Ein paar Zeilen mehr im security-script!

Was sollte alles noch in XAMPP rein? Was kommt definitiv bald? Was kommt so bald wie möglich, dauert nur noch etwas? Was kommt wahrscheinlich nicht rein?

Ein paar Zeilen mehr im security-script!

Postby Sushimeister » 06. January 2007 16:43

Hallo Leute,

ich LIEBE xampp!! Es ist mit der Zeit wesentlich besser geworden, und grade bei Linuxservern setze ich es sehr gerne ein, da es mir als Admin extrem viel Arbeit abnimmt. Hat jmd schonmal versucht PDO mit _allen_ DB Treibern zu kompilieren? Grausam!!

Nun, ich hätte noch eine Kleinigkeit für das Security Script:
Bei der Standardinstallation gibt der Server auf Fehlerseiten immer alles aus, was installiert ist, also zB sowas hier:
Apache/2.2.3 (Unix) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d PHP/5.2.0 mod_apreq2-20051231/2.5.7 mod_perl/2.0.2 Perl/v5.8.7 Server at meinedummedomain.comnetorg Port 80

Ich glaube, der schalter heisst "verbose" oder so - kann das nochmal jmd genau evaluieren?

Nun, bei Testinstallationen mag das ja egal sein, aber bei Produktivservern ist das eigentlich eine Sicherheitslücke, da ja nicht jeder sehen muss, was genau in welcher Version auf dem Server läuft - ich sag nur 0day exploits! Und OpenSSL war ja des öfteren für sowas anfällig, oder halt PHP.

Nun, im Security Script könnte man die Option doch auch - optional - ausstellen lassen! Es ist dann einfach etwas sicherer.

Was meint ihr dazu?


EDIT:
Die Option heisst "ServerSignature" und liegt in "./etc/extra/httpd-default.conf"
Sushimeister
 
Posts: 63
Joined: 30. August 2006 18:05

Postby deepsurfer » 06. January 2007 17:31

Da XAMPP auch von Ideen der User lebt ist sicherlich dein Aspekt nachvollziehbar.

Schreib doch das vorhanden Security-Scipt um, stelle den Code hierrein,
dieser wird dann von allen möglichen Leuten getestet.

Wenn das dann Hand und Fuss hat, Du den Codeschnipsel dann frei gibst, würden sicherlich die XAMPP-DEVS dazu übergehen deinen Codebereich mit ein zu bauen.

Im grunde ist es so, das viele eine Idee haben, aber warum sollen die XAMPP-Devs dann schreiben, wenn der WUnsch auch von der Community aufgearbeitet werden kann, so trägt dann jeder (auch Du) dazu bei das XAMPP den Wünschen und Ideen näher kommt.

greets
Deep
User avatar
deepsurfer
AF Moderator
 
Posts: 6440
Joined: 23. November 2004 10:44
Location: Cologne
XAMPP Version: 5.6.3
Operating System: Win-XP / Win7 / Linux -Debian

Re: Ein paar Zeilen mehr im security-script!

Postby Grendelbox » 19. January 2007 12:13

Sushimeister wrote:
EDIT:
Die Option heisst "ServerSignature" und liegt in "./etc/extra/httpd-default.conf"



Die Frage ist, wie kann ich eine Anzeige á la :

"Apache/2.2.3 (Unix) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d PHP/5.2.0 mod_apreq2-20051231/2.5.7 mod_perl/2.0.2 Perl/v5.8.7"

generell komplett unterdrücken ?

"ServerSignature Off" ist -soweit ich weiss- die DEFAULT-Einstellung bei Apache 2.xx und trotzdem ist der o.g. Versionsstring zu sehen.

Gibt es eine andere Möglichkeit das immer komplett/generell zu unterdrücken ?
User avatar
Grendelbox
 
Posts: 8
Joined: 13. January 2007 14:50

Postby Hekelmeister » 21. January 2007 19:32

einfach eine Zeile and as Ende der http.conf anhängen
Code: Select all
# Version des Servers ausblenden
ServerTokens Prod

Damit sollte nur noch "Apache" angezeigt werden oder einfach mal auf folgende Seite gehn und eine von den Optionen ausprobieren

http://www.micressor.ch/content/wiki/index.php/Apache_vor_netcraft.com_verbergen
Hekelmeister
 
Posts: 2
Joined: 21. January 2007 19:23


Return to XAMPP-Wunschzettel

Who is online

Users browsing this forum: No registered users and 1 guest