On Sat, 19 Oct 2002, Webmaster AV wrote:
> Но есть еще парочка вопросов. Имеет место быть желание
> дезинформировать клиентов апача по поводу версии и
> встроенных модулей. В связи с этим:
>
> 1) что в исходниках поменять, чтобы апач выдавал в
> ответе клиенту в строке "Server:" не свою настоящую
> версию, а что-то другое; И при этом бы ничего не
> говорил о встроенных модулях (в моем случе - про PHP).
> ??
ServerTokens ProductOnly
Будет просто Apache.
> 2) какие версии апачи были в его истории неуязвимы для
> удаленной атаки (со 100% гарантией) ? Желательно,
> чтобы эта вресия была проверена временем - чтобы
> вероятность обнаружения в ней дыр в будущем была
> минимальна.
"Полное спокойствие может дать человеку только страховой полис."
Похоже, у всех до 1.3.26 есть проблемы с chunked encoding и
никто не гарантирует, что они не появятся в будущем.
А вообще security by obscurity - плохой помощник.
Игорь Сысоев
=============================================================================
= Apache-Rus@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-rus" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 . Design (C) 1998 Max Smolev.
