La pregunta es sobre "Seguridad a través de la oscuridad" 1 . ¿La ocultación de su diseño / implementación (por ejemplo, qué servidor está ejecutando) lleva a menos casos de explotación? Este es un tema largamente debatido con argumentos razonables en ambos lados de la cerca.
Todas las prácticas de seguridad son una compensación entre el costo (por ejemplo, esfuerzo, facilidad de mantenimiento, dinero) y beneficio (menor cantidad de casos de explotación, menor impacto de los casos inevitables). En este caso, el costo es el esfuerzo necesario para cambiar la cadena y el beneficio es cierto grado de oscuridad. Sin embargo, (como anotó) en un ataque dirigido (y con eso quiero decir que alguien está decidido a ingresar a sus sistemas), existen otros métodos para cancelar ese beneficio (por ejemplo, ver páginas de error predeterminadas. archivos predeterminados, cosas oscuras como el manejo de cookies y pwning algo más). En un ataque no dirigido (y con eso me refiero a algún skiddie que busca fruta de baja altura o un software automatizado que explora internet, lo mismo) evita el hostigamiento.
SIN EMBARGO, las acciones necesarias para protegerse contra un ataque dirigido (actualizaciones periódicas, controles de acceso, configuración sana, buena higiene de datos) protegerían contra los ataques no dirigidos mencionados anteriormente . Estos son, con mucho, el mejor valor para el dólar y lo que deberías estar haciendo.
Entonces, si no tienes otras cosas que hacer, entonces sigue adelante y oculta tus tokens de servidor. Evitará que la gente se dé cuenta de la caída de la fruta si está super tarde en la aplicación de parches o si algo falla. Sin embargo, tenga en cuenta que en ese caso es posible que ya esté muerto en el agua. Entonces, si queda algo, es mejor dedicar su tiempo a eso o a hacer preguntas como esta.
Personalmente prefiero agregar tokens de servidor cómicos para hacer reír a los atacantes o tokens de servidor incorrectos para confundirlos. minorcrash.com (cuando está arriba) actualmente tiene una inyección DOM que muestra una imagen de un gato golpeado por una bola de nieve.