Hallo Leute,
ich LIEBE xampp!! Es ist mit der Zeit wesentlich besser geworden, und grade bei Linuxservern setze ich es sehr gerne ein, da es mir als Admin extrem viel Arbeit abnimmt. Hat jmd schonmal versucht PDO mit _allen_ DB Treibern zu kompilieren? Grausam!!
Nun, ich hätte noch eine Kleinigkeit für das Security Script:
Bei der Standardinstallation gibt der Server auf Fehlerseiten immer alles aus, was installiert ist, also zB sowas hier:
Apache/2.2.3 (Unix) DAV/2 mod_ssl/2.2.3 OpenSSL/0.9.8d PHP/5.2.0 mod_apreq2-20051231/2.5.7 mod_perl/2.0.2 Perl/v5.8.7 Server at meinedummedomain.comnetorg Port 80
Ich glaube, der schalter heisst "verbose" oder so - kann das nochmal jmd genau evaluieren?
Nun, bei Testinstallationen mag das ja egal sein, aber bei Produktivservern ist das eigentlich eine Sicherheitslücke, da ja nicht jeder sehen muss, was genau in welcher Version auf dem Server läuft - ich sag nur 0day exploits! Und OpenSSL war ja des öfteren für sowas anfällig, oder halt PHP.
Nun, im Security Script könnte man die Option doch auch - optional - ausstellen lassen! Es ist dann einfach etwas sicherer.
Was meint ihr dazu?
EDIT:
Die Option heisst "ServerSignature" und liegt in "./etc/extra/httpd-default.conf"