No lo entiendo.

¿Porque puñeta los programadores de servidores y productos que estan expuestos en Internet por defecto anuncian la versión y hasta el patchset que se esta ejecutando? ¿Como se puede ser tan obtuso?.

Hay multitud de ejemplos:

- BIND, que para mas inri debe de ser uno de los softwares con mas agujeros de seguridad descubiertos (sniff) de la historia.

Por defecto, un simple dig @servidor version.bind chaos txt te canta cual es la version del software que se esta ejecutando.

- Apache, anuncia su version y su subversion en las cabeceras con cada peticion http1.1

- Squirrelmail, que no solo anuncia que version tiene hasta en el cielo de la boca, autenticado o no, sino que deja php’s de traza y no indica que hay que eliminarlos. Para mas inri, este mismo software con cada maldito correo envia en su cabecera version y todo.

- Y la lista es larga (raro es aquel que lo hace de otra manera)

No es que el hecho de no anunciar su version y subversion haga el producto automáticamente mas seguro (eso es “seguridad” por oscuridad y se ha demostrado que nofunciona), pero anunciar a los cuatro vientos que puedes tener una vulnerabilidad es de estúpidos.



¡¡¡¡En que coño están pensando!!!!


PS: A la gente de acens les mola Amy Winehouse… Podeis probarlo haciendo un “dig chaos txt version.bind @ns1.acens.net”