Подтвердить что ты не робот

Поворот expose_php OFF в php.ini

Мне сообщили, что наличие expose_php = On в моем php.ini является проблемой безопасности и, следовательно, не совместимо с PCI.

Мои исследования на нем до сих пор говорят о том, что отказ от него является низким риском и по существу прекратит отправку PHP-версии в заголовок, однако мне интересно, есть ли какие-либо проблемы, возникающие в результате этого изменения.

Потенциальные проблемы, о которых я думаю, - это сторонние сервисы (поставщики платежей, системы отслеживания электронной почты, API-интерфейсы потоковой передачи видео), которые ожидают, что вы ответите заголовком, который указывает, что вы используете версию PHP, возможно, над определенной версией?

Если это будет плавное изменение или это может иметь проблемы?

4b9b3361

ОТВЕТЫ

Ответ 1

Это правильно.

Настройка expose_php = Off просто запрещает веб-серверу отсылать заголовок X-Powered-By.

Хотя можно сказать, что потенциальные хакеры могут искать устаревшие версии PHP с дырами в области безопасности для использования, они могут потенциально сделать то же самое, даже если заголовок был отключен. На мой взгляд, это хорошо, но не ожидайте, что он предоставит много защиты.

В плане взаимодействия с сторонними службами им не нужно заботиться о том, какую версию PHP вы используете. Они должны иметь возможность обслуживать контент в форматах платформы-агностики, таких как JSON, XML и т.д., Чтобы сервисы могли потребляться любой платформой, а не только PHP.

В любом случае, для того, чтобы полагаться на "потребительскую" версию PHP бесполезно, поскольку заголовок можно легко отключить и, возможно, даже манипулировать администратором сервера.

Поэтому не должно быть проблем с его отключением.

Ответ 2

При отключении expose_php не должно быть никаких отрицательных побочных эффектов.

Все, что он делает, это удалить заголовок X-Powered-By и остановить параметры GET от возврата кредитов и изображений PHP.

Любое стороннее приложение, которое полагается на заголовок, является изворотливым. Вы можете всегда обманывать заголовок, если требуется.

Ответ 3

Нет никакого вреда при включении или выключении этой опции.

Отключение от него не добавит никакой безопасности на ваш сайт. Эти инструменты script -kiddie настолько тупые, что они никогда не удосуживаются рассказать одну платформу от другой.

Не говоря уже о том, что если на вашем сайте есть какая-то инфраструктура /CMS, бесполезно скрыть присутствие PHP.

Ответ 4

Никакой угрозы безопасности не существует, но публикация устаревшей версии PHP может быть приглашением для хакеров, чтобы попытаться использовать хорошо документированные "дыры" в прошлых версиях.

Что касается сторонних сервисов, они независимы от платформы и не должны заботиться о том, какую версию PHP мы используем. При необходимости мы можем просто установить пустой заголовок или как ниже.

header('X-Powered-By: Venu');