Re: Frage zur SSH Kennung
Hi,
Daniel Leidert wrote:
> Am Mittwoch, den 06.07.2005, 22:31 +0200 schrieb Joerg Zimmermann:
>
> [Versions-Anzeige und "security by obscurity"]
>
>>>Und wieso gehört das nicht zu: security thru obscurity?
>>>Es sagt ja keiner das das der einzige Schutz ist, aber eben eine
>>>zusätzliche Maßnahme.
>>
>>'security thru obscurity' ist wenn Du ssh auf dem Port, sagen wir
>>mal 737 machst, oder deine /etc/passwd in
>>/usr/lib/geheimepasswoerter umbennenst.
>>Es ist nichts obscures daran, einem potenziellen Angreifer keine
>>unnötigen Informationen zu liefern.
>
>
> Du irrst :) "Obscurity" heißt nicht nur "obskur/Obskurität", so wie wir
> es im Deutschen verwenden. Es heißt auch "Unklarheit". Genau das
Unklar bedeutet, das etwas klar sein muss. Um ein ssh zu machen muss
ich nicht Klarheit über das eingesetzte Betriebssystem auf der
Gegenseite haben.
> erreichst du, indem du die Information über die Version verbirgst - also
> den potentiellen Angreifer über die Version im Unklaren lässt. Das ist
> zweifelsfrei: "security by obscurity".
Mit "security by obscurity" ist im allgemeinen gemeint
"durch unübliche Konfiguration eines Hosts oder IT-Systems einen
potenziellen Angreifer zu verwirren".
>>Genau genommen, ist genau das
>>einer wichtigsten Grundsätze zur Sicherheit in IT-Systemen.
>
>
> Warum erzeugt "security by obscurity" nur immer diesen negativen
> Anklang?
Weil mit "security by obscurity" meistens nicht der Angreifer
verwirrt wird, sondern die mit der Administration betrauten Personen.
-Jörg
Reply to: