Meu servidor responde com Server: Apache/2.2.15 (CentOS)
todos os pedidos. Acho que isso abre mão da arquitetura do servidor, facilitando as tentativas de invasão.
Isso é útil para um navegador da web? Devo mantê-lo?
apache-2.2
http-headers
Nic Cottrell
fonte
fonte
Respostas:
Na minha opinião, é melhor mascarar isso o máximo possível. É uma das ferramentas que você usa para invadir um site - descubra sua tecnologia, use as falhas conhecidas dessa tecnologia. A mesma razão pela qual as práticas recomendadas de segurança já começaram a promover URLs no formato "/ view / page" em vez de "/view/page.jsp" ou "/view/page.asp" ... então a tecnologia subjacente não seria exposto.
Há algumas discussões sobre isso, como /programming/843917/why-does-the-server-http-header-exist e http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html e, obviamente, o livro Hacking Exposed.
Também isso no Security SE /security/23256/what-is-the-http-server-response-header-field-used-for
Mas lembre-se de que isso não é tudo para proteger seus servidores. Apenas mais um passo na direção certa. Não impede que nenhum hack seja executado. Apenas torna menos visível o que o hack deve ser executado.
fonte
Você pode alterar o cabeçalho do servidor, se quiser, mas não conte com isso por segurança. Somente manter-se atualizado fará isso, pois um invasor pode simplesmente ignorar o cabeçalho do servidor e tentar todas as explorações conhecidas desde o início dos tempos.
A RFC 2616 declara, em parte:
E o Apache fez, com a
ServerTokens
diretiva. Você pode usar isso se desejar, mas, novamente, não pense que isso vai impedir magicamente que você seja atacado.fonte
Mostrar a string completa, com informações da versão, pode aumentar o risco de ataques com 0 dia de duração, se o invasor estiver mantendo uma lista de quais servidores executam qual software.
Dito isto, você não deve esperar que ocultar uma sequência de servidores o proteja contra tentativas de hackers. Existem maneiras de imprimir um servidor com base na maneira como as respostas e os erros são relatados.
Desabilito minhas cordas o máximo que posso, mas não me importo com as que não posso esconder (por exemplo, OpenSSH).
fonte