Apache und PHP Versions aus HTTP Header entfernen
verfasst 14.04.2011 von MediaCix | kurze URL: /t1060 | 2 Kommentare
Standard-Servereinstellungen haben leider auch den Nachteil, dass diverse Angaben über die PHP- oder Apache-Version mit übertragen werden. Hacker oder Spider können diese Schwachstelle ausnutzen. Für den Browser sind diese Angaben jedoch weniger Sinnvoll. Wie kann man nun diese Informationen ausblenden? Wer einen Server sein Eigen nennt, hier eine Lösung:
Eine Typische Header-Information könnte zum Beispiel so aussehen:
HTTP/1.1 200 OK
Date: Thu, 14 Apr 2011 13:56:00 GMT
Server: Apache/2.2.8 (Linux/SUSE)
X-Powered-By: PHP/5.2.12
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/htmlUm nun die Apache-Version unsichtbar zu machen, genügt ein Eintrag in der http.conf:
ServerTokens Prod
ServerSignature OffDurch die Angabe von X-Powered-By wird signalisiert, dass die aktuelle Seite eine dynamische Seite ist. Die Angabe von X-Powered-By kann komplett ausgeblendet werden. Hier muss nur ein Eintrag in der php.ini geändert werden:
expose_php = OffNach einen Server-Neustart sollte dann die HTTP-Headerinformation wie folgt aussehen:
HTTP/1.1 200 OK
Date: Thu, 14 Apr 2011 13:56:00 GMT
Server: Apache
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Transfer-Encoding: chunked
Content-Type: text/htmlbisherige Kommentare
1
hallo leute!
anscheinend funktioniert der eintrag "expose_php = Off" leider nicht bei systemen mit plesk... denn es wird hier trotzdem immer "X-Powered-By: PleskLin" gesendet... irgendwie bekomme ich somit diesen eintrag nicht deaktiviert... :(
01.11.2011
eMmA meint dazu: hallo leute!
anscheinend funktioniert der eintrag "expose_php = Off" leider nicht bei systemen mit plesk... denn es wird hier trotzdem immer "X-Powered-By: PleskLin" gesendet... irgendwie bekomme ich somit diesen eintrag nicht deaktiviert... :(
2
Hallo,
man kann es auch über die .htaccess wie folgt lössen.
<IfModule mod_headers.c>
Header unset X-Powered-By
Header add X-Powered-By "www.domain.de"
</IfModule>
Gruß Kay
06.02.2012
Unbekannt meint dazu: Hallo,
man kann es auch über die .htaccess wie folgt lössen.
<IfModule mod_headers.c>
Header unset X-Powered-By
Header add X-Powered-By "www.domain.de"
</IfModule>
Gruß Kay
neuen Kommentar schreiben
Themen mit ähnlichen Inhalten
-
- keine weiteren Themen gefunden -
Tags zum Beitrag
X-Powered-By HTTP-HeaderKategorien
- Umfragen
- Leserbrief
- Allgemein
- Fotografie
- CIX Projekte
- Projekt FPDF AcroForm
- Projekt Regex Tester
- PHP Programmierung
- Flash Programmierung
- Funk und Elektronik
- Internet
- Mediendesign
- Bildbearbeitung
- Audiobearbeitung
- Videobearbeitung
- Space
- Spam per E-Mail
- BfeK 3 Eilenburg
- TV, Radio und Kino
- Status Blog
letzte Kommentare
- pletcherxsg: FPDF AcroForm2 ChangeLog
- carpinteyroane: AcroForm und submit.php - example submit.php
- Sander: In eigener Sache: Projekt www.cix-blog.de wird beendet
- Zeneca: MySQL - Daten von Tabelle zu Tabelle kopieren
- Unbekannt: MP3 aus FLV extrahieren
- Unbekannt: Beschwerden über Compresent Erfurt GmbH
Sonstiges
Archiv
- 2011, Dezember
- 2011, November
- 2011, Oktober
- 2011, September
- 2011, August
- 2011, Juli
- 2011, Juni
- 2011, Mai
- 2011, April
- 2011, März
- 2011, Februar
- 2011, Januar