web-dev-qa-db-ja.com

「サーバー」ヘッダーは目的を果たしますか?

たとえば、サーバーの応答ヘッダーをダンプすると、次のメッセージが表示されます。

Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g

これは何かに使用されますか?サーバーの構成をブロードキャストすることは、セキュリティリスク(小さいですが)ですか?

11
DisgruntledGoat

いいえ、それは重要なものには使用されません。Netcraftのサーバー市場シェア調査 おそらく他の第3パーティー調査。)

はい、それは(非常に)小さなセキュリティ問題です。もちろん、サーバーは常に保護され、常に最新のものである必要がありますが、追加のレイヤーが必要です十分に保護されたサーバー上での「不明瞭さ」の防止は有益です。攻撃者が攻撃の前に広範な「 fingerprinting 」を実行する必要がある場合、ログファイルを綿密に監視すると、攻撃の早期警告が表示される場合があります。

必要に応じて、ブロードキャストされる詳細レベルを安全に下げる を使用できます。一方、それは大したことではなく、これを変更できない共有サーバー上にいる場合は、汗をかかないでください。

15

サーバーヘッダーthatが長い場合、それを短くしたり完全に削除したりしても、パフォーマンスがわずかに向上します。

Jesperが指摘しているように、それは大きな問題ではありませんが、ページの読み込み時間から1ミリ秒ごとに絞り出そうとすると、違いが生じる可能性があります。特に、大量の小さなファイルを読み込む場合、それ自体はパフォーマンスの観点ですが、時には避けられないことがあります。

たとえば、Googleのウェブサーバーが次のように言っている理由の1つだと思います。

Server: gws

または

Server: sffe

もちろん、これ以上情報を公開せずに「gws」を「Google Web Server」と綴ることもできますが、これにより、すべてのHTTP応答に14個の完全に無駄なバイトが追加されます。 Googleのリクエストボリュームでは、これらの数バイトが、平均的な小規模Webサイトが使用する合計よりも多くの帯域幅になる可能性があります。

1
Ilmari Karonen