Bringt es etwas eigene errordokumente wie 404,403, oder 401 zu erstellen udn dort nicht die serverversion , os etc anzuzeugen zu lassen?
normalerweise wird das ja angezeigt.
was meint ihr?
es geht mir darum, etwas mehr sicherheit vor kleinen kiddies zu haben?
oder sind die server sicher genug?
mein server hat "Apache/1.3.26 Server at www.meineseite.de Port 80"
Sicherheitsfrage
-
Blutgerinsel
- Mitglied
- Beiträge: 1801
- Registriert: 19.07.2004 18:53
- Wohnort: Landkreis Ulm
- Kontaktdaten:
mal eine Gegenfrage wenn ich weiss das nahezu alle Webbrowser auf Apache laufen und ein geringer Teil via Bug Ding IIS..........
Was bringt es dann wenn ich die Version verstecke? Es sind ohne eigentlich alle Webserver auf dem selben stand...........
Über das HTTP 1.0/1.1 Protokoll wird auch soweit keine nennenswerte Information bekanntgegeben....Kann mich aber auch irren Details siehe RFC 2068 -> http://www.w3.org/Protocols/rfc2616/rfc2616.html
Was bringt es dann wenn ich die Version verstecke? Es sind ohne eigentlich alle Webserver auf dem selben stand...........
Über das HTTP 1.0/1.1 Protokoll wird auch soweit keine nennenswerte Information bekanntgegeben....Kann mich aber auch irren Details siehe RFC 2068 -> http://www.w3.org/Protocols/rfc2616/rfc2616.html
-
larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
security by obscurity (also sicherheit durch 'verstecken') ist in der heutigen zeit der meistens automatisierten angriffe sicherlich nicht der weisheit letzter schluss, aber man kann damit tatsächlich ein paar script kiddies abhalten.
die server- bzw. php-signatur kann in aller regel in der entsprechenden konfiguration eingestellt werden - beim apache in der httpd.conf via ServerSignature, bei php in der php.ini über expose_php=off. ein noch weitergehende sache ist die individualisierte signatur - mit modsecurity kann man beispielsweise des server komplett umtaufen
(*demo*)
übrigens - apache 1.3.26 ist in aller regel nicht sicher genug - aktuell sollte es schon die 1.3.31 sein.
die server- bzw. php-signatur kann in aller regel in der entsprechenden konfiguration eingestellt werden - beim apache in der httpd.conf via ServerSignature, bei php in der php.ini über expose_php=off. ein noch weitergehende sache ist die individualisierte signatur - mit modsecurity kann man beispielsweise des server komplett umtaufen
(*demo*)übrigens - apache 1.3.26 ist in aller regel nicht sicher genug - aktuell sollte es schon die 1.3.31 sein.
-
Blutgerinsel
- Mitglied
- Beiträge: 1801
- Registriert: 19.07.2004 18:53
- Wohnort: Landkreis Ulm
- Kontaktdaten:
naja über security by obscurity lässt sich streiten bei WLANs empfiehlt es sich z.B. das der tolle Funksender nicht in die Gegend brüllt "Hallo hier bin ich hack mich" (Broadcast) aber selbst das reicht noch nicht Verschlüsselung + MAC Security schon eher.......
Die gängisten Browser sind nun mal Apache und IIS aber was hintert mich mein Equipment auszupacken und den Herrn Server zu scannen?
Selbst wenn ich nicht weiss welche apache Version es ist kann ich es bestimmt bei anderen Kunden herausfinden die diese Einstellung nicht haben beim gleichen Anbieter. Und da diese oft nicht unterschiedliche Versionen im Einsatz haben kann ich das nicht als Schutz bezeichnen
Die gängisten Browser sind nun mal Apache und IIS aber was hintert mich mein Equipment auszupacken und den Herrn Server zu scannen?
Selbst wenn ich nicht weiss welche apache Version es ist kann ich es bestimmt bei anderen Kunden herausfinden die diese Einstellung nicht haben beim gleichen Anbieter. Und da diese oft nicht unterschiedliche Versionen im Einsatz haben kann ich das nicht als Schutz bezeichnen
