Für Angreifer von Webservern könnte die Information der jeweiligen Webservervariante hilfreich sein, so könnte man beispielsweise entscheiden, welche Art von Angriff sich lohnt. Außerdem ist es möglich, die Update-Policies der Webserver Betreiber zu beobachten, also beispielsweise ob ein Betreiber jeweils kurz nach dem Bekanntwerden von Schwachstellen ein Update durchführt oder ob dies erst zu einem anderen Zeitpunkt geplant wird.
Um den Zugriff auf diese Informationen zu verhindern, kann es empfehlenswert sein, die jeweilige Version des Webservers nicht anzuzeigen, sowohl im Header der HTTP/HTTPS Anfrage wie auch auf Fehler/Response-Seiten (wie 404, 403,..).
Um die Ausgabe der Webserver-Version bei Apache Webservern zu verbergen müssen die Konfigurationsparameter
ServerSignature Off
ServerTokens Prod
gesetzt werden.
Diese Webserver-Konfiguration ist bei Debian bereits vorausgefüllt, jedoch mit anderen Parametern in der Konfigurationsdatei:
/etc/apache2/conf-enabled/security.conf
Auf den Fehler/Response-Seiten wird mittels ServerSignature Off
die Apache-Version unterbunden und im HPPT/HTTPS Header geschieht dies durch den Parameter ServerTokens Prod
. Im Header wird jetzt nur noch Server: Apache
angezeigt anstelle der vollständigen Versionsnummer.
Überprüfen kann man die HTTP/HTTPS Header mittels:
curl -v http://foo.bar