ログイン



Archive for 9月, 2013

PHPのバージョンを隠す

9月 15th, 2013 by

 PHP5.5がリリースされてから3ヶ月が過ぎようとしている。新規開発のWebサイトであれば、PHP5.5を前提に開発している場合もあるだろうが、既存のWebサイトの多くでは未だにPHP5.2や5.3が使われている。古いバージョンのPHPを使い続けることによってセキュリティーリスクは増大するが、かといって、無計画にPHPのバージョンを上げることはできない。PHP5.2で動いていたWebアプリケーションが、PHP5.5で動く保証はない。良くて大量の警告が発生する。最悪の場合は全く動かない。

 バージョンアップできなければどうすればよいのだろうか?せめて、バージョン情報を晒すのを辞めてはどうだろうか?(yahoo.co.jp、google.com、apple.com、amazon.co.jpなど大手のサイトでは、どれもバージョン情報を隠しているが、大手ニュースサイトでもバージョン情報を隠していないサイトは多い。)

・HTTP Header/X-Powered-By:PHP/x.y.zを非表示に
php.iniのexpose_phpをOnからOffに変更する。
expose_php = On
expose_php = Off

・HTTP Header/Server: Apache/x.y.zを非表示に
httpd.confのServerTokensをProductOnlyに変更する。
ServerTokens ProductOnly

・エラーページからバージョン表示を消す
httpd.confのServerSignatureをOnからOffに変更する。
ServerSignature On
ServerSignature Off

  • You are currently browsing the PHP6.jp blog archives for 9月, 2013.