---

Kan man ikke fra httpd.conf styre hvad apache skriver efter "Server:" i
headeren?

--
Jesper

---

On Mon, 23 Jul 2001 23:54:23 +0200, Jesper FA <news@skydiver.dk> wrote:
>Kan man ikke fra httpd.conf styre hvad apache skriver efter "Server:" i
>headeren?
>
Man kan gøre den lidt mindre informativ, så den kun fortæller at det er
Apache. Hvis du helt vil ændre det, så skal du pille i httpd.h se efter
noget i stil med: #define SERVER_BASEPRODUCT "Apache"

vh.

Mads Toftum
--
`Darn it, who spiked my coffee with water?!' - lwall

---

Mads Toftum wrote:

> On Mon, 23 Jul 2001 23:54:23 +0200, Jesper FA <news@skydiver.dk> wrote:
>>Kan man ikke fra httpd.conf styre hvad apache skriver efter "Server:" i
>>headeren?
>>
> Man kan gøre den lidt mindre informativ, så den kun fortæller at det er
> Apache. Hvis du helt vil ændre det, så skal du pille i httpd.h se efter
> noget i stil med: #define SERVER_BASEPRODUCT "Apache"

Dvs. det er kompileret ind i koden, det kan ikke konfigureres senere.
Trælst.

--
Jesper

---

Jesper FA wrote:

> Dvs. det er kompileret ind i koden, det kan ikke konfigureres senere.

Det kan konfigureres begrænset runtime:
http://httpd.apache.org/docs/mod/core.html#servertokens
I Apache API'et findes også ap_add_version_component().

--
Hroi Sigurdsson hroi@netgroup.dk
Netgroup A/S http://www.netgroup.dk

---

Hroi Sigurdsson wrote:

> Det kan konfigureres begrænset runtime:
> http://httpd.apache.org/docs/mod/core.html#servertokens
> I Apache API'et findes også ap_add_version_component().

Det kan det jeg ville. Jeg synes ikke der var nogen grund til at afsløre
for meget, man kan lige så godt gøre livet så trælst som muligt for
uønskede typer.

--
Jesper

---

Jesper FA <news@skydiver.dk> wrote:
>> Det kan konfigureres begrænset runtime:
>> http://httpd.apache.org/docs/mod/core.html#servertokens
>> I Apache API'et findes også ap_add_version_component().
>
> Det kan det jeg ville. Jeg synes ikke der var nogen grund til at afsløre
> for meget, man kan lige så godt gøre livet så trælst som muligt for
> uønskede typer.

Hvis der bliver fundet et hul i Apache vil en anden Server: streng ikke
forhindre at script kiddies smider deres 0-day efter dig. Vi ser dagligt NT
exploits smidt efter UNIX og omvendt.

publicfile har en mindre kodebase end Apache. Hvis du ikke har brug for CGI,
PHP, virtuel websites og andet kan du tage et kig paa den. Hvis du _har_
brug for CGI eller PHP er der nok stoerre sandsynlighed for at du laver en
fejl i din server-side kode end at nogen voldtager din Apache.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/

---

Alex Holst wrote:

> Hvis der bliver fundet et hul i Apache vil en anden Server: streng ikke
> forhindre at script kiddies smider deres 0-day efter dig. Vi ser dagligt
> NT exploits smidt efter UNIX og omvendt.

Det er rigtigt nok. Det jeg primært ville var også bare ikke at afsløre
hvilke moduler jeg har loaded. Men igen, sikkerhedsmæssigt betyder det nok
ikke så meget. Jeg er bare tilhænger af at man skal ikke have lov til mere
end højst nødvendigt og der ingen grund til at give oplysning der ikke skal
bruges til noget.

> publicfile har en mindre kodebase end Apache. Hvis du ikke har brug for
> CGI, PHP, virtuel websites og andet kan du tage et kig paa den. Hvis du
> _har_ brug for CGI eller PHP er der nok stoerre sandsynlighed for at du
> laver en fejl i din server-side kode end at nogen voldtager din Apache.

Sikkert. Alle kan vel lave fejl. Jeg gør nu ellers alt hvad jeg kan for at
kontrollere alt hvad jeg får ind fra brugeren og ikke andtage noget som
helst. Alt hvad der skal i kontakt med DB e.l. ryger gennem regulære
udtryk, får tilføjes slashes o.l.

--
Jesper