Мой сервер отвечает Server: Apache/2.2.15 (CentOS)
на все запросы. Я предполагаю, что это выдает мою серверную архитектуру, облегчая попытки взлома.
Это когда-нибудь полезно для веб-браузера? Должен ли я держать это на?
apache-2.2
http-headers
Ник Коттрелл
источник
источник
Ответы:
На мой взгляд, лучше всего замаскировать это как можно больше. Это один из инструментов, которые вы используете для взлома веб-сайта - откройте для себя его технологию, используйте известные недостатки этой технологии. По той же причине, по которой лучшие практики безопасности некоторое время назад начали продвигать URL-адреса в форме "/ view / page" вместо "/view/page.jsp" или "/view/page.asp" ... так что основная технология не будет выставлен.
Есть некоторые дискуссии на эту тему, такие как /programming/843917/why-does-the-server-http-header-exist и http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html и, очевидно, Hacking Exposed book.
Также это на Security SE /security/23256/what-is-the-http-server-response-header-field-used-for
Но имейте в виду, что это не конец безопасности ваших серверов. Еще один шаг в правильном направлении. Это не мешает выполнению любого взлома. Это просто делает его менее заметным относительно того, какой хак должен быть выполнен.
источник
Вы можете изменить заголовок сервера, если хотите, но не рассчитывайте на это для безопасности. Это будет делать только обновление, так как злоумышленник может просто проигнорировать заголовок вашего Сервера и попробовать все известные эксплойты с самого начала.
RFC 2616 заявляет, частично:
И Apache сделал, с
ServerTokens
директивой. Вы можете использовать это, если хотите, но опять же, не думайте, что это волшебным образом предотвратит вашу атаку.источник
Отображение полной строки с информацией о версии может повысить риск 0-дневных атак, если злоумышленник ведет список того, на каких серверах работает какое программное обеспечение.
При этом не следует ожидать, что сокрытие строки сервера защитит вас от попыток взлома. Существуют способы снятия отпечатков с сервера в зависимости от того, как сообщаются ответы и ошибки.
Насколько я могу, я отключаю свои строки, но не беспокоюсь о тех, которые не могу скрыть (например, OpenSSH).
источник