2007年3月21日水曜日

PHPのバージョン情報をクラアントに教えない設定

 PHPはhttpヘッダの中でバージョン情報をクライアントに伝えている。
 知らなかった。たまたまhttpヘッダの中を見て唖然とした。「X-Powered-By ○○」という形ではっきりと伝えている。ApacheのServerTokensをProdにしている意味が半減だ。

 調べたところ、php.iniのexpose_phpをoffにすればこの通知はなくなることが判明。
 デフォルトでoffにしてくれればいいのに。この設定の説明を読むと、「onでもセキュリティに問題はないよ!」みたいに書いてあるけど、いいのかな?

0 件のコメント:

ブログ アーカイブ

tags