HTTPHeaderのServerをドイツの株式指数(DAX)を構成している銘柄で確認してみました。
英語社名をgoogleで検索しましたが、困ったのはgoogleで1位となるのはドイツ語のサイトでは無かった為、ドイツ語のページがあればドイツ語のページを確認し、英語のページしか見当たらない場合には英語のページを確認しました。結果は以下の通り。。。
アディダス Microsoft-IIS/6.0
アリアンツ Apache
BASF -
バイエル Microsoft-IIS/7.5
バイヤスドルフ Consultix WebServer
BMW BMW Webservice
コメルツ銀行 Apache
ダイムラー IBM_HTTP_Server
ドイツ証券取引所 -
ドイツ銀行 -
ドイツ・ポストバンク Apache
ドイツポスト WEB
ドイツテレコム Apache
エーオン Apache/2.0.59(Unix) PHP/5.2.3 mod_jk/1.2.23 mod_ssl/2.2.13 mod_perl/2.0.3 Perl/v5.8.8
フレゼニウス -
ヘンケル Apache/2.0.49 (Linux/SUSE)
インフィニオンテクノロジーズ Apache-Coyote/1.1
ルフトハンザドイツ航空 IBM_HTTP_Server
リンデ Microsoft-IIS/6.0
マン Apache-Coyote/1.1
メトロ Microsoft-IIS/5.0
メルク -
ミュンヘン再保険 Microsoft-IIS/6.0
RWE Server
SAP Microsoft-IIS/6.0
K+S Apache/2.2.10(Unix) DAV/2 mod_jk1.2.27 mod_ssl/2.2.10 OpenSSL/0.9.8a
シーメンス Microsoft-IIS/7.0
ザルツギッター Zope(Zope 2.7.5-final, python 2.3.5,linux2) Zserver/1.1
ティッセンクルップ Apache/2.2.13(Unix) mod_ssl/2.2.13 OpenSSL/0.9.8k DAV/2 PHP/5.2.10
フォルクスワーゲン Apache
NYダウよりも若干Server名を変更してたり、Server名を出して無かったりする会社が多いかなー。。。というところでした。まあ、何回もやってるのであまり新鮮味は無いです。
尚、FireFoxで簡単にServerヘッダが分かる・・・と以前書きましたが、正確にはアドオンでLiveHTTPHeaderを入れれば分かる。。でした。
2010年9月28日火曜日
2010年9月19日日曜日
HTTPHeaderの"Server"をいろいろ確認してみた
HTTPには応答headerとして"Server"があります。クライアント側から送信する"User-Agent"のサーバ版みたいなものなんですが、セキュリティ監査等で「"Server"を表示していると、サーバ側のハードやミドルウェアが攻撃者に分かってしまう為、消した方が良い」と指摘される事があります。
日本の大企業は一体"Server"をどういう設定をしているのか?以下はTOPIXを構成する銘柄100社のServerヘッダを確認した結果です。"-"はServerヘッダが無かった企業です。以外に少ないのが以外でした。(FireFoxだと簡単にHTTPヘッダの値が確認できます) 日本語の社名をgoogleで検索し、1位にヒットしたページを確認してます。
国際石油開発帝石 Apache
大和ハウス工業 Mircosoft-IIS/6.0
積水ハウス Apache/2.0.46 (Red Hat)
キリンホールディングス Apache
日本たばこ産業 Apache
セブン&アイ・ホールディングス Apache
東レ Apache/2.0.61 (Unix)
旭化成 Sun-ONE-Web-Server/6.1
住友化学 Apache
信越化学工業 Apache
三菱ケミカルホールディングス Apache
花王 Mircosoft-IIS/6.0
武田薬品工業 Apache
アステラス製薬 Apache
エーザイ -
第一三共 Apache
ヤフー -
富士フイルムホールディングス Apache
資生堂 Mircosoft-IIS/6.0
新日本石油 Apache
ブリヂストン httpd
旭硝子 Apache/1.3.37(Unix)mod_jk2/2.0.4 mod_ssl/2.8.28 OpenSSL/0.9.7m
新日本製鐵 Apache
住友金属工業 IBM_HTTP_Server
神戸製鋼所 Apache
JFEホールディングス Apache
住友金属鉱山 Apache/2.0.52 (CentOS)
住友電気工業 Apache/2.0.59(Unix) mod_ssl/2.0.59 OpenSSL/0.9.9a mod_jk/1.2.19
SMC Mircosoft-IIS/6.0
小松製作所 Apache
クボタ Apache
ダイキン工業 Apache
日立製作所 Apache
東芝 Apache/MAGNIA
三菱電機 Apache
日本電産 Zope(unreleased version, python2.3.3, linux2) Zserver/1.1
日本電気 Apache
富士通 Apache
パナソニック -
シャープ Apache
ソニー Apache
TDK Mircosoft-IIS/6.0
キーエンス -
デンソー Apache/1.3.41 (Unix)
ファナック Apache
ローム Apache
京セラ Apache
村田製作所 Apache
日東電工 Apache
三菱重工業 Apache
日産自動車 IBM_HTTP_Server/6.0.2.7 Apache/2.0.47(Unix)
トヨタ自動車 -
本田技研工業 IBM_HTTP_SERVER
スズキ Apache/2.0.46 (Red Hat)
ニコン Apache
HOYA Apache/2
キヤノン Apache
リコー Sun-ONE-Web-Server/6.1
凸版印刷 Apache
大日本印刷 Apache
任天堂 Apache
伊藤忠商事 Sun-ONE-Web-Server/6.1
丸紅 Apache/2.2.15(Unix) mod_ssl/2.2.15 OpenSSL/0.9.8m
三井物産 Apache
東京エレクトロン Apache
住友商事 Apache/2.0.52 (Red Hat)
三菱商事 Apache
イオン Apache
三菱UFJフィナンシャル・グループ Apache
りそなホールディングス IBM_HTTP_Server
三井住友フィナンシャルグループ IBM_HTTP_Server
横浜銀行 Apache
住友信託銀行 -
みずほフィナンシャルグループ Apache
オリックス Apache
大和証券グループ本社 httpd
野村ホールディングス -
三井住友海上グループホールディングス Apache
損害保険ジャパン Mircosoft-IIS/6.0
東京海上ホールディングス Apache
T&Dホールディングス Apache/2.0.52 (Red Hat)
三井不動産 Apache
三菱地所 Apache
住友不動産 Apache
東日本旅客鉄道 -
西日本旅客鉄道 Apache/2.0.52 (Red Hat)
東海旅客鉄道 IBM_HTTP_Server
商船三井 Apache
日本電信電話 Apache
KDDI Apache
エヌ・ティ・ティ・ドコモ Apache
東京電力 Apache
中部電力 Apache
関西電力 Apache
東北電力 (Unix)
九州電力 Apache
東京瓦斯 Apache
セコム Sun-ONE-Web-Server/6.1
ヤマダ電機 IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Win32) PHP/4.3.10
ソフトバンク Apache
日本の大企業は一体"Server"をどういう設定をしているのか?以下はTOPIXを構成する銘柄100社のServerヘッダを確認した結果です。"-"はServerヘッダが無かった企業です。以外に少ないのが以外でした。(FireFoxだと簡単にHTTPヘッダの値が確認できます) 日本語の社名をgoogleで検索し、1位にヒットしたページを確認してます。
国際石油開発帝石 Apache
大和ハウス工業 Mircosoft-IIS/6.0
積水ハウス Apache/2.0.46 (Red Hat)
キリンホールディングス Apache
日本たばこ産業 Apache
セブン&アイ・ホールディングス Apache
東レ Apache/2.0.61 (Unix)
旭化成 Sun-ONE-Web-Server/6.1
住友化学 Apache
信越化学工業 Apache
三菱ケミカルホールディングス Apache
花王 Mircosoft-IIS/6.0
武田薬品工業 Apache
アステラス製薬 Apache
エーザイ -
第一三共 Apache
ヤフー -
富士フイルムホールディングス Apache
資生堂 Mircosoft-IIS/6.0
新日本石油 Apache
ブリヂストン httpd
旭硝子 Apache/1.3.37(Unix)mod_jk2/2.0.4 mod_ssl/2.8.28 OpenSSL/0.9.7m
新日本製鐵 Apache
住友金属工業 IBM_HTTP_Server
神戸製鋼所 Apache
JFEホールディングス Apache
住友金属鉱山 Apache/2.0.52 (CentOS)
住友電気工業 Apache/2.0.59(Unix) mod_ssl/2.0.59 OpenSSL/0.9.9a mod_jk/1.2.19
SMC Mircosoft-IIS/6.0
小松製作所 Apache
クボタ Apache
ダイキン工業 Apache
日立製作所 Apache
東芝 Apache/MAGNIA
三菱電機 Apache
日本電産 Zope(unreleased version, python2.3.3, linux2) Zserver/1.1
日本電気 Apache
富士通 Apache
パナソニック -
シャープ Apache
ソニー Apache
TDK Mircosoft-IIS/6.0
キーエンス -
デンソー Apache/1.3.41 (Unix)
ファナック Apache
ローム Apache
京セラ Apache
村田製作所 Apache
日東電工 Apache
三菱重工業 Apache
日産自動車 IBM_HTTP_Server/6.0.2.7 Apache/2.0.47(Unix)
トヨタ自動車 -
本田技研工業 IBM_HTTP_SERVER
スズキ Apache/2.0.46 (Red Hat)
ニコン Apache
HOYA Apache/2
キヤノン Apache
リコー Sun-ONE-Web-Server/6.1
凸版印刷 Apache
大日本印刷 Apache
任天堂 Apache
伊藤忠商事 Sun-ONE-Web-Server/6.1
丸紅 Apache/2.2.15(Unix) mod_ssl/2.2.15 OpenSSL/0.9.8m
三井物産 Apache
東京エレクトロン Apache
住友商事 Apache/2.0.52 (Red Hat)
三菱商事 Apache
イオン Apache
三菱UFJフィナンシャル・グループ Apache
りそなホールディングス IBM_HTTP_Server
三井住友フィナンシャルグループ IBM_HTTP_Server
横浜銀行 Apache
住友信託銀行 -
みずほフィナンシャルグループ Apache
オリックス Apache
大和証券グループ本社 httpd
野村ホールディングス -
三井住友海上グループホールディングス Apache
損害保険ジャパン Mircosoft-IIS/6.0
東京海上ホールディングス Apache
T&Dホールディングス Apache/2.0.52 (Red Hat)
三井不動産 Apache
三菱地所 Apache
住友不動産 Apache
東日本旅客鉄道 -
西日本旅客鉄道 Apache/2.0.52 (Red Hat)
東海旅客鉄道 IBM_HTTP_Server
商船三井 Apache
日本電信電話 Apache
KDDI Apache
エヌ・ティ・ティ・ドコモ Apache
東京電力 Apache
中部電力 Apache
関西電力 Apache
東北電力 (Unix)
九州電力 Apache
東京瓦斯 Apache
セコム Sun-ONE-Web-Server/6.1
ヤマダ電機 IBM_HTTP_Server/1.3.6.4 Apache/1.3.7-dev (Win32) PHP/4.3.10
ソフトバンク Apache
この調査をするまではServerなんて誰も表示していないだろうと思ってましたが、結果は意外にもほとんどがServerを表示していました。"Apache"については細かいバージョンを出さなければ問題は無さそうですが、IIS、IBM、SUN のように思い切り名前を出している場合があり、即脆弱性がどーのという話にはなりませんが、あまり好ましくないように感じます。
個人的に笑えたのは以下です。
・ヤマダ電気→IBM_HTTP_Serverのバージョンが古すぎないだろうか?
・日本電産→Zope(unreleased version, python2.3.3, linux2) Zserver/1.1 とある。ここまでOSSの名称を出すのは珍しい。同社はPythonが好きだと思われる。
・東芝→Apache/MAGNIA MAGNIAとは自社で出しているIAサーバのブランド名のようである。自社愛なんだろうか。
・セコム→同社は情報セキュリティ分野にも強い。思いっきり"SUN"と出ていて少しがっかりした。
【番外編】
三菱東京UFJ銀行のHPを個別に確認したところ、、
"MUFG Web Server/1.0"と表示された。
いつバージョンが1.1になるのか目が離せない。
↑ここからも分かるように現状ではサーバ側のソフトによっては、結構自由な値を設定できるようである。
いずれにせよ、、デフォルトのままだとServer名に自社名を出すというのは自信の表れかも知れないが、次期バージョンあたりではIBMさんもMicroSoftさんもOracleさんも(
+東芝さんも)控えた方がいいんじゃないだろうか。
SSL/TLSで使用している暗号を銀行のサイトで確認してみた
Webサイトを閲覧時の暗号通信には通常SSL/TLSが使用される。
AES-256、もしくはRC4-128に二分される。尚、クライアントPCはWin VISTAである。どちらの暗号がいいのか?それはもちろんAES-256である。
じゃあ、RC4-128だとダメなのか?と言われるとそういうわけでも無く、暗号強度は十分であり、少なくとも盗聴されたとしても解読される事は無いだろう。
しかし、、、近年のサーバ側の機器やソフトウェアはほぼ間違い無くAES-256に対応している事を考えると、上記でRC4-128となっているサイトは
①サーバ側の機器/ソフトが古い
or
②サーバ側の機器/ソフトは最新だが、暗号云々に詳しい人がいない、もしくはさして関心が無い
のいずれかじゃないかなと思う。
私も上記でRC4-128の銀行を使用しており、、、
早くAES-256にして欲しいなと思う今日この頃。。
(実際にはほぼTLSであり、SSLが使用される事はまずない)
どういった暗号を使用して通信を行うかはクライアントPCとサーバ側のSSL/TLSのHandShakeにより自動的に決定される為、何の暗号が使われているかを意識する事は少ない。実際にどういう暗号が使われているのかを確認する方法としては、FireFoxで見るのが簡単だ。
以下はみずほ銀行のネットバンクをFireFoxで表示させて、暗号モードを確認した例だ。
かなりはしょって表示されるが、AES-256 256bit(高強度の暗号化)と表示された。
その他のサイトはどうなってるのか?個人的に興味があったので日本の銀行系のサイトに対して確認を行った。結果は以下の通り。
(個人向けのインターネットバンキングと思われるサイトを確認してます)
【AES-256だったサイト】
東京三菱UFJ銀行、みずほ銀行、りそな銀行、ゆうちょ銀行、ソニー銀行、楽天銀行
【RC4-128だったサイト】
三井住友銀行、セブン銀行、住信SBI銀行、シティバンク、ジャパンネット銀行、新生銀行
AES-256、もしくはRC4-128に二分される。尚、クライアントPCはWin VISTAである。どちらの暗号がいいのか?それはもちろんAES-256である。
じゃあ、RC4-128だとダメなのか?と言われるとそういうわけでも無く、暗号強度は十分であり、少なくとも盗聴されたとしても解読される事は無いだろう。
しかし、、、近年のサーバ側の機器やソフトウェアはほぼ間違い無くAES-256に対応している事を考えると、上記でRC4-128となっているサイトは
①サーバ側の機器/ソフトが古い
or
②サーバ側の機器/ソフトは最新だが、暗号云々に詳しい人がいない、もしくはさして関心が無い
のいずれかじゃないかなと思う。
私も上記でRC4-128の銀行を使用しており、、、
早くAES-256にして欲しいなと思う今日この頃。。
登録:
投稿 (Atom)