Mon serveur répond Server: Apache/2.2.15 (CentOS)
à toutes les demandes. Je suppose que cela trahit mon architecture de serveur, ce qui facilite le piratage des tentatives.
Est-ce déjà utile pour un navigateur Web? Dois-je le garder?
Mon serveur répond Server: Apache/2.2.15 (CentOS)
à toutes les demandes. Je suppose que cela trahit mon architecture de serveur, ce qui facilite le piratage des tentatives.
Est-ce déjà utile pour un navigateur Web? Dois-je le garder?
Réponses:
À mon avis, il est préférable de masquer cela autant que possible. C'est l'un des outils que vous utilisez pour pirater un site Web - découvrez sa technologie, utilisez les failles connues de cette technologie. La même raison pour laquelle les meilleures pratiques de sécurité ont commencé il y a quelque temps à promouvoir la création d'URL sous la forme "/ view / page" au lieu de "/view/page.jsp" ou "/view/page.asp" ... donc la technologie sous-jacente ne serait pas exposé.
Il y a quelques discussions à ce sujet comme /programming/843917/why-does-the-server-http-header-exist et http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html et évidemment Hacking Exposed livre.
Aussi ceci sur le Security SE /security/23256/what-is-the-http-server-response-header-field-used-for
Mais gardez à l'esprit que ce n'est pas la fin pour sécuriser vos serveurs. Encore un pas dans la bonne direction. Il n'empêche aucun hack d'être exécuté. Cela rend simplement moins visible le hack à effectuer.
Vous pouvez modifier l'en-tête du serveur si vous le souhaitez, mais ne comptez pas sur cela pour la sécurité. Seule la mise à jour le fera, car un attaquant peut simplement ignorer l'en-tête de votre serveur et essayer tous les exploits connus depuis le début.
La RFC 2616 déclare, en partie:
Les implémenteurs de serveur sont encouragés à faire de ce champ une option configurable.
Et Apache l'a fait, avec la ServerTokens
directive. Vous pouvez l'utiliser si vous le souhaitez, mais encore une fois, ne pensez pas que cela vous empêchera magiquement d'être attaqué.
L'affichage de la chaîne complète, avec les informations de version, pourrait vous exposer à un risque accru d'attaques 0day si l'attaquant a gardé une liste des serveurs exécutant quel logiciel.
Cela étant dit, vous ne devez pas vous attendre à ce que masquer une chaîne de serveur vous protège contre les tentatives de piratage. Il existe des moyens de prendre les empreintes digitales d'un serveur en fonction de la manière dont les réponses et les erreurs sont signalées.
Je désactive mes chaînes, autant que je peux mais je ne transpire pas sur celles que je ne peux pas cacher (par exemple OpenSSH).