मेरा सर्वर Server: Apache/2.2.15 (CentOS)
सभी अनुरोधों का जवाब देता है । मुझे लगता है कि यह मेरे सर्वर आर्किटेक्चर को दूर करता है जिससे प्रयासों को हैक करना आसान हो जाता है।
क्या यह कभी वेब ब्राउज़र के लिए उपयोगी है? क्या मुझे इसे रखना चाहिए?
मेरा सर्वर Server: Apache/2.2.15 (CentOS)
सभी अनुरोधों का जवाब देता है । मुझे लगता है कि यह मेरे सर्वर आर्किटेक्चर को दूर करता है जिससे प्रयासों को हैक करना आसान हो जाता है।
क्या यह कभी वेब ब्राउज़र के लिए उपयोगी है? क्या मुझे इसे रखना चाहिए?
जवाबों:
मेरी राय में, जितना संभव हो उतना इसे मुखौटा करना सबसे अच्छा है। यह एक उपकरण है जिसका उपयोग आप वेब साइट को हैक करने के लिए करते हैं - इसकी तकनीक की खोज करें, उस तकनीक के ज्ञात दोषों का उपयोग करें। यही कारण है कि थोड़ी देर पहले सुरक्षा सर्वोत्तम अभ्यास ने "/view/page.jsp" या "/view/page.asp" के बजाय "/ view / पृष्ठ" के रूप में url का प्रचार करना शुरू कर दिया ... इसलिए अंतर्निहित तकनीक उजागर नहीं किया जाएगा।
इस बारे में कुछ चर्चाएँ हैं जैसे /programming/843917/why-does-the-server-http-header-exist और http://www.troyhunt.com/2012/02/shhh- डोंट-लेट-योर-रेस्पॉन्स-हेडर। html और जाहिर है हैकिंग एक्सपोज्ड बुक।
इसके अलावा सुरक्षा SE /security/23256/what-is-the-http-server-response-header-field-used-for पर यह
लेकिन ध्यान रखें कि यह आपके सर्वर को सुरक्षित करने के लिए एक अंत नहीं है। सही दिशा में सिर्फ एक और कदम। यह किसी भी हैक को अंजाम देने से नहीं रोकता है। यह बस इसे कम दिखाई देता है जैसे हैक क्या किया जाना चाहिए।
आप चाहें तो सर्वर हेडर को बदल सकते हैं, लेकिन सुरक्षा के लिए इस पर भरोसा नहीं करते। केवल अद्यतित रखने से ही ऐसा होगा, क्योंकि एक हमलावर सिर्फ आपके सर्वर हेडर को नजरअंदाज कर सकता है और समय की शुरुआत से हर ज्ञात शोषण का प्रयास कर सकता है।
RFC 2616 राज्य, भाग में:
सर्वर कार्यान्वयनकर्ताओं को इस क्षेत्र को एक विन्यास विकल्प बनाने के लिए प्रोत्साहित किया जाता है।
और अपाचे ने ServerTokens
निर्देशन के साथ किया । यदि आप चाहें तो आप इसका उपयोग कर सकते हैं, लेकिन फिर से, ऐसा मत सोचो कि यह जादुई रूप से आपको हमला करने से रोकता है।
पूर्ण स्ट्रिंग दिखाते हुए, संस्करण की जानकारी के साथ, आप 0day हमलों से बढ़े हुए जोखिम पर छोड़ सकते हैं यदि हमलावर इस बात की सूची रखता है कि कौन सा सर्वर किस सॉफ़्टवेयर को चलाता है।
कहा जा रहा है, आपको यह उम्मीद नहीं करनी चाहिए कि सर्वर स्ट्रिंग को छुपाना आपको हैकिंग के प्रयासों से बचाएगा। जिस तरह से प्रतिक्रियाओं और त्रुटियों की सूचना दी जाती है, उसके आधार पर एक सर्वर को फिंगरप्रिंट करने के तरीके हैं।
मैं अपने स्ट्रिंग्स को अक्षम करता हूं, जहां तक मैं कर सकता हूं लेकिन मैं उन लोगों के बारे में पसीना नहीं करता हूं जिन्हें मैं छिपा नहीं सकता (जैसे ओपनएसएसएच)।