Mai 13, 2013
Kommentieren

Apache: HTTP Methoden deaktivieren

Um beim Apache Webserver die HTTP Methoden zu erlauben oder zu unterbinden, sollte die LIMIT Direktive verwendet werden. Ein Beispiel: <Limit TRACE OPTIONS> Require valid-user </Limit> Auf diese Weise können die Methoden TRACE und OPTIONS nur von einem authentifizierten Benutzer … Continue reading

April 8, 2013
3 Kommentare

Apache: Schwache SSL Ciphers deaktivieren

Falls Sie SSL verwenden, sollten Sie beim Apache Server  sämtliche schwachen  Ciphers deaktivieren. Dies erfolgt über folgende Direktive: SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:!LOW:!SSLv2:!EXPORT Um Ihre SSL Konfiguration weiter zu härten, sollten Sie zusätzlich die SSLv2 und SSLv3 Protokolle deaktivieren. Testen Sie anschliessend Ihre Apache … Continue reading

April 8, 2013
1 Kommentar

Apache Header filtern

Einige Frameworks verewigen sich auch gerne im HTTP Header und bieten keine Möglichkeit, diesen Informationsabfluss zu filtern. Apache bringt aber das Modul mod_headers mit, welche unerwünschte Einträge im Header filtern kann. Hierzu tragen wir die zu filternden Header-Infos im zugehörigen … Continue reading

April 8, 2013
1 Kommentar

Apache Server Version im Header ausblenden

Über folgende Direktive können Sie die Version des Apache Servers verbergen: ServerTokens Prod ServerSignature Off ServerSignature deaktiviert ebenfalls die Signatur bei selbst-generierten Inhalten (z.B. bei einem Server Error).