Security by obscurity нннада?

Я так не делаю, по моему бесполезно. Помогает до тех пор, пока работает правило неуловимого Джо.

Нельзя полагаться только на security through obscurity при разработке веб-приложений. Однако, неизбежно в твоем коде или в коде фреймфорка будет найдена какая-нибудь дырка. Поэтому, этим советам можно и последовать, от менее опытных какиров они точно спасут, а остальным на каждом шагу будут ставить подножку.

Есть угроза автоматических сканеров. В твоём фреймворке находят баг, продают его взломщикам, те адаптируют веб-сканнер на нахождение сайтов с этим фреймворком и автоматическим образом взламывают твой сайт. Исправлять баг, про который ты не знаешь, ты не можешь, а вот сделать так, чтобы распознавание фреймворка было затруднено - вполне можешь. Таким образом ты нивелируешь эту угрозу. Остаются и другие угрозы, конечно, и об этом нельзя забывать, безопасность это комплексный вопрос.

Китайские боты пробуют все что есть, даже не смотря на версию. Вывод делай сам. Не говоря уже о том, что чтобы иногда изменить заголовки нужно пересобирать приложение вручную, а это значит потеря времени и затруднение использования версии из твоего дистрибутива, для которой приходят автоматические исправления безопасности.
Эта тема не сколько прибавляет безопасности, сколько забавно наблюдать в логах, как кто-то обламывается.

Таки ваши мысли на этот счёт?

Фигня, не работает. То есть работает, но до той поры, пока никому не интересно.

Проверено ☻

тут ты смешиваешь понятия: в термине «безопасность через неясность» важно понимать, для кого это «неясность»? Если для администратора всё ясно, то такие меры можно и даже иногда нужно применять _после_ того, как все основные меры приняты(все дыры закрыты, и автоматчикам на вышках выдали по два магазина, и собаки в меру сытые, что-бы быть злыми и быстро бегать. И всё остальное. После этого можно раскрасить в яркие краски нашу РЛС, что-бы она со спутника казалось детской площадкой, или хрен знает чем).

Да норм, все средства хороши. Кто знает как в nginx уберечься от fingerprinting?

Никак. Перебить nginx server string вместе с версией, поменять страницы. Но это тщательного детекта не спасет. Другое дело если впереди какой-нибудь веб-акселератор поставить, но это уже тогда будет не nginx. И опять же, что под ним nginx тоже можно будет узнать и очень просто, если не будет специально пересобран. Хотя если контент будет отдавать другой веб-сервер, к примеру cdn'а, а nginx будет доступен из локалки, то можно.

Ну все это можно делать добрым скриптом настроеным раз и навсегда на развертывание защищенного nginx. Смущает порядок заголовков, формат etag и типичные ответы на ошибки (речь не о страницах, их можно заменить)

Ну я и говорю, придется nginx переписывать. А так в плане заголовков можно что угодно конечно, где угодно c тем же headers-more добавить и убрать.
Другое дело что не все веб приложения любят когда с них начинают убирать заголовки, но это уже более частная специфика. Хотя впрочем nginx тем и крут, что он как конструктор, модулей столько, что можно построить ракету.
Но имхо обычно как раз наоборот форсят заголовки, origin и т.д.