Наприклад, коли я скидаю заголовок відповіді для свого сервера, я отримую:
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g
Це використовується для чого-небудь? Це ризик безпеки (хоч і малий), який транслює макет сервера?
Відповіді:
Ні, він не використовується для нічого важливого. ( Опитування долі на ринку серверів Netcraft, ймовірно, використовують це, як імовірно, це роблять інші опитування сторонніх компаній.)
Так, це (дуже) невелике питання безпеки. Звичайно, ваш сервер повинен бути захищеним та оновленим постійно, але мати додатковий рівень «неясності» поверх добре захищеного сервера є корисним. Якщо нічого іншого, якщо зловмиснику потрібно здійснити обширний ' відбиток пальців ' перед нападом, ви можете отримати попереднє попередження про атаку, якщо уважно стежити за вашими журналами.
Ви можете сміливо знижувати рівень деталізації, який транслюється, якщо ви хочете . З іншого боку, це не є великою справою, і якщо ви перебуваєте на спільному сервері, де ви не можете цього змінити, тоді не потійте його.
Маючи заголовок сервера, що довго, скорочуючи його або повністю позбавляючи його, також може забезпечити невелику перевагу від продуктивності.
Як зазначає Джеспер, це не велика проблема, але якщо ви намагаєтеся вичавити кожну додаткову мілісекунду із часу завантаження сторінки, це може змінити значення, особливо якщо ви завантажуєте багато невеликих файлів, що погано точка зору продуктивності сама по собі, але іноді неминуча.
Я підозрюю, що це одна з причин, чому, наприклад, веб-сервери Google просто кажуть:
Server: gws
або
Server: sffe
Звичайно, вони могли прописати "gws" як "веб-сервер Google", не розкриваючи більше інформації, але це додасть 14 абсолютно непотрібних байтів до кожної відповіді HTTP. Зважаючи на обсяг запиту від Google, ці кілька байт цілком можуть додати більшу пропускну здатність, ніж загальний середній невеликий веб-сайт .