许多网站建议将以下选项设置为最低级别:
# /etc/apapce2/conf-available/security.conf
ServerTokens Prod
ServerSignature Off
但是,那Apache 2.4 文档说:
不建议将 ServerTokens 设置为低于最低限度,因为这会使调试互操作问题变得更加困难。另请注意,禁用 Server: 标头对提高服务器安全性毫无作用。“通过隐蔽性实现安全”的想法是一种神话,会导致错误的安全感。
我倾向于站在 Apache 开发人员一边,但我这样做正确吗?如果我广播我的 Apache 版本,我会面临哪些风险?
答案1
当黑客利用零日漏洞攻击你时,这将使他们更容易选择正确的参数。