HTTP-Head Serverinfos – Versionen ausblenden
Heute hatte ich im Rahmen einer TÜV-Prüfung inkl. Server-Check die Aufgabe, die bösen bösen Headerinformationen die ein Apache und PHP standardmäßig mitschicken wenn man den Header abfragt, zu deaktivieren. Nachdem ich selbst eine Weile danach gesucht hatte, wollte ich hier kurz das Ergebnis meiner Recherchen bekannt geben.
Nach der Änderung liefert der Server nur noch folgendes:
HTTP/1.1 200 OK
Date: Mon, 14 Dec 2009 17:41:23 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=UTF-8
Deaktivieren kann man das Ganze natürlich ganz einfach in den jeweiligen Configdateien. Für den Apache ist das die apache2.conf (bei Debian unter /etc/apache2/apache2.conf zu finden). Bei mir war es sogar in der Datei /etc/apache2/conf.d/security hinterlegt.
Hier ändert man einfach die beiden folgenden Parameter:
ServerTokens Prod
ServerSignature Off
Um jetzt auch noch das hübsche X-Powered-By von PHP zu deaktivieren geht man in die php.ini seiner Wahl. Bei mir unter Debian ist die Verantwortliche Datei hier zu finden:
/etc/php5/apache/php.ini
Hier sollte es die Option „expose_php“ geben. Diese stellt man einfach auf „Off“ und schon sind alle glücklich.
EDIT:
Ein guter Freund hat mich darauf aufmerksam gemacht, auch noch folgendes in der php.ini einzufügen:
; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off
Offensichtlich werden da beim Mailversand Infos mitgeschickt die niemanden etwas angehen…
Jetzt sind wir wirklich glücklich 😉
2 replies on “HTTP-Head Serverinfos – Versionen ausblenden”
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
100% Glücklich sind wir aber erst wenn auch noch folgendes in php.ini auf Off ist
; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off
So, jetzt sind wir wirklich Glücklich 🙂
Cool, danke für den Tipp. Werd ich mit übernehmen!