Hi,
warum gibt es den HTTP Header und welchen Zweck soll er erfüllen?
Ich finde, es ist ein Sicherheitsrisiko, diese Header zu nutzen da im falle einer Sicherheitslücke, Bots auf einfachste Art und Weise in der lage wären, die richtige Version des CMS zu finden. Ohne diesen Headern, müsste erst ein Angriff gefahren werden, um zu sehen, ob die Version des PHPWCMS verwundbar wäre (im Falle einer vorhanden Sicherheitslücke) was in verschiedenen IDS auffallen würde.
Vielleicht kann jemand mir hier etwas Klarheit über den Zweck des Headers verschaffen.
Grüße
Olli
http Header X-phpwcms-Release
-
Olli_another_one
- Posts: 48
- Joined: Sun 25. Mar 2007, 01:03
- Contact:
Re: http Header X-phpwcms-Release
Der "Header" ist relativ wichtig, kurz gesagt. Die Relase-Info eher weniger, aber bisweilen ganz interessant. 
Bot's veröffentlichen die doch nicht - interessiert die (beinahe) noch nicht einmal. Und sollte eine Sicherheitslücke bestehen, wird diese nicht etwa durch das Verbergen/Verstecken der Release-Info gestopft. Da hilft dann nur, auf einen Patch zu warten und entsprechend upgraden. 
Bot's veröffentlichen die doch nicht - interessiert die (beinahe) noch nicht einmal. Und sollte eine Sicherheitslücke bestehen, wird diese nicht etwa durch das Verbergen/Verstecken der Release-Info gestopft. Da hilft dann nur, auf einen Patch zu warten und entsprechend upgraden. 
Re: http Header X-phpwcms-Release
Ich habe eben eine Site auf r267 ge-updated und habe dies: X-phpwcms-Release: 1.3.9 (2008/06/18). Das sollte für genügend Verwirrung auch unter den Bots sorgen 
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Re: http Header X-phpwcms-Release
prima, dass es geklappt hatclaus wrote:Ich habe eben eine Site auf r267 ge-updated...
bingo-bongoclaus wrote:...X-phpwcms-Release: 1.3.9 (2008/06/18). [ ] genügend Verwirrung [ ] Bots [ ]
-
Olli_another_one
- Posts: 48
- Joined: Sun 25. Mar 2007, 01:03
- Contact:
Re: http Header X-phpwcms-Release
Ich bin mir bewusst was "Security bei Obscrity" bedeutet. Verblödeln muss man das Thema allerdings nicht. Am Ende wäre ich, wenn ich einen großen Gebäudekomplex beaufsichtigen müsste irgendwie verstimmt, wenn eine Liste an die Öffentlichkeit käme, in der gelistet wäre welches Schloss von welchem Hersteller an welcher Türe ein gebaut ist.
Olli
Olli
Re: http Header X-phpwcms-Release
in Zeile 200 der index.php steht:
Das kannst Du ja änders in:
Da stehen noch mehr Sachen, die Du ausblenden oder umschreiben kannst....
Code: Select all
// write phpwcms release information in a custom HTTP header
header('X-phpwcms-Release: ' . $phpwcms["release"] . ' ('.$phpwcms["release_date"].')');Code: Select all
// write phpwcms release information in a custom HTTP header
//header('X-phpwcms-Release: ' . $phpwcms["release"] . ' ('.$phpwcms["release_date"].')');
//alternativ:
header('X-Eisenbahn-Release: Die Lampe brennt - der Schaffner rennt');
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Re: http Header X-phpwcms-Release
ähnliche listen sind ja seit geraumer zeit vorzugsweise im umlauf. und auch ohne solche kann man herausfinden, um welches "türschloss" von welchem hersteller es sich handelt. zunächst müsste man aber erst einmal das jeweilige "haus" finden.
und solange es keinen "gebäudeplan" gibt, der auch die "tunnel" und "hintertüren" offenlegt, besteht m.M.n. kein Grund zur Sorge.
Infos dazu, finden sich hier: http://forum.phpwcms.org/viewforum.php?f=13
Und wenn doch ein Einbruch passierte, kann man bei guten Providern das Backup vom Vortag einspielen - abgesehen von weiteren ggf.Strafverfolgungsmaßnahmen...
Das ist keine Antwort im Sinne deiner Frage, aber m.E. geht vom "Header" eben keine Gefahr aus.
Wozu der gut ist --> googeln
Umgekehrt: wenn Du also erfahren kannst (s.o.), wie Dein "Haus vor Einbrüchen" zu schützen ist, diesen Schutz aber nicht herstellst bzw. entsprechende Vorkehrungen nicht triffst,dann ... [ ]. Versicherer vertreten in diesen Fällen eine eindeutige, einheitliche Auffassung.
und auch ohne solche kann man herausfinden, um welches "türschloss" von welchem hersteller es sich handelt. zunächst müsste man aber erst einmal das jeweilige "haus" finden.und solange es keinen "gebäudeplan" gibt, der auch die "tunnel" und "hintertüren" offenlegt, besteht m.M.n. kein Grund zur Sorge.
Infos dazu, finden sich hier: http://forum.phpwcms.org/viewforum.php?f=13
Und wenn doch ein Einbruch passierte, kann man bei guten Providern das Backup vom Vortag einspielen - abgesehen von weiteren ggf.Strafverfolgungsmaßnahmen...
Das ist keine Antwort im Sinne deiner Frage, aber m.E. geht vom "Header" eben keine Gefahr aus.
Wozu der gut ist --> googeln
Umgekehrt: wenn Du also erfahren kannst (s.o.), wie Dein "Haus vor Einbrüchen" zu schützen ist, diesen Schutz aber nicht herstellst bzw. entsprechende Vorkehrungen nicht triffst,dann ... [ ]. Versicherer vertreten in diesen Fällen eine eindeutige, einheitliche Auffassung.