Security by Obscurity
Sicherheit durch Verschleierung und Verstecken von Informationen
Ein Mehr an Sicherheit wird durch Verschleiern und Verstecken von Informationen erreicht. Je weniger der Angreifer an Informationen bekommt, desto besser und desto schwerer wird er sich beim Angreifen tun.
So ist eine Maßnahme, die Dateiendungen „.php“ nicht mehr zu zeigen. Denn an den Dateiendungen ist sofort ersichtlich, dass es sich um eine PHP-Anwendung handelt. Über eine einfache Einstellung werden beliebige Dateiendungen durch den PHP-Interpreter geparst. Um sich nicht selber ein Bein bei Suchmaschinen zu stellen, sollte die Endung „.htm“ bzw. „.html“ verwendet werden.
Wenn jetzt allerdings alle normalen HTML-Dateien auch durch den PHP-Parser gejagt werden, steigt die Last auf dem Webserver. Daher hier als Tipp – geben Sie den normalen HTML-Dateien die Endung .htm und den Dateien, die PHP-Code enthalten, die Endung .html.
Damit andere Endungen geparst werden, tragen Sie entweder in der Konfigurationsdatei vom Apache-Webserver (httpd.conf) oder in der .htaccess-Datei folgende Zeile ein:
AddType application/x-httpd-php .html
Danach den Webserver frisch starten und ab nun werden auch .html durch den PHP-Interpreter geparst und können PHP-Code enthalten.
X-Powered-By: PHP/X.X.X
Die verräterische Angabe von „X-Powered-By: PHP/X.X.X“ ist vollständig unnötig. Sie wird im http Header übertragen, wie im folgenden Screenshoot schön zu sehen, und dient nur zu statistischen Zwecken (nicht für Sie).
Um diese Information auszuschalten, wird in der php.ini-Konfigurationsdatei expose_php
deaktiviert!
Diese können Sie ohne Sorgen ausschalten, denn außer zu statistischen Zwecken (nicht für Sie selber) hat diese keine Funktion.
in php.ini also auf:
expose_php = Off
Danach ist durch den http-Header keine PHP-Version mehr erkennbar:
Wenn Sie einen Fehler finden, bitte mitteilen (egal ob Schreibfehler oder inhaltlicher Fehler).
Mit Maus fehlerhafte Stelle markieren und übernehmen mit folgendem Button: