Мій сервер відповідає Server: Apache/2.2.15 (CentOS)
на всі запити. Я думаю, що це надає моїй архітектурі сервера, що полегшує злому спроб.
Чи корисно це для веб-браузера? Чи варто тримати його?
Мій сервер відповідає Server: Apache/2.2.15 (CentOS)
на всі запити. Я думаю, що це надає моїй архітектурі сервера, що полегшує злому спроб.
Чи корисно це для веб-браузера? Чи варто тримати його?
Відповіді:
На мою думку, найкраще це максимально замаскувати. Це один із інструментів, які ви використовуєте для злому веб-сайту - відкрийте для себе його технології, використовуйте відомі недоліки цієї технології. З тієї ж причини, через яку найкращі практики безпеки в той час почали рекламувати URL-адреси у формі "/ view / page" замість "/view/page.jsp" або "/view/page.asp" ... тому основна технологія не піддавався б.
Про це є деякі дискусії, такі як /programming/843917/why-does-the-server-http-header-exist та http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html і, очевидно, книга Hacking Exposed.
Також це на безпеці SE /security/23256/what-is-the-http-server-response-header-field-used-for
Але майте на увазі, що це не кінець безпекою ваших серверів. Ще один крок у правильному напрямку. Це не заважає виконувати будь-який злом. Це просто робить менш помітним щодо того, який злом слід виконувати.
Ви можете змінити заголовок сервера, якщо хочете, але не розраховуйте на це для безпеки. Лише в курсі цього буде зроблено це, оскільки зловмисник може просто проігнорувати заголовок Вашого сервера та спробувати кожен відомий з початку часу використання.
RFC 2616, зокрема:
Серверним розробникам рекомендується зробити це поле налаштованим параметром.
І Apache зробив, з ServerTokens
директивою. Ви можете використовувати це за бажанням, але знову ж таки, не думайте, що це магічним чином не дозволить вам напасти.
Якщо відображати повний рядок із інформацією про версію, ви можете підвищити ризик виникнення атак за 0 днів, якщо зловмисник веде список серверів, на яких працює програмне забезпечення.
Незважаючи на це, ви не повинні сподіватися, що приховування рядка сервера захистить вас від спроб злому. Існують способи відбитків пальців сервера на основі повідомлень про відповіді та помилки.
Наскільки я можу відключити мої струни, але не співаюся з тих, яких не можу приховати (наприклад, OpenSSH).