Kann ich solche Webserver Informationen ausschalten?

[schröder]

N`abend!

geht mal auf die seite http://www.gemal.dk/browserspy/ws.cgi und gebt da irgend eine url ein. Dann spuckt der Server unter settings ein paarr Infos aus.

Wie kann ich verhindern das der Apache solche Infos rausgibt?

Martin

[darkspirit]

"ServerSignatur Off" in der httpd.conf..

[captaincrunch]

Punkt 1 :
http://www.rootforum.org/faq/index.php? ... 15&lang=de

Punkt 2 :
Security by obscurity funktioniert nicht !

[nyxus]

Security by obscurity funktioniert nicht !

Aber sie schadet auch nicht.

[captaincrunch]

Depends ... z.B. kann sie einem die Fehlersuche erheblich erschweren, und / oder gegen gewisse "Regeln" verstossen, aber das ist eine andere Diskussion.

[dodolin]

Aber sie schadet auch nicht.

Wenn man sich dadurch "sicherer" fühlt, wird man oft nachlässig. -> Es schadet.

[pupsi]

ServerSignatur Off" in der httpd.conf..

Hallo Dodolin,

ich hab das spasshalber mal gemacht und den apache restartet, aber ich seh immer noch die kompletten Angaben.

Muss man den ganzen Server dafür neu starten? Ich dachte ein neustart des Apachen würd reichen.

Wär nett ihr klärt einen Noob mal auf, wann Ã?nderungen in der httpd.conf übernommen, bzw. ausgeführt werden.

Gruß Pupsi

[nyxus]

Depends ... z.B. kann sie einem die Fehlersuche erheblich erschweren

inwiefern? Wenn ich ein Problem habe und die Versionsnummer haben möchte, dann hole ich mir die doch lieber lokal mit dpkg, oder?

und / oder gegen gewisse "Regeln" verstossen, aber das ist eine andere Diskussion.

gab es die Diskussion hier schonmal welche Regeln das sind? Hast Du einen Link für mich?

Wenn man sich dadurch "sicherer" fühlt, wird man oft nachlässig. -> Es schadet.

Da das wohl niemals die einzige "Absicherung" des Systems ist, sehe ich dieses Problem nicht. Mein Standpunkt ist einfach, daß der Rest der Welt diese Info nicht benötigt. Also warum diese Info liefern?

[dodolin]

Mein Standpunkt ist einfach, daß der Rest der Welt diese Info nicht benötigt.

Mein Standpunkt ist, dass es dem Rest der Welt sehr wohl durchaus nützlich sein kann, wenn er eine E-Mailadresse des Webmasters kennt, an den er sich bei Problemen wenden kann. :)

[captaincrunch]

inwiefern? Wenn ich ein Problem habe und die Versionsnummer haben möchte, dann hole ich mir die doch lieber lokal mit dpkg, oder?

Es geht nicht nur um die Versionsnummer, sondern um solche Sachen wie die Emailadresse des Webmasters (wie dodolin schon sagte).

gab es die Diskussion hier schonmal welche Regeln das sind? Hast Du einen Link für mich?

Hier gab es die Diskussion AFAIR noch nicht, aber über den Sinn von Security by obscurity haben sich schon viel hellere Köpfe als wir heißgeredet ... ;)

Da das wohl niemals die einzige "Absicherung" des Systems ist, sehe ich dieses Problem nicht. Mein Standpunkt ist einfach, daß der Rest der Welt diese Info nicht benötigt. Also warum diese Info liefern?

Siehe dodolin. Desweiteren : was schadet es dir, wenn die Infos da sind ?

[nyxus]

Es geht nicht nur um die Versionsnummer, sondern um solche Sachen wie die Emailadresse des Webmasters (wie dodolin schon sagte).

mir geht es dabei aber um die Versionsnummer. Das mit der E-Mail-Adresse würde ich gelten lassen. Aber zum einen steht die auf allen meiner Domains auf einer der Seiten, zum anderen habe ich für alle Domains die Adresse "webmaster@..." eingerichtet, und auch die E-Mail-Adresse im Zone-File ist erreichbar.
Nichtsdestotrotz werde ich mir nochmal die Apache-Doku anschauen ob das so geht, daß keine Versionsnummer kommt, aber trotzdem eine Kontaktinfo. Das wäre ein Lösung, die mir gefällt.

Hier gab es die Diskussion AFAIR noch nicht, aber über den Sinn von Security by obscurity haben sich schon viel hellere Köpfe als wir heißgeredet ... ;)

auch darum ging es mir bei der Frage nicht, sondern um diese "Regeln", unter denen ich mir nichts vorstellen kann.

Desweiteren : was schadet es dir, wenn die Infos da sind ?

Die generelle Arbeitsweise. Warum sollte hierbei nicht der "deny any, but"-Ansatz besser sein als der "allow any, but".

[captaincrunch]

auch darum ging es mir bei der Frage nicht, sondern um diese "Regeln", unter denen ich mir nichts vorstellen kann.

Du möchtest einen Link ? http://rfc-editor.org ... ;)

[nyxus]

Du möchtest einen Link ? http://rfc-editor.org ... ;)

Ok, das deute ich mal so, daß es diese "Regeln" nicht wirklich gibt.

[dodolin]

Ok, das deute ich mal so, daß es diese "Regeln" nicht wirklich gibt.

Dann ist das eine (mutwillige?!) Falschdeutung. Aber da kann dir keiner helfen.

[nyxus]

Ok, das deute ich mal so, daß es diese "Regeln" nicht wirklich gibt.

Dann ist das eine (mutwillige?!) Falschdeutung. Aber da kann dir keiner helfen.

Eine Frage nach bestimmten Regeln mit einem ein Verweis auf ein allgemeines RFC-Verzeichnis zu beantworten (man könnte es evtl. auf eine zweistellige Anzahl von RFCs einkreisen, es käme aber immer noch einer Suche nach der Stecknadel im Heuhaufen gleich; wobei man bei letzterem wenigstens genau weiß, wonach man sucht) kann ich wirklich nur so deuten, daß der Antworter auch nichts weiter dazu weiß.

[dodolin]

Nuja, dass es z.B. hier darum geht, dass man alle "Regeln" im RFC zu HTTP einhält, ist doch eigentlich klar, oder? Weiters alle zu TCP/IP, "Requirements for Internet Hosts" (sowohl Application Layer als auch Network Layer) usw. usf.

Wie soll man die alle einzeln aufzählen? Nuja, was man jetzt mit Einstellungen zu ServerSignature allerdings bezüglich irgendwelcher RFCs verhunzen kann ist mir auch nicht ganz klar, da hast du Recht... ;)

[captaincrunch]

Nein, ich schreibe hier nur von Dingen, von denen ich keine Ahnung habe ...

Aber da du ja unbedingt Links willst :
http://groups.google.de/groups?hl=de&lr ... le%2BSuche
http://groups.google.de/groups?hl=de&lr ... 0%26sa%3DN
uvm.

[Joe User]

Moin,

wer trotz der bereits geäusserten Gründe die Versionsnummer des Apache 'verstecken' möchte, der setzt einfach 'ServerTokens Prod' in seine httpd.conf und lässt 'ServerSignature On' bestehen.

Gruss,
Markus

[alexander newald]

Welcher bereits genannten Gründe? Habe ich irgendwie überlesen?

Bei Apache ist übrigens in der Source Version ServerSignature Off als Standardeinstellung hinterlegt. http://httpd.apache.org/docs-2.0/mod/co ... rsignature

[Joe User]

Moin,

die Direktive 'ServerSignature` manipuliert lediglich die Signaturen der 'ErrorDocuments', sowie jene eines 'DirectoryIndex', nicht jedoch den HTTP-Request-Header, welcher durch 'ServerTokens' manipulierbar ist.

Du kannst das leicht testen, indem Du Deine URI im folgendem Link durch eine auf Deinem Apache eingerichteten austauscht und mit den jeweiligen Direktiven etwas experimentierst:
http://validator.w3.org/check?uri=http: ... &verbose=1

Gruss,
Markus

[alexander newald]

Da zeigt sich, dass es doch nicht reicht eine Seite quer zu lesen

[captaincrunch]

Da zeigt sich, dass es doch nicht reicht eine Seite quer zu lesen

Selbiges gilt auch für Gründe gegen "Security by obscurity" ... ;)

[alexander newald]

Dann probier ich es morgen nochmal, wenn ich wieder wacher bin ;-) und gebe dann nochmal meinen Senf dazu (Wenn es denn was bringt)

[Joe User]

Ist ja schon fast wie im Chat hier

[nyxus]

Nuja, dass es z.B. hier darum geht, dass man alle "Regeln" im RFC zu HTTP einhält, ist doch eigentlich klar, oder? Weiters alle zu TCP/IP, "Requirements for Internet Hosts" (sowohl Application Layer als auch Network Layer) usw. usf.

ach ...

Nuja, was man jetzt mit Einstellungen zu ServerSignature allerdings bezüglich irgendwelcher RFCs verhunzen kann ist mir auch nicht ganz klar, da hast du Recht... ;)

verstehst Du nun meine Frage? Es würde mich nämlich wirklich interessieren, wenn ich damit gegen irgendwelche real existierenden Regeln verstoßen würde. Denn dann würde ich dieses Verhalten auf jeden Fall ändern. Aber das sehe ich halt noch nicht.

Nein, ich schreibe hier nur von Dingen, von denen ich keine Ahnung habe ...

Zumindest bei den meisten Deiner anderen Beiträge habe ich nicht das Gefühl. Ausgenommen halt ideologischen Win-Linux-Sachen und eben dem hier, denn

Aber da du ja unbedingt Links willst :

irgendwie habe ich auch bei diesen Links nur das Gefühl, daß es wieder am Thema vorbei geht. Es geht nicht darum, ob Security by Obscurity etwas bringt oder nicht, sondern darum, ob ich mich falsch verhalte oder nicht, wenn ich die Versionsnummern abschalte.