Apache-Variable SERVER_SOFTWARE bei Fehlermeldungen

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache-Variable SERVER_SOFTWARE bei Fehlermeldungen

Postby tom, the kid » 03. October 2003 09:35

Hallo!

Kennt Ihr das?
Euer XAMPP findet eine Seite nicht, und in der Fehlermeldung taucht fast die komplette Server-Konfiguration auf ( Apache1.03 / MOD_PHP... ).
Dies kann man auf ein Minimum reduzieren, indem man die Zeile
Code: Select all
ServerSignature off

in die HTTPD.CONF einfügt ( z.B. unter der Zeile "ServerName ..." ).
Durch diese Zeile wird die Apache-Variable SERVER_SOFTWARE so verändert dass sie nur noch "Apache" meldet :-)
Diese und einige andere Variablen werden bei den Fehlermeldungen über die SSI-Datei "bottom.html" ausgegeben.

Um auch zu verhindert, dass die Server-Kennung über die Webseiten nach aussen mitübertragen wird, muss man noch die Zeile
Code: Select all
ServerTokens ProductOnly

einfügen.

Dadurch wird es Hackern und automatischen Programmen erschwert, anhand dieser Kennung evtl. vorhandene Sicherheitslücken zu erkennen.

Ich hoffe, das hilft einigen, ich fühle mich auf jeden Fall sehr viel sicherer :-))
tom, the kid
 

Postby tom, the kid » 03. October 2003 09:48

Hallo!

Habe gerade festgestellt, dass die o.g. Variablen "ServerSignature" und "ServerTokens" in der LAMPP-httpd.conf bereits vorgegeben sind, in der WAMPP-httpd.conf fehlen sie!

Warum?

Wäre es nicht besser, diese Variablen allgemein auf sichere Werte zu setzen?
tom, the kid
 

Postby Oswald » 03. October 2003 11:33

Huhu Tom!

Zwei Dinge:

1) Grundsetztlich hast Du recht. Allerdings ist security by obscurity (siehe Google) niemals eine wirkliche Sicherheitsmaßnahme. Es erzeugt also nur ein falsches Gefühl von Sicherheit.

2) Zitat aus unserer Startseite:

Die Philosophie

Die Philosophie hinter XAMPP ist Entwicklern und Entwicklerinnen einen einfachen Einstieg in die Welt des Apache zu ermöglichen. XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. So, wie es für einen Entwickler am angenehmsten ist.

XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet. Mit einigen Handgriffen (siehe FAQ) läßt sich XAMPP aber auch schnell internettauglich sicher machen.

In den aktuellen Linux-Versionen gibt es bereits die Möglichkeit die Installation einfach und dialogbasiert sicher zu machen.


Beide Gründe sprechen dagegen.

Aber andererseits es ist natürlich auch eine gute Idee die Einstellungen vorzunehemen, wie Du sie beschrieben hast. Aber das soll jeder selbst entscheiden.

Find ich zumindest. ;)

Liebe Grüße
Oswald
User avatar
Oswald
Apache Friends
 
Posts: 2718
Joined: 26. December 2002 19:51
Location: Berlin, Germany
Operating System: Linux

Postby tom, the kid » 04. October 2003 12:25

Hallo Kai!

So gesehen hast du natürlich recht.
Für Entwickler ist es natürlich besser, erst einmal alle Funktionen ohne Einschränkung nutzen zu können.

Wahrscheinlich ist es auch sorum besser, dann lernt man das System wenigstens mal richtig kennen. :lol:
tom, the kid
 


Return to Apache

Who is online

Users browsing this forum: No registered users and 196 guests