Hi,

Du scheinst hier wohl »Security by Obscurity« anzusprechen.

Nein, das ist, wie Du schon weiter oben richtig vermutet hattest nur für einen eventuellen Zeitgewinn. Obwohl die Angriffe auf Webserver meist mit der großen Keule als Rundumschlag erfolgen. Die Abfrage, was der Server antwortet bringt nicht viel und kostet somit nur. Es würde also nur bei einem gezieltem Angriff etwas Zeitgewinn bringen, aber bei einem gezielter Angriff speziell und nur auf euren Server hilft das auch nicht mehr, denn dann geht's richtig rund.

Wie macht man das eigentlich, dass sich in diesem String überhaupt kein »Apache« mehr findet - ein einfaches

ServerTokens Prod
ServerSignature Off

> tut es ja nicht.  
  
(Oh, gibt's sogar schon "Bunt" für die httpd.conf in der Forumssoftware? ;-)  
  
Nein, da mußt Du schon in Deiner Apacheversion nach der "Server:" header-Anweisung suchen und umschreiben. In dem 1.3er der mir vorliegt (1.3.28? Muß auch dringend mal ausmisten ;-) sind in $APACHE\_PACKET/include/httpd.h ungefähr ab Zeile 429 die Strings definiert. Das ENUM darunter ist der Schalter für die "Geschwätzigkeit" der Meldung. Wenn Du das geändert hast, z.B. so:  
- #define SERVER\_BASEPRODUCT  "Apache"  
+ #define SERVER\_BASEPRODUCT  "Webserver"  
Dann klappt's auch mit  
~~~apache
  
ServerTokens Prod  
ServerSignature Off  

Irgendwo hatte ich doch auch noch einen 2er? Achso, da heißt das Paket ja jetzt "httpd" statt "apache" *grummel*
Da ist es in $HTTPD_PACKET/include/ap_release.h definiert. Ich habe es nicht ausprobiert müßte aber genau so wie beim 1.3er funktionieren.

so short

Christoph Zurnieden