Có bất kỳ lý do nào để giữ tiêu đề phản hồi của Máy chủ trực tuyến trong Apache

Máy chủ của tôi đáp ứng với Server: Apache/2.2.15 (CentOS)tất cả các yêu cầu. Tôi đoán rằng điều này mang lại kiến trúc máy chủ của tôi giúp việc hack các nỗ lực trở nên dễ dàng hơn.

Điều này có bao giờ hữu ích cho một trình duyệt web? Tôi có nên giữ nó trên?

apache-2.2 http-headers

— Nicrrell
nguồn

Rõ ràng là tôi cũng đang giữ máy chủ của mình cập nhật với yum-cron!

— Nic Cottrell

Câu trả lời:

Theo tôi, tốt nhất là che dấu điều này càng nhiều càng tốt. Đây là một trong những công cụ bạn sử dụng để hack một trang web - khám phá công nghệ của nó, sử dụng các lỗ hổng đã biết của công nghệ đó. Lý do tương tự tại sao bảo mật tốt nhất trong một thời gian trước bắt đầu quảng cáo để có các url ở dạng "/ view / page" thay vì "/view/page.jsp" hoặc "/view/page.asp" ... vì vậy công nghệ cơ bản sẽ không được tiếp xúc.

Có một số cuộc thảo luận về vấn đề này như /programming/843917/why-does-the-server-http-header-exist và http://www.troyhunt.com/2012/02/shhh- dont-let-your-reply-headers.html và rõ ràng là Hacking Exposed book.

Ngoài ra, điều này trên Bảo mật SE /security/23256/what-is-the-http-server-response-header-field- used- for

Nhưng hãy nhớ rằng đây không phải là mục đích cuối cùng để bảo vệ máy chủ của bạn. Chỉ cần một bước nữa theo đúng hướng. Nó không ngăn chặn bất kỳ hack được thực thi. Nó chỉ làm cho nó ít hiển thị hơn về những gì hack nên được thực hiện.

— ETL
nguồn

Xóa phần mở rộng tên tệp trong URL không liên quan gì đến bảo mật ... nó dễ đọc hơn đối với con người. Có một ngàn cách khác nền tảng ứng dụng của bạn được tiết lộ.

— Brad

Nếu máy chủ được cấu hình đúng cách, việc tiết lộ nền tảng cho kẻ tấn công muốn trở thành kẻ tấn công sẽ không giúp anh ta bằng mọi cách.

— Cthulhu

Bạn có thể thay đổi tiêu đề Máy chủ nếu bạn muốn, nhưng đừng tin vào điều này để bảo mật. Chỉ cập nhật mới làm được điều đó, vì kẻ tấn công có thể bỏ qua tiêu đề Máy chủ của bạn và thử mọi khai thác đã biết từ đầu.

RFC 2616 tiểu bang, một phần:

Người triển khai máy chủ được khuyến khích để làm cho trường này trở thành một tùy chọn có thể định cấu hình.

Và Apache đã làm, với ServerTokenschỉ thị. Bạn có thể sử dụng nó nếu bạn muốn, nhưng một lần nữa, đừng nghĩ rằng nó sẽ ngăn bạn khỏi bị tấn công một cách kỳ diệu.

— Michael Hampton
nguồn

+1 Nhật ký của tôi chứa đầy "các cuộc tấn công" đối với phần mềm chưa được cài đặt. Tin tặc chỉ cần ném mọi thứ chúng có và xem những gì gậy. Nếu có bất kỳ tiện ích nào trong việc thay đổi ServerTokens, thì tốt nhất là không đáng kể.

— Chris S

@ChrisS Thật vậy. Tôi thậm chí không bận tâm; Tôi giữ máy chủ web của tôi cập nhật thay thế.

— Michael Hampton

Tôi không đồng ý. Mặc dù có thể là nhỏ, bảo mật không bao giờ đủ mạnh và bất cứ điều gì có thể giúp đỡ mà không mang lại sai sót hoặc giảm hiệu suất phải được thực thi.

— mveroone

Tại sao thông tin phiên bản tình nguyện? Tôi luôn đặt "ServerSignature Off" và "ServerTokens Prod". Cũng đồng ý rằng giữ cho máy chủ web của bạn cập nhật là bảo vệ thực sự duy nhất. Nếu bạn không xóa thông tin phiên bản và gửi bài kiểm tra thâm nhập của bên thứ ba, họ chắc chắn sẽ gắn cờ này là "Rò rỉ thông tin".

— HTTP500

@ HTTP500 Tôi thường xuyên xử lý tuân thủ PCI-DSS. Đây là một vấn đề hoàn toàn, miễn là bạn đã vá. Vấn đề trở thành vấn đề là khi nó rò rỉ thông tin về các bộ phận khác của hệ thống (tức là tôi có thể nói với OP đang chạy CentOS 5.x) hoặc bạn không cập nhật.

— Michael Hampton

Hiển thị chuỗi đầy đủ, với thông tin phiên bản, có thể khiến bạn tăng nguy cơ từ các cuộc tấn công 0day nếu kẻ tấn công đang giữ một danh sách các máy chủ chạy phần mềm nào.

Điều đó đang được nói, bạn không nên hy vọng rằng việc ẩn chuỗi máy chủ sẽ bảo vệ bạn khỏi các nỗ lực hack. Có nhiều cách để lấy dấu vân tay của máy chủ dựa trên cách báo cáo phản hồi và lỗi.

Tôi vô hiệu hóa các chuỗi của mình, hết mức có thể nhưng tôi không đổ mồ hôi về những chuỗi tôi không thể che giấu (ví dụ OpenSSH).

— Dân
nguồn