Security by Obscurity

Sicherheit durch Verschleierung und Verstecken von Informationen

Ein Mehr an Sicherheit wird durch Verschleiern und Verstecken von Informationen erreicht. Je weniger der Angreifer an Informationen bekommt, desto besser und desto schwerer wird er sich beim Angreifen tun.

So ist eine Maßnahme, die Dateiendungen „.php“ nicht mehr zu zeigen. Denn an den Dateiendungen ist sofort ersichtlich, dass es sich um eine PHP-Anwendung handelt. Über eine einfache Einstellung werden beliebige Dateiendungen durch den PHP-Interpreter geparst. Um sich nicht selber ein Bein bei Suchmaschinen zu stellen, sollte die Endung „.htm“ bzw. „.html“ verwendet werden.

Wenn jetzt allerdings alle normalen HTML-Dateien auch durch den PHP-Parser gejagt werden, steigt die Last auf dem Webserver. Daher hier als Tipp – geben Sie den normalen HTML-Dateien die Endung .htm und den Dateien, die PHP-Code enthalten, die Endung .html.

Damit andere Endungen geparst werden, tragen Sie entweder in der Konfigurationsdatei vom Apache-Webserver (httpd.conf) oder in der .htaccess-Datei folgende Zeile ein:

AddType application/x-httpd-php .html

Danach den Webserver frisch starten und ab nun werden auch .html durch den PHP-Interpreter geparst und können PHP-Code enthalten.

X-Powered-By: PHP/X.X.X

Die verräterische Angabe von „X-Powered-By: PHP/X.X.X“ ist vollständig unnötig. Sie wird im http Header übertragen, wie im folgenden Screenshoot schön zu sehen, und dient nur zu statistischen Zwecken (nicht für Sie).

X-Powered-By: PHP/X.X.X im HTTP-Header

X-Powered-By: PHP/X.X.X im HTTP-Header

Um diese Information auszuschalten, wird in der php.ini-Konfigurationsdatei expose_php deaktiviert!

Diese können Sie ohne Sorgen ausschalten, denn außer zu statistischen Zwecken (nicht für Sie selber) hat diese keine Funktion.

in php.ini also auf:

expose_php = Off

Danach ist durch den http-Header keine PHP-Version mehr erkennbar:

kein Verrat mehr durch X-Powered-By: PHP/X.X.X
kein Verrat mehr durch X-Powered-By: PHP/X.X.X