Có thực hành tốt để ẩn thông tin máy chủ web trong tiêu đề HTTP không?

Question

Câu hỏi này có liên quan đến bảo mật nhiều hơn lập trình liên quan, xin lỗi nếu nó không có ở đây. Tôi hiện đang phát triển một ứng dụng web và tôi tò mò là tại sao hầu hết các trang web không bận tâm hiển thị cấu hình máy chủ chính xác của chúng trong tiêu đề HTTP, như các phiên bản Apache và PHP, với đầy đủ "mod_perl, mod_python,. .. "danh sách và như vậy.

Từ quan điểm bảo mật, tôi muốn không thể tìm hiểu xem tôi đang chạy PHP trên Apache, ASP.NET trên IIS hay thậm chí là Rails trên Lighttpd.

Rõ ràng "tối tăm không phải là bảo mật" nhưng tôi có nên lo lắng chút nào khi khách truy cập biết phiên bản Apache và PHP mà máy chủ của tôi đang chạy? Thực hành tốt hay hoàn toàn không cần thiết để che giấu thông tin này?

Answer 1

Tôi nghĩ bạn thường thấy các tiêu đề đó vì hệ thống gửi cho chúng theo mặc định.

Tôi thường xóa chúng vì chúng không cung cấp giá trị thực và có thể, như bạn gợi ý tiết lộ thông tin về máy chủ.

Answer 2

Chạy nmap -O -sV đối với IP sẽ cung cấp cho bạn phiên bản hệ điều hành và dịch vụ có độ chính xác khá cao. Thông tin bổ sung duy nhất bạn cho đi bằng cách để máy chủ của bạn quảng cáo thông tin đó là các mô-đun bạn đã tải.

Answer 3

Ẩn thông tin trong các tiêu đề thường chỉ làm chậm các nhân vật phản diện lười biếng và không biết gì. Có nhiều cách để dấu vân tay một hệ thống.

Answer 4

Sự khôn ngoan sẵn có là xóa ID máy chủ và phiên bản; tốt hơn, hãy thay đổi chúng thành một ID và phiên bản máy chủ hợp pháp khác - theo cách đó kẻ tấn công sẽ tắt các lỗ hổng IIS đối với Apache hoặc một cái gì đó tương tự. Cũng có thể đánh lừa kẻ tấn công.

Nhưng thành thật mà nói, có rất nhiều manh mối khác để đi qua, tôi tự hỏi liệu điều này có xứng đáng không. Tôi cho rằng nó có thể ngăn chặn kẻ tấn công bằng cách sử dụng một công cụ tìm kiếm để tìm các máy chủ có lỗ hổng đã biết.

(Cá nhân, tôi không bận tâm trên máy chủ HTTP của tôi, nhưng nó được viết bằng Java và ít nhiều dễ bị các loại điển hình của cuộc tấn công.)

Answer 5

Dường như một số các câu trả lời đang thiếu một lợi thế rõ ràng tắt các tiêu đề.

Có, tất cả các bạn đều đúng; chuyển các tiêu đề (và dòng trạng thái hiện tại, ví dụ như danh sách thư mục) không ngăn kẻ tấn công tìm ra phần mềm bạn sử dụng.

Tuy nhiên, tắt thông tin này sẽ ngăn phần mềm độc hại sử dụng google để tìm kiếm các hệ thống dễ bị tổn thương tìm thấy bạn.

tldr: Không sử dụng nó như một biện pháp bảo mật (hoặc thậm chí là THE), nhưng như một biện pháp để loại bỏ lưu lượng truy cập không mong muốn.

Answer 6

Tôi thường tắt thông tin phiên bản tiêu đề dài của Apache bằng ServerTokens; nó không bổ sung gì hữu ích.

Một điểm mà không ai được chọn, có vẻ như bảo mật tốt hơn cho khách hàng tiềm năng, công ty kiểm tra bút, v.v. nếu bạn đang cung cấp ít thông tin hơn từ máy chủ web của mình.

Vì vậy, cho ít thông tin ra tăng các an ninh nhận thức (ví dụ: nó cho thấy bạn đã thực sự nghĩ về nó và làm điều gì đó)