C'è qualche motivo per mantenere l'intestazione della risposta "Server" in Apache

Il mio server risponde Server: Apache/2.2.15 (CentOS)a tutte le richieste. Immagino che questo dia via l'architettura del mio server, rendendo più semplice l'hacking dei tentativi.

È mai utile per un browser web? Dovrei continuare?

apache-2.2 http-headers

— Nic Cottrell
fonte

Ovviamente sto mantenendo i miei server aggiornati anche con yum-cron!

— Nic Cottrell,

Risposte:

Secondo me, è meglio mascherarlo il più possibile. È uno degli strumenti che usi per hackerare un sito web: scopri la sua tecnologia, usa i difetti noti di quella tecnologia. Lo stesso motivo per cui le migliori pratiche di sicurezza da tempo hanno iniziato a promuovere gli URL nella forma "/ view / page" anziché "/view/page.jsp" o "/view/page.asp" ... quindi la tecnologia sottostante non sarebbe esposto.

Ci sono alcune discussioni su questo come /programming/843917/why-does-the-server-http-header-exist e http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html e ovviamente libro Hacking Exposed.

Anche questo sul Security SE /security/23256/what-is-the-http-server-response-header-field-used-for

Ma tieni presente che questo non è un fine alla protezione dei tuoi server. Ancora un altro passo nella giusta direzione. Non impedisce l'esecuzione di alcun hack. Rende solo meno visibile su quale hack debba essere eseguito.

— ETL
fonte

La rimozione delle estensioni dei nomi di file negli URL non ha nulla a che fare con la sicurezza ... è più leggibile per gli umani. Esistono altri mille modi in cui viene rivelata la tua piattaforma applicativa.

— Brad

Se il server è configurato correttamente, rivelare la piattaforma per essere un attaccante non lo aiuterà comunque.

— Cthulhu,

Puoi cambiare l'intestazione del server se vuoi, ma non contare su questo per motivi di sicurezza. Solo tenersi aggiornati lo farà, poiché un utente malintenzionato può semplicemente ignorare l'intestazione del server e provare ogni exploit noto dall'inizio del tempo.

RFC 2616 afferma, in parte:

Gli implementatori di server sono incoraggiati a rendere questo campo un'opzione configurabile.

E Apache ha fatto, con la ServerTokensdirettiva. Puoi usarlo se lo desideri, ma ancora una volta, non pensare che ti impedirà magicamente di essere attaccato.

— Michael Hampton
fonte

+1 I miei log sono pieni di "attacchi" per software che non è installato. Gli hacker lanciano tutto ciò che hanno e vedono cosa si attacca. Se c'è qualche utilità nel cambiare i ServerTokens, nella migliore delle ipotesi è trascurabile.

— Chris S

@ChrisS Infatti. Non mi preoccupo nemmeno; Tengo invece aggiornati i miei server web.

— Michael Hampton

Non sono d'accordo. Sebbene possa essere minore, la sicurezza non è mai abbastanza forte e tutto ciò che può aiutare senza portare difetti o ridurre le prestazioni deve essere applicato.

— mveroone,

Perché informazioni sulla versione volontaria? Ho sempre impostato "ServerSignature Off" e "ServerTokens Prod". Inoltre concorda sul fatto che mantenere aggiornati i tuoi server web è l'unica vera protezione. Se non si rimuovono le informazioni sulla versione e non si sottopone a un test di penetrazione di terze parti, queste verranno contrassegnate come "Perdita di informazioni".

— HTTP500

@ HTTP500 Mi occupo regolarmente della conformità PCI-DSS. Questo è un non-problema completo, a condizione che tu sia rattoppato. Il punto in cui diventa un problema è quando perde informazioni su altre parti del sistema (ovvero posso dire che l'OP sta eseguendo CentOS 5.x) o che non ti sei tenuto aggiornato.

— Michael Hampton

Mostrare la stringa completa, con le informazioni sulla versione, potrebbe farti aumentare il rischio di attacchi di 0 giorni se l'attaccante ha tenuto un elenco di quali server eseguono quale software.

Detto questo, non dovresti aspettarti che nascondere una stringa del server ti protegga dai tentativi di hacking. Esistono modi per eseguire l'impronta digitale di un server in base al modo in cui vengono segnalate le risposte e gli errori.

Disattivo le stringhe, per quanto posso, ma non sudo per quelle che non riesco a nascondere (es. OpenSSH).

— Dan
fonte