Misalnya, ketika saya membuang header respons untuk server saya, saya mendapatkan:
Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g
Apakah ini digunakan untuk apa saja? Apakah ini risiko keamanan (walaupun kecil) menyiarkan riasan server?
Jawaban:
Tidak, itu tidak digunakan untuk hal yang penting. ( Survei pangsa pasar server Netcraft mungkin menggunakannya, seperti yang mungkin dilakukan survei pihak ketiga lainnya.)
Ya, ini adalah masalah keamanan (sangat) kecil. Tentu saja server Anda harus diamankan dan mutakhir setiap saat, tetapi memiliki lapisan tambahan 'ketidakjelasan' di atas server yang diamankan dengan baik hanya bermanfaat. Jika tidak ada yang lain, jika seorang penyerang perlu melakukan ' sidik jari ' yang luas sebelum menyerang, maka Anda mungkin mendapatkan peringatan dini tentang serangan jika Anda memonitor file log Anda dengan cermat.
Anda dapat dengan aman menolak tingkat detail yang disiarkan jika Anda mau . Di sisi lain, ini bukan masalah besar, dan jika Anda berada di server bersama di mana Anda tidak dapat mengubahnya, maka jangan berkeringat.
Dengan header Server yang terlalu lama, memperpendeknya atau membuangnya seluruhnya juga bisa memberikan manfaat kinerja yang sangat kecil.
Seperti yang dicatat Jesper, ini bukan masalah besar, tetapi jika Anda mencoba memeras setiap milidetik tambahan dari waktu pemuatan laman Anda, itu bisa membuat perbedaan - terutama jika Anda memuat banyak file kecil, yang buruk dari sudut pandang kinerja itu sendiri, tetapi kadang-kadang tidak dapat dihindari.
Saya menduga itu salah satu alasan mengapa, misalnya, webservers Google hanya mengatakan:
Server: gws
atau
Server: sffe
Tentu, mereka bisa menyebut "gws" sebagai "Google Web Server" tanpa mengungkapkan informasi lebih lanjut, tetapi itu akan menambahkan 14 byte yang sama sekali tidak berguna untuk setiap respons HTTP. Dengan volume permintaan Google, beberapa byte itu mungkin menambah bandwidth lebih dari total rata-rata situs web kecil Anda gunakan .