PHPを使用していることを明らかにしない方法は?
私はWebサイトを構築していますが、一部のWebツールとブラウザプラグインを使用すると、Webサイトが構築されたテクノロジに関する情報を誰でも取得できます。私たちがphpを処理するサーバーで作業していることを明らかにしない代替手段はありますか?
絶対に必要な場合を除き、誰にも情報を提供しないでください。
PHP.iniでexpose_php=offを設定する必要があります。これは、PHPに、「x-powered-by」HTTPヘッダーと、それを識別するために使用できる奇妙なクォークを公開しないように指示します。また、display_errors=Offを設定して、 PHPおよびSQLインジェクションなどのエラーベースの脆弱性を特定するために使用されます。これらの2つの構成はすべての本番システムで使用する必要があります。さらに進んで、.php拡張子を削除または変更できますmod_rewriteで。
これは、サービスバナーを介してバージョン情報を公開する「バナー情報開示」と同じです。この情報を抑制するようにHTTPDを構成できるはずです。 Apacheプロダクション環境では、ServerTokens ProductOnlyを設定してください(tftdに感謝)。しかし、これはバージョン番号を削除するだけです。Word "Apache"を削除したい場合は、mod_securityを使用する必要があります。
嘘をつくこともできます> :)。 mod_headerを使用して、偽のx-powered-byを含む任意のヘッダーを設定し、mod_rewriteを使用して.aspxファイル拡張子を採用することができます。
次の値を調整することで、あいまいさを介してセキュリティをもう少し実現できます。
php_flag display_startup_errors off
php_flag display_errors off
php_flag html_errors off
php_value docref_root 0
php_value docref_ext 0
ここでいくつかの良いアドバイスを見つけることができます: