Например, когда я сбрасываю заголовок ответа для моего сервера, я получаю:
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g
Это используется для чего-нибудь? Является ли это угрозой безопасности (пусть и небольшой), распространяющей структуру сервера?
Ответы:
Нет, это не используется ни для чего важного. ( Исследования доли рынка серверов Netcraft, вероятно, используют его, как и другие исследования третьих сторон.)
Да, это (очень) небольшая проблема безопасности. Конечно, ваш сервер всегда должен быть защищен и обновлен, но наличие дополнительного уровня «незаметности» поверх хорошо защищенного сервера только выгодно. Если ничего другого, если злоумышленнику необходимо провести обширную « дактилоскопию » перед атакой, вы можете получить некоторое раннее предупреждение об атаке, если внимательно наблюдаете за своими файлами журналов.
Вы можете спокойно уменьшить уровень передаваемой детализации, если хотите . С другой стороны, это не имеет большого значения, и если вы находитесь на общем сервере, где вы не можете это изменить, то не переживайте.
С заголовком сервера , который долгое время , сокращая его или избавиться от него полностью может также обеспечить крохотный выигрыш в производительности.
Как замечает Джеспер, это не большая проблема, но если вы пытаетесь выжать каждую лишнюю миллисекунду из времени загрузки страницы, это может иметь значение - особенно если вы загружаете много маленьких файлов, что плохо из-за Перспектива производительности сама по себе, но иногда неизбежна.
Я подозреваю, что это одна из причин, почему, например, веб-серверы Google просто говорят:
Server: gws
или же
Server: sffe
Конечно, они могли бы записать «gws» как «Веб-сервер Google», не раскрывая никакой дополнительной информации, но это добавило бы 14 абсолютно бесполезных байтов к каждому HTTP-ответу. С объемом запросов Google, эти несколько байтов вполне могут добавить к большей пропускной способности, чем ваш средний маленький сайт использует в целом .