Залежно від налаштувань сервера, і якщо ви працюєте в Linux, можливо, ви зможете використовувати інструмент командного рядка curlз -Iможливістю показу таких заголовків; використовуючи Microsoft як приклад:
curl -I www.microsoft.com/
Microsoft заголовки повертаються наступним чином:
HTTP/1.1 200 OK
Cache-Control: no-cache
Content-Length: 1020
Content-Type: text/html
Last-Modified: Mon, 16 Mar 2009 20:35:26 GMT
Accept-Ranges: bytes
ETag: "67991fbd76a6c91:0"
Server: Microsoft-IIS/8.0
X-Powered-By: ASP.NET
Date: Sun, 12 Oct 2014 08:28:11 GMT
Отже, той рядок, який читається X-Powered-By: ASP.NET? Ну, я думаю, що це відповідає правильно? Ну не дуже. Хоча сервер може використовувати ASP.NET, це не означає, що сторінка, яку ви переглядаєте, використовує ASP.NET.
І щоб зробити справи ще складнішими, звичайно, Microsoft використовує ASP.NET, правда? Але вгадайте, що? У реальному світі більшість серверів, принаймні добре керовані, не рекламують реальних даних про серверне програмне забезпечення, яке вони використовують. Це називається загартовування сервера. Наприклад, давайте розглянемо вихідний заголовок веб-сайту BBC:
curl -I www.bbc.co.uk/
І вихідний заголовок такий:
HTTP/1.1 200 OK
Server: Apache
Content-Type: text/html
Content-Language: en-GB
Etag: "1d86e04c393ac9be31d256305b22b59e"
X-PAL-Host: pal116.telhc.bbc.co.uk:80
Transfer-Encoding: chunked
Date: Sun, 12 Oct 2014 08:32:46 GMT
Connection: keep-alive
Set-Cookie: BBC-UID=d524632ae30c5a5eebfec61e915b62ab64b472f7c4b4e10e5ae1a4c76eacdbc00curl/7.30.0; expires=Thu, 11-Oct-18 08:32:46 GMT; path=/; domain=.bbc.co.uk
X-Cache-Action: HIT
X-Cache-Hits: 827
X-Cache-Age: 88
Cache-Control: private, max-age=0, must-revalidate
Vary: X-CDN
Єдине, що ми можемо отримати від цього, це те, що основний веб-сайт BBC використовує Apache. Але це повноцінне вміст Інтернету. Ми знаємо, яка версія Apache? Чи знаємо ми, що сценарії за кадром? Ні. Зовсім ні.
І це навмисно, оскільки переважна більшість скриптів зі зловмисними програмами / ботами там тролюють Інтернет, шукаючи слабкі місця в системах, правда? Ну що робити, якщо веб-сайт в основному рекламує: "Ей! Я використовую цю більш стару версію Apache, а також більш стару версію PHP! Тепер шкідливе програмне забезпечення точно знає, які кнопки натискати, щоб отримати доступ до слабких місць у системі. Ніхто цього не хоче. Таким чином, переважна більшість добре керованих серверів там не рекламують, хто / що вони є.
За умови, що загартовування може лише уповільнити атаку. Значить, скажімо, існує 1000 можливих способів атаки на сервер. Надсилання детальних заголовків може звузити їх до 20, тож хакер може отримати швидше. Але рішучий хакер може просто дати всі 1000 подвигів намагатися пройти. Тож це не дурний спосіб стримування атак. Але це краще, ніж нічого.
Що означає все, що випадкові спостерігачі можуть ніколи не знати, що саме працює на сайті. І якщо це вас засмучує, добре звинувачуйте світ у якому ми живемо, де злісні боти / павуки постійно пробують сайт. Їх погані дії ускладнюють життя решті нас.