webサーバのバージョンは表示する?
Apacheのバージョンを隠すのは無意味だが、例えばPHP。PHPは隠さないと怖いという気持ちは理解できる。むしろPHPって時点で目をつけられるってことでまず拡張子隠したら?
うーん。
取り敢えず有名所のサーバを一通り見てみる。
$ HEAD www.hatena.ne.jp | grep ^Server Server: Apache $ HEAD www.google.com | grep ^Server Server: gws $ HEAD www.yahoo.com | grep ^Server $ HEAD www.amazon.com | grep ^Server Server: Server $ HEAD takagi-hiromitsu.jp |grep ^Server Server: Apache/1.3.37 (Unix)
DebianのApache2.confでのデフォルトはFullになっているけど
ServerTokens OS ServerSignature EMail
ぐらいが妥当か。
ちなみに
ServerTokens ProductOnly
の解説をよく見かけるけど、設定ファイルのコメントには
# Set to one of: Full | OS | Minor | Minimal | Major | Prod
と書いてある。コピペで伝染していったのかな。