Чи є якісь причини тримати заголовок відповіді "Сервер" в Apache


16

Мій сервер відповідає Server: Apache/2.2.15 (CentOS)на всі запити. Я думаю, що це надає моїй архітектурі сервера, що полегшує злому спроб.

Чи корисно це для веб-браузера? Чи варто тримати його?


Очевидно, що я постійно оновлюю свої сервери з yum-cron!
Нік Коттрелл

Відповіді:


16

На мою думку, найкраще це максимально замаскувати. Це один із інструментів, які ви використовуєте для злому веб-сайту - відкрийте для себе його технології, використовуйте відомі недоліки цієї технології. З тієї ж причини, через яку найкращі практики безпеки в той час почали рекламувати URL-адреси у формі "/ view / page" замість "/view/page.jsp" або "/view/page.asp" ... тому основна технологія не піддавався б.

Про це є деякі дискусії, такі як /programming/843917/why-does-the-server-http-header-exist та http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html і, очевидно, книга Hacking Exposed.

Також це на безпеці SE /security/23256/what-is-the-http-server-response-header-field-used-for

Але майте на увазі, що це не кінець безпекою ваших серверів. Ще один крок у правильному напрямку. Це не заважає виконувати будь-який злом. Це просто робить менш помітним щодо того, який злом слід виконувати.


6
Видалення розширень імен файлів в URL-адресах не має нічого спільного з безпекою ... воно є більш читабельним для людей. Є тисяча інших способів розкриття вашої платформи додатків.
Бред

Якщо сервер налаштований належним чином, виявлення платформи, яка хоче стати зловмисником, у будь-якому разі не допоможе йому.
Cthulhu

19

Ви можете змінити заголовок сервера, якщо хочете, але не розраховуйте на це для безпеки. Лише в курсі цього буде зроблено це, оскільки зловмисник може просто проігнорувати заголовок Вашого сервера та спробувати кожен відомий з початку часу використання.

RFC 2616, зокрема:

Серверним розробникам рекомендується зробити це поле налаштованим параметром.

І Apache зробив, з ServerTokensдирективою. Ви можете використовувати це за бажанням, але знову ж таки, не думайте, що це магічним чином не дозволить вам напасти.


4
+1 Мої журнали рясніють "атаками" на програмне забезпечення, яке не встановлено. Хакери просто кидають все, що у них є, і дивляться, які палички. Якщо в зміні ServerTokens є якась утиліта, це в кращому випадку незначно.
Chris S

@ChrisS Дійсно. Я навіть не турбуюся; Натомість я постійно оновлюю свої веб-сервери.
Майкл Хемптон

3
Я не погоджуюся. Хоча вона може бути незначною, безпека ніколи не є достатньо міцною, і все, що може допомогти, не спричиняючи недоліків або зменшуючи продуктивність, потрібно виконувати.
mveroone

2
Чому інформація про волонтерську версію? Я завжди встановлюю "ServerSignature Off" та "ServerTokens Prod". Також погодьтеся, що оновлення веб-серверів - це єдиний реальний захист. Якщо ви не видалите інформацію про версію та не піддаєтеся тесту на проникнення сторонніх сторін, вони обов'язково позначать це як "Витік інформації".
HTTP500

@ HTTP500 Я регулярно маю справу з дотриманням PCI-DSS. Це повна проблема, за умови, що вас зафіксували. Де це стає проблемою, коли вона просочує інформацію про інші частини системи (тобто я можу сказати, що ОП працює з CentOS 5.x) або ви не були в курсі.
Майкл Хемптон

2

Якщо відображати повний рядок із інформацією про версію, ви можете підвищити ризик виникнення атак за 0 днів, якщо зловмисник веде список серверів, на яких працює програмне забезпечення.

Незважаючи на це, ви не повинні сподіватися, що приховування рядка сервера захистить вас від спроб злому. Існують способи відбитків пальців сервера на основі повідомлень про відповіді та помилки.

Наскільки я можу відключити мої струни, але не співаюся з тих, яких не можу приховати (наприклад, OpenSSH).

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.