Apache Friends Support Forum

[tom, the kid]

Hallo!

Kennt Ihr das?
Euer XAMPP findet eine Seite nicht, und in der Fehlermeldung taucht fast die komplette Server-Konfiguration auf ( Apache1.03 / MOD_PHP... ).
Dies kann man auf ein Minimum reduzieren, indem man die Zeile

Code: Select all

ServerSignature off

in die HTTPD.CONF einfügt ( z.B. unter der Zeile "ServerName ..." ).
Durch diese Zeile wird die Apache-Variable SERVER_SOFTWARE so verändert dass sie nur noch "Apache" meldet
Diese und einige andere Variablen werden bei den Fehlermeldungen über die SSI-Datei "bottom.html" ausgegeben.

Um auch zu verhindert, dass die Server-Kennung über die Webseiten nach aussen mitübertragen wird, muss man noch die Zeile

Code: Select all

ServerTokens ProductOnly

einfügen.

Dadurch wird es Hackern und automatischen Programmen erschwert, anhand dieser Kennung evtl. vorhandene Sicherheitslücken zu erkennen.

Ich hoffe, das hilft einigen, ich fühle mich auf jeden Fall sehr viel sicherer )

[tom, the kid]

Hallo!

Habe gerade festgestellt, dass die o.g. Variablen "ServerSignature" und "ServerTokens" in der LAMPP-httpd.conf bereits vorgegeben sind, in der WAMPP-httpd.conf fehlen sie!

Warum?

Wäre es nicht besser, diese Variablen allgemein auf sichere Werte zu setzen?

[Oswald]

Huhu Tom!

Zwei Dinge:

1) Grundsetztlich hast Du recht. Allerdings ist security by obscurity (siehe Google) niemals eine wirkliche Sicherheitsmaßnahme. Es erzeugt also nur ein falsches Gefühl von Sicherheit.

2) Zitat aus unserer Startseite:

Die Philosophie

Die Philosophie hinter XAMPP ist Entwicklern und Entwicklerinnen einen einfachen Einstieg in die Welt des Apache zu ermöglichen. XAMPP ist so vorkonfiguriert, dass möglichst alle Features von Apache und Co aktiviert sind. So, wie es für einen Entwickler am angenehmsten ist.

XAMPP ist dadurch nicht als sicher einzustufen und ist somit nicht sofort für den Produktions-Betrieb geeignet. Mit einigen Handgriffen (siehe FAQ) läßt sich XAMPP aber auch schnell internettauglich sicher machen.

In den aktuellen Linux-Versionen gibt es bereits die Möglichkeit die Installation einfach und dialogbasiert sicher zu machen.

Beide Gründe sprechen dagegen.

Aber andererseits es ist natürlich auch eine gute Idee die Einstellungen vorzunehemen, wie Du sie beschrieben hast. Aber das soll jeder selbst entscheiden.

Find ich zumindest.

Liebe Grüße
Oswald

[tom, the kid]

Hallo Kai!

So gesehen hast du natürlich recht.
Für Entwickler ist es natürlich besser, erst einmal alle Funktionen ohne Einschränkung nutzen zu können.

Wahrscheinlich ist es auch sorum besser, dann lernt man das System wenigstens mal richtig kennen.