HTTP-Head Serverinfos – Versionen ausblenden

Heute hatte ich im Rahmen einer TÜV-Prüfung inkl. Server-Check die Aufgabe, die bösen bösen Headerinformationen die ein Apache und PHP standardmäßig mitschicken wenn man den Header abfragt, zu deaktivieren. Nachdem ich selbst eine Weile danach gesucht hatte, wollte ich hier kurz das Ergebnis meiner Recherchen bekannt geben.

Nach der Änderung liefert der Server nur noch folgendes:
HTTP/1.1 200 OK
Date: Mon, 14 Dec 2009 17:41:23 GMT
Server: Apache
Connection: close
Content-Type: text/html; charset=UTF-8

Deaktivieren kann man das Ganze natürlich ganz einfach in den jeweiligen Configdateien. Für den Apache ist das die apache2.conf (bei Debian unter /etc/apache2/apache2.conf zu finden). Bei mir war es sogar in der Datei /etc/apache2/conf.d/security hinterlegt.

Hier ändert man einfach die beiden folgenden Parameter:

ServerTokens Prod

ServerSignature Off

Um jetzt auch noch das hübsche X-Powered-By von PHP zu deaktivieren geht man in die php.ini seiner Wahl. Bei mir unter Debian ist die Verantwortliche Datei hier zu finden:

/etc/php5/apache/php.ini

Hier sollte es die Option „expose_php“ geben. Diese stellt man einfach auf „Off“ und schon sind alle glücklich.

EDIT:
Ein guter Freund hat mich darauf aufmerksam gemacht, auch noch folgendes in der php.ini einzufügen:

; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
mail.add_x_header = Off

Offensichtlich werden da beim Mailversand Infos mitgeschickt die niemanden etwas angehen…
Jetzt sind wir wirklich glücklich 😉

2 thoughts on “HTTP-Head Serverinfos – Versionen ausblenden

  1. 100% Glücklich sind wir aber erst wenn auch noch folgendes in php.ini auf Off ist

    ; Add X-PHP-Originating-Script: that will include uid of the script followed by the filename
    mail.add_x_header = Off

    So, jetzt sind wir wirklich Glücklich 🙂

Schreibe einen Kommentar