¿Hay alguna razón para mantener el encabezado de respuesta "Servidor" en Apache

16

Mi servidor responde Server: Apache/2.2.15 (CentOS)a todas las solicitudes. Supongo que esto revela la arquitectura de mi servidor, lo que hace que sea más fácil piratear los intentos.

¿Es esto útil alguna vez para un navegador web? ¿Debo mantenerlo encendido?

apache-2.2 http-headers Nic Cottrell
fuente
¡Obviamente, también mantengo mis servidores actualizados con yum-cron!
Nic Cottrell

Respuestas:

16

En mi opinión, es mejor enmascarar esto tanto como sea posible. Es una de las herramientas que usa para hackear un sitio web: descubra su tecnología, use los defectos conocidos de esa tecnología. La misma razón por la cual las mejores prácticas de seguridad hace un tiempo comenzaron a promocionar tener URL en la forma "/ view / page" en lugar de "/view/page.jsp" o "/view/page.asp" ... así que la tecnología subyacente No estaría expuesto.

Hay algunas discusiones sobre esto, como /programming/843917/why-does-the-server-http-header-exist y http://www.troyhunt.com/2012/02/shhh- dont-let-your-response-headers.html y obviamente hackear el libro expuesto.

También esto en Security SE /security/23256/what-is-the-http-server-response-header-field-used-for

Pero tenga en cuenta que esto no es un final para proteger sus servidores. Solo un paso más en la dirección correcta. No impide que se ejecute ningún hack. Simplemente lo hace menos visible en cuanto a qué pirateo se debe realizar.

ETL
fuente
66
Eliminar las extensiones de nombre de archivo en las URL no tiene nada que ver con la seguridad ... es más legible para los humanos. Hay miles de otras formas en que se revela su plataforma de aplicación.
Brad
Si el servidor está configurado correctamente, revelar la plataforma para ser un atacante no lo ayudará de todos modos.
Cthulhu
19

Puede cambiar el encabezado del servidor si lo desea, pero no cuente con esto por seguridad. Solo mantenerse al día hará eso, ya que un atacante puede ignorar el encabezado de su servidor y probar cada exploit conocido desde el principio de los tiempos.

RFC 2616 establece, en parte:

Se recomienda a los implementadores del servidor que hagan de este campo una opción configurable.

Y Apache lo hizo, con la ServerTokensdirectiva. Puede usar esto si lo desea, pero nuevamente, no piense que mágicamente evitará que lo ataquen.

Michael Hampton
fuente
44
+1 Mis registros están llenos de "ataques" para el software que no está instalado. Los hackers simplemente tiran todo lo que tienen y ven qué se pega. Si hay alguna utilidad para cambiar ServerTokens, es insignificante en el mejor de los casos.
Chris S
@ChrisS De hecho. Ni siquiera me molesto; En cambio, mantengo mis servidores web actualizados.
Michael Hampton
3
Estoy un poco en desacuerdo. Si bien puede ser menor, la seguridad nunca es lo suficientemente fuerte, y se debe hacer cumplir cualquier cosa que pueda ayudar sin presentar fallas o disminuir el rendimiento.
mveroone
2
¿Por qué la información de versión voluntaria? Siempre configuro "ServerSignature Off" y "ServerTokens Prod". También acuerde que mantener sus servidores web actualizados es la única protección real. Si no elimina la información de la versión y la somete a una prueba de penetración de terceros, seguramente lo marcará como "Fuga de información".
HTTP500
@ HTTP500 Trato con el cumplimiento de PCI-DSS de forma regular. Esto no es un problema completo, siempre y cuando esté reparado. Donde se convierte en un problema es cuando se filtra información sobre otras partes del sistema (es decir, puedo decir que el OP está ejecutando CentOS 5.x) o no se mantiene actualizado.
Michael Hampton
2

Mostrar la cadena completa, con información de la versión, podría dejarlo en mayor riesgo de ataques de 0 días si el atacante ha mantenido una lista de qué servidores ejecutan qué software.

Dicho esto, no debe esperar que ocultar una cadena de servidor lo proteja de intentos de piratería. Hay formas de tomar huellas digitales de un servidor en función de la forma en que se informan las respuestas y los errores.

Desactivo mis cadenas, hasta donde puedo, pero no me preocupo por las que no puedo ocultar (por ejemplo, OpenSSH).

Dan
fuente