web-dev-qa-db-ja.com

php.iniでExposure_phpをオフにする

expose_php = On私のphp.iniにはセキュリティの問題があるため、PCIに準拠していません。

これまでの私の研究は、それをオフにすることはリスクが低く、ヘッダーのPHPバージョンを送信することを本質的に停止することを示唆していますが、何か問題が発生する可能性があるかどうか疑問に思っていますこの変更の裏側。

私が考えている潜在的な問題は、おそらく特定のバージョンでPHPのバージョンを実行していることを示すヘッダーで応答することを期待するサードパーティサービス(支払いプロバイダー、電子メール追跡システム、ビデオストリーミングAPI)ですか?

これはシームレスな変更である必要がありますか、それとも問題の可能性がありますか?

32
crmpicco

そのとおりです。

expose_php = Offを設定すると、WebサーバーがX-Powered-Byヘッダーを返送できなくなります。

潜在的なハッカーはPHPの古いバージョンを利用してセキュリティホールを悪用する可能性があると言えますが、ヘッダーがオフになっていても同じことを行う可能性があります。私の意見では、それは良いことですが、多くの保護を提供することを期待しないでください。

サードパーティのサービスとのやり取りに関しては、使用しているPHPのバージョンを気にする必要はありません。サービスは、PHPだけでなく任意のプラットフォームで使用できるように、JSON、XMLなどのプラットフォームに依存しない形式でコンテンツを提供できる必要があります。

いずれにしても、ヘッダーを簡単にオフにしたり、サーバー管理者が操作したりする可能性があるため、「コンシューマ」PHPバージョンに依存することは無意味です。

したがって、それをオフにすることは問題になりません。

54
F21

expose_phpを無効にしても、悪影響はありません。

X-Powered-Byヘッダーを削除し、GET paramsがPHPクレジットと画像を返すのを止めます。

ヘッダーでreliesのサードパーティアプリケーションは危険です。必要に応じて、ヘッダーをいつでも偽装できます。

7
alex

このオプションをオンまたはオフにしても、まったく害はありません。

ただし、オフにしてもサイトにセキュリティは追加されません。これらのスクリプトキディツールは非常に馬鹿げているため、あるプラットフォームと別のプラットフォームを区別する必要はありません。

サイトが何らかのフレームワーク/ CMSベースの場合、PHPプレゼンスを隠すことは無意味です。

3

セキュリティの脅威はありませんが、PHPの古いバージョンを公開すると、ハッカーが過去のバージョンで十分に文書化された「穴」を悪用しようとする可能性があります。

サードパーティのサービスに関しては、プラットフォームに依存せず、どのバージョンのPHP=を使用しているのかを気にする必要はありません。必要に応じて、単に空のヘッダーなどを設定できます。

header('X-Powered-By: Venu');
3