Hallo Ashura, hallo die Anderen

Aber eine andere Idee: Was passiert wenn ich im PHP Script einen Header X-Powered-By sende? Ich meine, dann würde die Angabe von PHP überschrieben...

Wird sie auch. (Eben ausprobiert.)

Hierzu habe ich auch was zu melden/fragen, passt nicht ganz zum Hauptthema dieses Threads, aber zu den von PHP überschriebenen Headern:

Ich habe mal ein php-script im img-tag eingesetzt (<img src="bild.php?id=123" ...), welches alle notwendigen header gesendet hat, unter anderem auch für's cachen und expire. Die wurden aber von PHP (oder Apache?) überschrieben, bzw. unerwünscht ergänzt.

Ich wollte z.B. senden: Pragma cache und heraus kam: Pragma no-cache
usw.
Warum ist das so, bzw. kann man das und wenn ja, wie, ändern?

Gruß,
FF

Lieber Dennis

Wenn PHP einen Header mitsendet, aus dem klipp und klar hervorgeht, dass PHP verwendet und wird und auch noch die Versionsnummer genannt wird, ist das wie wenn du deine Haustür zwar abschließt, aber den Schlüssel unter die Fußmatte legst - da gucken Einbrecher doch wohl als erstes nach!

Naja, aber wenn nun die Fussmatte gut getarnt ans
STück des 20000pm großen Vorgartens da liegt,
dann wirds schon schwieriger.

Ne, mal im Ernst, es ist schon klar, dass die Sicherheit
der Scripte selbst natürlich allerhöchste Priorität hat.

Ich wollte je von Euch eigentlich nur wissen,
ob es irgendwelche Aspekte gibt, die gegen das "Tarnen"
von PHP sprechen.

Gruß
Ingo

Tach Jonathan

OK, verstehe.
Also meinst Du, ich sollte auf sowas verzcihten?
Was sagst Du denn zu dem Argument "schaden kanns nicht"?

die Einschleusung von <script>-Tags kann man z.B. immer probieren

Meine Idee hinter dem Anliegen, PHP zu verbergen,
ist eben genau dazu nicht "einzuladen" sozusagen.
Also anders gesagt "keine schlafenden Hunde wecken".

Gruß
Ingo

Tach eddi

zum einen kannst Du Dich mit mod_rewrite beschäftigen. Google: apache mod_rewrite howto

OK, prima.
Ich bin auch schon seit ca 1 Stunde hier am rumgoogeln nach
mod-_rewrite. Aber das ist ja schon alles sehr umfangreich.
Und den Teil für mein konkretes Anliegen (Dateiendungen auszublenden)
da zu finden, ist für mich doch ziemlich schwierig :)
Aber ich bleib weiter dran.

Zum anderen kannst Du PHP selbst dazu nutzen. <http://forum.de.selfhtml.org/archiv/2004/8/t88045/#m524384@titel=archiv 88045> ff. archiv 76745 ff.

Ui, das ist mir leider doch zur Zeit noch zu hoch.
Ich würde das lieber doch mit mod_rewrite machen.

Papelapap! Duckmäusern kannst Du, wenn Du Mist machst. Fragen sind kein Mist und genau hier (ins Forum) gehören sie hin!

OK, prima.

macht mein kleines Script genau das Gegenteil. Es zeigt ausschließlich die HTTP-Header.

OK, das ist doch dann im Grunde das gleiche wie das hier, oder?

Nun denn.
Nach all Euren Ratschlägen scheint es mir doch inzwischen am sinnvollsten,
dafür zu sorgen, dass einfach alle Dateinamenerweiterungen nicht angezeigt werden.

Dass es also heist:
http://spaceart.de/_Test2/index
http://spaceart.de/_Test2/listen/modelle-science-fiction-fantasy-a
http://spaceart.de/_Test2/geschenkgutscheine
http://spaceart.de/_Test2/nr/kontakt-email
u.s.w.

Oder?

Gruß
Ingo

Tach Gunnar

Was spricht gegen das schon erwähnte 'Options +MultiViews' und fertig?

Das in die .htaccess eingetragen und der Server liefert auf Anfrage nach 'http://example.net/foo' 'http://example.net/foo.html' aus (falls vorhanden). Oder 'http://example.net/foo.shtml' (falls vorhanden). Oder 'http://example.net/foo.php'(falls vorhanden).

Ja, das klingt ja noch interessanter.
Das ist doch im Grunde ganz genau, dass, was ich erreichen möchte.

Wie verhält es sich denn, wenn auf meinem Server die Datei
'http://example.net/foo.htm' vorhanden ist, der User aber
'http://example.net/foo.html' im Browser eintippt?

Bei Jeena ist es prima gelöst, finde ich.
Intern wird z.B. verlinkt auf http://jeenaparadies.net/webdesign/referenzen
Aber auf folgende Aufrufe führen zur gleichen Resource:
http://jeenaparadies.net/webdesign/referenzen.htm
http://jeenaparadies.net/webdesign/referenzen.php
http://jeenaparadies.net/webdesign/referenzen.trallalla
Das scheint mir doch sehr sinnvoll.
Damit kommen auch die User zum gewünschten Ziel, die
notorisch immer ein ".html" oder so, an alle URLs anhängen.
(Solls wirklich geben)

Also wenn deine Fragen laienhafter Art sind, dann sind viele andere Fragen hier auf dem Niveau von Idiotie. ;-)

:))

Ich freue mich über jeden Thread, wo ich aus den Antworten der anderen (evtl. sogar schon aus den Fragen) dazulernen kann. Deine sind oft solche.

OK, freut mich doch sehr, Dir noch was beibringen zu können
(indirekt jedenfalls).  Nee, nur ein kleiner Schwertz zum Sonntag.

Gruß
Ingo

Hallo,

Was spricht gegen das schon erwähnte 'Options +MultiViews' und fertig?

dazu möchte ich, insbesondere bezogen auf das ursprüngliche Ansinnen für Sicherheit zu sorgen, aber anmerken, das hierbei ebenso HTTP-Header generiert werden, die für Angreifer ebenso auswertbar sind:

Responseheader:

Content-Location: index.php
Vary: negotiate
TCN: choice

Also wird auch hierbeit einem Angreifer ersichtlich, daß PHP genutzt wird. Dies ist nur als Hinweis gedacht, denn dies ließe sich z. B. mit AddHandler/AddType/ForceType relativ einfach ändern.

Gruß aus Berlin!
eddi

Hi Cybaer

Also ich habe nichts gegen .php. ;-)

Aber es kommt auch vor, daß ich die Endung "tarne" (besser: "vereinheitliche") - und dann als .htm(l). Wichtig ist ja ohnehin nur, was hinten rauskommt. ;-) Das mache ich allerdings nicht aus "Sicherheitsgründen", sondern nur der Optik wegen, bzw. wenn ich mir die Technik offenhalten möchte, mit der die Seiten generiert werden, bzw. die Seiten auch für lokalen Betrieb gedacht sind (also von Festplatte oder CD-ROM).

OK, ich verstehe.

Man glaubt garnicht, mit was für DAUs man bei solchen Überlegungen
zu tun bekommt :)

Und da ich auf meiner Seite natürlich so weinig User wie möglich
"aussperren"/"abschrecken"/"verunsichern" will,
ist es vielleicht doch am besten, auf die klassische
(und auch dem Anfänger gewohnte) Anzeigeform mit Dateiendung
zu setzen, denke ich (inzwischen).

Gruß
Ingo

Hi Cybaer,

Also wenn ich das so im Header sehen würde, dann würde *ich* doch spontan denken: Och guck. Da hat einer PHP-Seiten, und den Header nicht ändern können ... >;-)

Auch wenn du im Prinzip natürlich Recht hast - es gibt auch noch andere Software, die ein X-Powered-By  versendet, z.B. schicke ich bei größerern Web-Applikationen immer noch ein X-Powered-By: <Applikation>  mit ;-)

Abgesehen davon sollte man mit mod_headers das X-Powered-By auch wieder löschen können:
[link:http://httpd.apache.org/docs/2.0/mod/mod_headers.html#header@title=Header] unset "X-Powered-By"

MfG, Dennis.

Hallo,

Nun habe ich aber ein Problem mit Options +MultiViews.
Ich habe das genau so in meine .htaccess-Datei geschrieben.
Demnach müsste sich doch die Seite http://spaceart.de/_Test2/agb.php
nun auch unter http://spaceart.de/_Test2/agb aufrufen lassen.
Aber leider will das nicht funktionieren.

wie zu sehen ist wird das Dokument gefunden, aber ich werden aus dem Status nicht schlau.
Sind alle Dokumente von Deinem Projekt PHP-Script?

Gruß aus Berlin!
eddi