L'intestazione "Server" ha qualche scopo?

11

Ad esempio, quando scarico il header della risposta per il mio server ottengo:

Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g

Questo è usato per qualcosa? È un rischio per la sicurezza (seppur piccolo) la trasmissione del trucco del server?

security  http-headers 
DisgruntledGoat
fonte

Risposte:

15

No, non viene utilizzato per nulla di importante. ( I sondaggi sulla quota di mercato dei server di Netcraft probabilmente lo usano, come presumibilmente fanno altri sondaggi di terze parti.)

Sì, è un (molto) piccolo problema di sicurezza. Ovviamente il tuo server dovrebbe essere protetto e aggiornato in ogni momento, ma avere un ulteriore livello di "oscurità" su un server ben protetto è solo vantaggioso. Se non altro, se un utente malintenzionato deve eseguire estese " impronte digitali " prima di attaccare, è possibile ricevere un avviso tempestivo di un attacco se si monitorano attentamente i file di registro.

Se vuoi, puoi tranquillamente abbassare il livello di dettaglio trasmesso . D'altra parte, non è un grosso problema, e se sei su un server condiviso dove non puoi cambiarlo, allora non sudare.

Jesper M
fonte
1

Con un'intestazione del server così lunga, accorciarla o eliminarla del tutto potrebbe anche fornire un piccolo vantaggio in termini di prestazioni.

Come osserva Jesper, non è un grosso problema, ma se stai cercando di eliminare ogni millisecondo in più dai tempi di caricamento della pagina, potrebbe fare la differenza, in particolare se stai caricando molti file di piccole dimensioni, il che è un male da un punto di vista delle prestazioni in sé, ma a volte inevitabile.

Sospetto che sia uno dei motivi per cui, ad esempio, i server web di Google dicono semplicemente:

Server: gws

o

Server: sffe

Certo, avrebbero potuto sillabare "gws" come "Google Web Server" senza rivelare ulteriori informazioni, ma ciò avrebbe aggiunto 14 byte completamente inutili a ogni risposta HTTP. Con il volume di richieste di Google, quei pochi byte potrebbero benissimo aggiungere una maggiore larghezza di banda rispetto al totale del tuo sito Web medio .

Ilmari Karonen
fonte
Le dimensioni dei pacchetti sono in genere di circa 1.000 byte, quindi il salvataggio di alcuni byte (letteralmente) non avrà alcun effetto sulla velocità. Solo se il totale di tutte le intestazioni si riversa in un pacchetto aggiuntivo.
DisgruntledGoat
Un'intestazione da 100 byte, come quella citata nella domanda, potrebbe far sì che la lunghezza combinata delle intestazioni di risposta e del contenuto si riversi in un pacchetto aggiuntivo. Inoltre, il conteggio dei pacchetti racconta l'intera storia solo per connessioni puramente limitate alla latenza. In situazioni (almeno in parte) limitate dalla larghezza di banda (come connessioni mobili lente o grandi data center con un volume di richieste enorme), anche la quantità totale di byte trasmessi inizia ad avere importanza.
Ilmari Karonen,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.