das nicht zu: security thru obscurity? > > Es sagt ja keiner das das der einzige Schutz ist, aber eben eine > > zusätzliche Maßnahme. > > 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir > mal 737 machst, oder deine /etc/passwd in > /usr/lib/geheimepasswoerter umbennenst. > Es ist nichts obscures daran, einem potenziellen Angreifer keine > unnötigen Informationen zu liefern.
Du irrst :) "Obscurity" heißt nicht nur "obskur/Obskurität", so wie wir es im Deutschen verwenden. Es heißt auch "Unklarheit". Genau das erreichst du, indem du die Information über die Version verbirgst - also den potentiellen Angreifer über die Version im Unklaren lässt. Das ist zweifelsfrei: "security by obscurity". > Genau genommen, ist genau das > einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen. Warum erzeugt "security by obscurity" nur immer diesen negativen Anklang? MfG Daniel
