Güvenlik kimi zaman ziyaretçiye hiçbir bilgi vermemektir diye düşünüyorsanız öncelikle Apache’nin yolladığı sürüm bilgilerini, fazladan yolladığı başlık bilgilerini silmek iyi bir çözüm olabilir.

Örneğin Windows makineye kurulmuş standart bir Apache sunucusunun hiçbir ayar yapılmadan gönderdiği başlık şu şekildedir :

HTTP/1.1 200 OK
Date: Sat, 18 Dec 2004 16:38:54 GMT
Server: Apache/2.0.52 (Win32) PHP/4.3.5
Last-Modified: Sat, 18 Dec 2004 16:36:38 GMT
ETag: “7e3-0-7dce383b”
Accept-Ranges: bytes
Content-Length: 0
Content-Type: text/html; charset=ISO-8859-1

Burada dikkatimizi çektiği gibi Apache sadece Apache olduğunu değil, sunucunun sürümünü, PHP modülü sürümünü, işletim sistemi bilgilerini yolluyor.

Bu bilgiyi kısaca azaltmak için Server Tokens direktifi vermeniz gerekiyor.

Örneğin ServerTokens Prod[uctOnly] dediğinizde bu başlık sadece Apache olarak gönderilecektir.

Diğer bir husus ise Apache’ye PHP modül olarak eklendiğinde ortaya çıkar. Hiçbir ayar yapılmamış bir Apache sunucusunda bir PHP sayfası çağrıldığında şu şekilde bir başlık bilgisi gelir :
HTTP/1.1 200 OK
Date: Sat, 18 Dec 2004 16:42:25 GMT
Server: Apache/2.0.52 (Win32) PHP/4.3.5
X-Powered-By: PHP/4.3.5
Transfer-Encoding: chunked
Content-Type: text/html; charset=ISO-8859-1

Gördüğünüz gibi PHP sürümü net olarak görülebilmekte.

Başlıkları yoketmek için Apache’de header unset direktifi veriliyor. Yani örneğimizde X-Powered-By başlığını yoketmek için kullanacağımız kod header unset X-Powered-By şeklinde olacaktır. Böylece artık bu başlık bilgisi gönderilmeyecektir.

Categories:

Tags:

No responses yet

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir