Dient der 'Server'-Header einem Zweck?

11

Wenn ich beispielsweise den Antwortheader für meinen Server speichere, wird Folgendes angezeigt:

Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g

Wird das für irgendetwas verwendet? Ist es ein Sicherheitsrisiko (wenn auch gering), das Server-Make-up zu übertragen?

security http-headers DisgruntledGoat
quelle

Antworten:

15

Nein, es wird für nichts Wichtiges verwendet. ( Netcrafts Server-Marktanteilsumfragen verwenden es wahrscheinlich, wie vermutlich auch andere Umfragen von Drittanbietern.)

Ja, es ist ein (sehr) kleines Sicherheitsproblem. Natürlich sollte Ihr Server jederzeit gesichert und auf dem neuesten Stand sein, aber eine zusätzliche Schicht von "Dunkelheit" auf einem gut gesicherten Server ist nur von Vorteil. Wenn ein Angreifer vor dem Angriff umfangreiche Fingerabdrücke erstellen muss, erhalten Sie möglicherweise frühzeitig eine Warnung vor einem Angriff, wenn Sie Ihre Protokolldateien genau überwachen.

Sie können die Detailstufe, die gesendet wird, sicher verringern, wenn Sie möchten . Auf der anderen Seite ist es keine große Sache, und wenn Sie sich auf einem gemeinsam genutzten Server befinden, auf dem Sie dies nicht ändern können, schwitzen Sie nicht.

Jesper M.
quelle
1

Mit einem Server - Header , dass lange, verkürzt es oder es loszuwerden völlig auch einen winzigen Performance - Vorteil bieten könnte.

Wie Jesper bemerkt, ist dies kein großes Problem, aber wenn Sie versuchen, jede zusätzliche Millisekunde aus Ihren Seitenladezeiten herauszuholen, kann dies einen Unterschied machen - insbesondere, wenn Sie viele kleine Dateien laden, was von a schlecht ist Leistungssicht an sich, aber manchmal unvermeidlich.

Ich vermute, dass dies ein Grund ist, warum beispielsweise die Webserver von Google nur sagen:

Server: gws

oder

Server: sffe

Sicher, sie hätten "gws" als "Google Web Server" buchstabieren können, ohne weitere Informationen preiszugeben, aber das würde jeder HTTP-Antwort 14 völlig nutzlose Bytes hinzufügen. Mit dem Anforderungsvolumen von Google können diese wenigen Bytes möglicherweise mehr Bandbreite ergeben, als Ihre durchschnittliche kleine Website insgesamt verwendet .

Ilmari Karonen
quelle
Die Paketgrößen liegen normalerweise bei etwa 1.000 Byte, sodass das Speichern einiger Bytes (im wahrsten Sinne des Wortes) keinen Einfluss auf die Geschwindigkeit hat. Nur wenn die Summe aller Header in ein zusätzliches Paket übergeht.
DisgruntledGoat
Ein 100-Byte-Header, wie der in der Frage angegebene, kann dazu führen, dass die kombinierte Länge der Antwortheader und des Inhalts in ein zusätzliches Paket übergeht. Außerdem erzählt die Paketzählung die ganze Geschichte nur für rein latenzbegrenzte Verbindungen. In (zumindest teilweise) bandbreitenbeschränkten Situationen (z. B. langsamen mobilen Verbindungen oder großen Rechenzentren mit einem großen Anforderungsvolumen) spielt auch die Gesamtmenge der übertragenen Bytes eine Rolle.
Ilmari Karonen