Habe gestern ein paar Dinge mit Apache ausprobiert und Deltachaos hat mich währenddessen darauf hingewiesen, dass der Server unnötige Informationen liefert.
Die Direktive ServerSignature von Apache war mir bekannt und bereits auf Off gestellt; dadurch sendet der Server nicht seine Version bei z.B. Verzeichnislisten oder Fehlerseiten.
Es werden aber auch im HTTP-Header Versionsinformationen von Apache (Server: xxx) und PHP (X-Powered-By: xxx) gesendet.
Mit folgenden Änderungen erreicht man, dass Apache im Header nur noch „Server: Apache“ einträgt und „X-Powered-By“ ganz weglässt:
- „ServerTokens ProductOnly“ in die Apache-Config eintragen
- „expose_php = Off“ in die entsprechende php.ini eintragen, z.B. /etc/php5/apache2/php.ini unter Debian.
- Apache neustarten mit: apache2ctl graceful
Fertig.
Kommentare
Kommentare sind für diesen Blogbeitrag (noch) nicht aktiviert. Nach der Veröffentlichung eines Blogbeitrags dauert das in der Regel noch ein paar Minuten.
Alternative: Anmerkung per E-Mail
Du kannst mir Anmerkungen zum Blogbeitrag per E-Mail schicken, wenn du hier klickst. Der Inhalt davon bleibt privat und wird nicht hier im Kommentarbereich veröffentlicht.