Apakah tajuk 'Server' melayani tujuan apa pun?

11

Misalnya, ketika saya membuang header respons untuk server saya, saya mendapatkan:

Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g

Apakah ini digunakan untuk apa saja? Apakah ini risiko keamanan (walaupun kecil) menyiarkan riasan server?

security http-headers DisgruntledGoat
sumber

Jawaban:

15

Tidak, itu tidak digunakan untuk hal yang penting. ( Survei pangsa pasar server Netcraft mungkin menggunakannya, seperti yang mungkin dilakukan survei pihak ketiga lainnya.)

Ya, ini adalah masalah keamanan (sangat) kecil. Tentu saja server Anda harus diamankan dan mutakhir setiap saat, tetapi memiliki lapisan tambahan 'ketidakjelasan' di atas server yang diamankan dengan baik hanya bermanfaat. Jika tidak ada yang lain, jika seorang penyerang perlu melakukan ' sidik jari ' yang luas sebelum menyerang, maka Anda mungkin mendapatkan peringatan dini tentang serangan jika Anda memonitor file log Anda dengan cermat.

Anda dapat dengan aman menolak tingkat detail yang disiarkan jika Anda mau . Di sisi lain, ini bukan masalah besar, dan jika Anda berada di server bersama di mana Anda tidak dapat mengubahnya, maka jangan berkeringat.

Jesper M
sumber
1

Dengan header Server yang terlalu lama, memperpendeknya atau membuangnya seluruhnya juga bisa memberikan manfaat kinerja yang sangat kecil.

Seperti yang dicatat Jesper, ini bukan masalah besar, tetapi jika Anda mencoba memeras setiap milidetik tambahan dari waktu pemuatan laman Anda, itu bisa membuat perbedaan - terutama jika Anda memuat banyak file kecil, yang buruk dari sudut pandang kinerja itu sendiri, tetapi kadang-kadang tidak dapat dihindari.

Saya menduga itu salah satu alasan mengapa, misalnya, webservers Google hanya mengatakan:

Server: gws

atau

Server: sffe

Tentu, mereka bisa menyebut "gws" sebagai "Google Web Server" tanpa mengungkapkan informasi lebih lanjut, tetapi itu akan menambahkan 14 byte yang sama sekali tidak berguna untuk setiap respons HTTP. Dengan volume permintaan Google, beberapa byte itu mungkin menambah bandwidth lebih dari total rata-rata situs web kecil Anda gunakan .

Ilmari Karonen
sumber
Ukuran paket biasanya sekitar 1.000 byte, jadi menghemat beberapa byte akan (secara harfiah) tidak berpengaruh pada kecepatan. Hanya jika total semua header tumpah ke dalam paket tambahan.
DisgruntledGoat
Header 100 byte, seperti yang dikutip dalam pertanyaan, mungkin menyebabkan panjang gabungan dari header respons dan konten meluas ke dalam paket tambahan. Selain itu, penghitungan paket menceritakan keseluruhan cerita hanya untuk koneksi terbatas latensi murni. Dalam (setidaknya sebagian) situasi terbatas bandwidth (seperti koneksi seluler lambat, atau pusat data besar dengan volume permintaan sangat besar), jumlah total byte yang ditransmisikan juga mulai menjadi masalah.
Ilmari Karonen