ログ日記

作業ログと日記とメモ

webサーバのバージョンは表示する?


Apacheバージョンを隠すのは無意味だが、例えばPHPPHPは隠さないと怖いという気持ちは理解できる。むしろPHPって時点で目をつけられるってことでまず拡張子隠したら?

うーん。


取り敢えず有名所のサーバを一通り見てみる。

$ HEAD www.hatena.ne.jp | grep ^Server
Server: Apache

$ HEAD www.google.com | grep ^Server
Server: gws

$ HEAD www.yahoo.com | grep ^Server

$ HEAD www.amazon.com | grep ^Server
Server: Server

$ HEAD takagi-hiromitsu.jp |grep ^Server
Server: Apache/1.3.37 (Unix)

DebianのApache2.confでのデフォルトはFullになっているけど

ServerTokens OS
ServerSignature EMail

ぐらいが妥当か。


ちなみに

ServerTokens ProductOnly

の解説をよく見かけるけど、設定ファイルのコメントには

# Set to one of:  Full | OS | Minor | Minimal | Major | Prod

と書いてある。コピペで伝染していったのかな。