Это - хорошая практика для сокрытия информации о веб-сервере в HTTP-заголовках?
Нечто подобное должно работать. Фильтры JOIN выполняют фильтрацию, как описано в шагах 1-3:
SELECT *
FROM appointments a
JOIN businesses b ON b.business_id = a.business_id AND b.reminders_enabled = 1
JOIN users u ON u.user_id = a.user_id AND u.reminders_enabled = 1
WHERE DATE(a.appointment_date) = CURDATE() AND
a.appointment_time BETWEEN NOW() AND NOW() + INTERVAL 1 HOUR
6 ответов
Сокрытие информации в заголовках обычно просто замедляет ленивых и неосведомленных злодеев. Существует много способов брать отпечатки пальцев у системы.
Я думаю, что Вы обычно видите те заголовки, потому что системы отправляют их по умолчанию.
Я обычно удаляю их, поскольку они не обеспечивают действительного значения, и мог, как Вы предположили, показывают информацию о сервере.
Преобладающая мудрость должна удалить идентификатор сервера и версию; еще лучше измените их на другой законный идентификатор сервера и версию - тот способ, которым взломщик уходит, пробуя уязвимости IIS против Apache или чего-то как этот. Мог бы также ввести в заблуждение взломщика.
Но честно, существует столько других подсказок, чтобы пройти, интересно о том, стоит ли это того. Я предполагаю, что это могло остановить взломщиков, использующих поисковую систему для нахождения серверов с известными уязвимостями.
(Лично, я не беспокоюсь о своем сервере HTTP, но он записан в Java и намного менее уязвимый для типичных видов нападения.)
Выполнение nmap -O -sV против IP даст Вам версии ОС и версии службы с довольно высокой степенью точности. Единственная дополнительная информация, которую Вы отдаете при наличии Вашего сервера, рекламирует, та информация - какие модули Вы загрузили.
Кажется, что некоторые ответы пропускают очевидное преимущество выключения заголовков.
Да, Вы все правы; превращение заголовков (и подарок statusline, например, в списках каталогов) не мешает взломщику узнать, какое программное обеспечение Вы используете.
Однако выключение этой информации предотвращает вредоносное программное обеспечение, которое использует Google для поиска уязвимых систем от нахождения Вас.
tldr: не используйте его в качестве (или как раз когда) меры безопасности, но в качестве меры для отгоняния нежелательного трафика.
Я обычно выключаю долгую информацию о версии заголовка Apache с ServerTokens; это не добавляет ничего полезного.
Одна точка, на которой никто не взял, похоже на лучшую безопасность возможному клиенту, перьевая компания по тестированию и т.д., если Вы выделяете меньше информации от своего веб-сервера.
Так предоставление меньшей информации повышает воспринятую безопасность (т.е. это показывает, что Вы на самом деле думали об этом и сделали что-то),