Re: Frage zur SSH Kennung
Am Donnerstag, 7. Juli 2005 16:26 schrieb Daniel Leidert:
> Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann:
>
> [Versions-Anzeige und "security by obscurity"]
>
> > > Und wieso gehört das nicht zu: security thru obscurity?
> > > Es sagt ja keiner das das der einzige Schutz ist, aber eben eine
> > > zusätzliche Maßnahme.
> >
> > 'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir
> > mal 737 machst, oder deine /etc/passwd in
> > /usr/lib/geheimepasswoerter umbennenst.
> > Es ist nichts obscures daran, einem potenziellen Angreifer keine
> > unnötigen Informationen zu liefern.
>
> Du irrst :) "Obscurity" heißt nicht nur "obskur/Obskurität", so wie
> wir es im Deutschen verwenden. Es heißt auch "Unklarheit". Genau das
> erreichst du, indem du die Information über die Version verbirgst -
> also den potentiellen Angreifer über die Version im Unklaren lässt.
> Das ist zweifelsfrei: "security by obscurity".
100% agree
> > Genau genommen, ist genau das
> > einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen.
>
> Warum erzeugt "security by obscurity" nur immer diesen negativen
> Anklang?
das wüßte ich auch gerne, wer sich davon einen Vorteil verspricht soll
es doch einsetzen. Ist ja nicht so, das das keiner mehr machen würde
seit die meisten Crypto-Algorithmen public sind.
--
Markus Schulz
Heute glaubt anscheinend jeder, Programme seien Geister, die in kleinen
Totems wohnen und durch zweimaliges Berühren mit dem Mausfetisch
beschworen werden. Daher vermutlich das Unvermögen, ein Programm zu
starten, wenn das Totem verlorengegangen ist. (Thorsten Lange in
d.a.s.r.)
Reply to: