phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Sicherheitsfrage

https://www.phpbb.de/community/viewtopic.php?t=67541

Seite 1 von 1

Sicherheitsfrage

Verfasst: 11.10.2004 22:15
von denny1983
Bringt es etwas eigene errordokumente wie 404,403, oder 401 zu erstellen udn dort nicht die serverversion , os etc anzuzeugen zu lassen?
normalerweise wird das ja angezeigt.

was meint ihr?

es geht mir darum, etwas mehr sicherheit vor kleinen kiddies zu haben?

oder sind die server sicher genug?

mein server hat "Apache/1.3.26 Server at www.meineseite.de Port 80"

Verfasst: 11.10.2004 22:43
von Blutgerinsel
mal eine Gegenfrage wenn ich weiss das nahezu alle Webbrowser auf Apache laufen und ein geringer Teil via Bug Ding IIS..........

Was bringt es dann wenn ich die Version verstecke? Es sind ohne eigentlich alle Webserver auf dem selben stand...........

Über das HTTP 1.0/1.1 Protokoll wird auch soweit keine nennenswerte Information bekanntgegeben....Kann mich aber auch irren Details siehe RFC 2068 -> http://www.w3.org/Protocols/rfc2616/rfc2616.html

Verfasst: 12.10.2004 08:34
von larsneo
security by obscurity (also sicherheit durch 'verstecken') ist in der heutigen zeit der meistens automatisierten angriffe sicherlich nicht der weisheit letzter schluss, aber man kann damit tatsächlich ein paar script kiddies abhalten.

die server- bzw. php-signatur kann in aller regel in der entsprechenden konfiguration eingestellt werden - beim apache in der httpd.conf via ServerSignature, bei php in der php.ini über expose_php=off. ein noch weitergehende sache ist die individualisierte signatur - mit modsecurity kann man beispielsweise des server komplett umtaufen ;-) (*demo*)

übrigens - apache 1.3.26 ist in aller regel nicht sicher genug - aktuell sollte es schon die 1.3.31 sein.

Verfasst: 12.10.2004 14:18
von Blutgerinsel
naja über security by obscurity lässt sich streiten bei WLANs empfiehlt es sich z.B. das der tolle Funksender nicht in die Gegend brüllt "Hallo hier bin ich hack mich" (Broadcast) aber selbst das reicht noch nicht Verschlüsselung + MAC Security schon eher.......

Die gängisten Browser sind nun mal Apache und IIS aber was hintert mich mein Equipment auszupacken und den Herrn Server zu scannen?
Selbst wenn ich nicht weiss welche apache Version es ist kann ich es bestimmt bei anderen Kunden herausfinden die diese Einstellung nicht haben beim gleichen Anbieter. Und da diese oft nicht unterschiedliche Versionen im Einsatz haben kann ich das nicht als Schutz bezeichnen :roll:
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de