L'en-tête "Serveur" sert-il à quelque chose?

11

Par exemple, lorsque je vide l'en-tête de réponse de mon serveur, j'obtiens:

Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g

Est-ce utilisé pour quelque chose? Est-ce un risque pour la sécurité (bien que faible) de diffuser la composition du serveur?

security http-headers Chèvre mécontente
la source

Réponses:

15

Non, il n'est utilisé pour rien d'important. ( Les enquêtes sur la part de marché des serveurs de Netcraft l' utilisent probablement, comme le font probablement les autres enquêtes tierces.)

Oui, c'est un (très) petit problème de sécurité. Bien sûr, votre serveur doit être sécurisé et à jour à tout moment, mais avoir une couche supplémentaire d '«obscurité» au-dessus d'un serveur bien sécurisé n'est que bénéfique. Si rien d'autre, si un attaquant doit entreprendre une `` empreinte digitale ' ' approfondie avant d'attaquer, alors vous pourriez recevoir un avertissement précoce d'une attaque si vous surveillez attentivement vos fichiers journaux.

Vous pouvez en toute sécurité baisser le niveau de détail diffusé si vous le souhaitez . D'un autre côté, ce n'est pas grave, et si vous êtes sur un serveur partagé où vous ne pouvez pas changer cela, alors ne vous inquiétez pas.

Jesper M
la source
1

Avec un en-tête de serveur aussi long, le raccourcir ou le supprimer complètement pourrait également fournir un minuscule avantage en termes de performances.

Comme le note Jesper, ce n'est pas un gros problème, mais si vous essayez d'extraire chaque milliseconde supplémentaire de votre temps de chargement de page, cela pourrait faire une différence - en particulier si vous chargez beaucoup de petits fichiers, ce qui est mauvais à partir d'un point de vue de la performance en soi, mais parfois inévitable.

Je soupçonne que c'est une des raisons pour lesquelles, par exemple, les serveurs Web de Google disent simplement:

Server: gws

ou

Server: sffe

Bien sûr, ils auraient pu épeler "gws" comme "Google Web Server" sans divulguer plus d'informations, mais cela ajouterait 14 octets complètement inutiles à chaque réponse HTTP. Avec le volume de demandes de Google, ces quelques octets pourraient bien ajouter jusqu'à plus de bande passante que votre petit site Web moyen utilise au total .

Ilmari Karonen
la source
La taille des paquets est généralement d'environ 1 000 octets, donc économiser quelques octets n'aura (littéralement) aucun effet sur la vitesse. Uniquement si le total de tous les en-têtes déborde dans un paquet supplémentaire.
DisgruntledGoat
Un en-tête de 100 octets, comme celui cité dans la question, pourrait bien entraîner la longueur combinée des en-têtes de réponse et du contenu dans un paquet supplémentaire. De plus, le comptage de paquets ne raconte toute l'histoire que pour des connexions purement limitées en temps de latence. Dans les situations (au moins partiellement) à bande passante limitée (telles que les connexions mobiles lentes ou les grands centres de données avec un volume de demande énorme), la quantité totale d'octets transmis commence également à avoir de l'importance.
Ilmari Karonen du