Drupalのrobots.txtやサイト情報について話題となっていましたので、
Drupalコミュニティとしてどのような考えがあるのかを共有したいと思います。
以下は、drupal.orgのドキュメント
Hide, obscure, or remove clues that a site runs on Drupal
からの翻訳です。
++++++++++++++++++++++++++++++++
セキュリティに対する中途半端な考えを持った新しいユーザーから何度も以下の問いを受けます。
* どのようにしたらサイトがDrupalを使っていることをビジターから隠せますか?
* どのようにしたらどんなモジュールやテーマが使われているかをビジターから隠すことが出来ますか?
単刀直入に答えるなら、
無理です。また、それに挑戦すべきでもありません
となります。
・ 自動化された攻撃(今のところ一番多い攻撃)はそのサーバーの脆弱性を攻撃する前に調査したりはしません。
どの有名サイトのログを分析しても、以下のようなURL(過去に見つかった無関係なシステムの脆弱性)、
/AspBB/db/betaboard.mdb
_private/cmd.asp
/scripts/../../winnt/system32/cmd.exe
/wp-login/
/administrator/components/com_wmtgallery/admin.wmtgal
/cgi-bin/ip.cgiへの何千もの無駄なリクエストを見つけることが出来ます。
脆弱性への攻撃は、その脆弱性がOSやCMSに存在すらしていなくても起こりえます。
サイトの仕様を隠すために何をしても、アマチュアハッカーにさえ無視されるでしょう。
・ あなたが隠せるに違いないとどれほど考えても、システムを特定する他の手がかりが存在します。
単純に「drupal」を含む文字列をいくつか消しても、詮索好きな人からあなたのサイトを偽装することはできません。
どのようにページが生成されているかを推測する方法は数多くあり、Drupalを使っているサイトであることを教えてくれる専門サービスも存在します。
あなたが認識し、脅威だと考えるものは、本当の手がかりのごく一部で、ただのキーワードにしか過ぎません。
"index.php/?q=user" へアクセスしてみてください。そして、サイトを機能させつつレスポンスを無効にできるか挑戦してみてください。(できませんよね?)
・ 隠蔽によるセキュリティはセキュリティ対策にはなりません。
実際の脅威をもたらす攻撃者には見通せてしまうスモークガラスの向こうに脆弱性を隠しているだけなのに、あたかも安全であるかのように誤った印象を与えてしまいます。
・ ほとんどのDrupalの痕跡をHTMLソースから隠すことが全く不可能というわけではありません(オープンソースですからね。)、その過程でコアを大きく破壊することが必要になり、あなたがハックしたコードのブランチは本当のセキュリティアップデートに互換性がなくなり、あなたはパッチが当てられずセキュリティチームが発見した未来の脅威に対してまったくの無防備な状態に置かれることになるでしょう。
これこそが本当のシステム脆弱性へ至る道です。
・もっとも重要、または有益なモジュールはそれぞれ大きく書き換えずには隠せない固有の特徴を持っています。
もしあなたが 'views', 'cck', 'ad', 'imagecache', 'jquery'モジュール、 css-aggregation、サードパーティ・テーマ、その他のサイトに有益なものを使っていたら、それは誰にでもわかります。
それらを隠すなら、最低でも全体的なテーマfunctionの変更を必要とします。
しかし、それでもおそらく隠すことは良い結果をもたらしません。
・ 多くの優れた機能の特徴を消すことは、 GoogleAnalyticsを簡単にインストールするようなことでさえ、これらの機能を完全に無効にしてしまわなければならず、またDrupalの用意するインフラの優位性を利用できなくなる書き換えを必要とします。
可能な場合もあるかもしれませんが、しかし全てのケースで生産性を下げることになります。
このページの記述は深い確信をもった反論にさらされるかもしれません。
ハンドブックページは議論用のスレッドのためのものではありませんので、隠蔽のわずかな価値に対する専門家の発言を読んだ後でセキュリティチームやシスアドとの議論をフォーラムで行なってください。
greggles, dopry, Morbus Iff, webchick, dww, Gábor Hojtsy , catch, sepeck, VM ... etc