Отключение expose_php в php.ini

Question

Мне сообщили, что наличие expose_php = On в моем php.ini является проблемой безопасности и, следовательно, не соответствует PCI.

Мои исследования, проведенные до сих пор, показывают, что его отключение является низким рискоми по сути прекратит отправку обратно версии PHP в заголовке, однако мне интересно, могут ли быть какие-либо проблемы, связанные с этим изменением.

Потенциальные проблемы, о которых я думаю, - это сторонние сервисы(провайдеры платежей, системы отслеживания электронной почты, API потокового видео), которые ожидают, что вы ответите заголовком, указывающим, что вы используете версию PHP, возможно, поверх определенной версии?

Должно ли это быть плавным изменением илиу этого есть потенциал для проблем?

Answer 1

Это верно.

Установка expose_php = Off просто запрещает веб-серверу отправлять обратно заголовок X-Powered-By.

Хотя можно сказать, что потенциальные хакеры могут искать устаревшие версииPHP с дырами в безопасности, которые они могут использовать, потенциально могут сделать то же самое, даже если заголовок отключен.На мой взгляд, это хорошая вещь, но не стоит ожидать, что она обеспечит большую защиту.

С точки зрения взаимодействия со сторонними сервисами, им не нужно заботиться о том, какая у вас версия PHP.с помощью.Они должны иметь возможность обслуживать контент в независимых от платформы форматах, таких как JSON, XML и т. Д., Чтобы сервисы могли использоваться любой платформой, а не только PHP.

В любом случае, чтобы они полагались на«потребительская» версия PHP бесполезна, так как заголовок может быть легко отключен и, возможно, даже манипулирован администратором сервера.

Следовательно, не должно быть проблем с его отключением.

Answer 2

При отключении expose_php.

не должно быть никаких отрицательных побочных эффектов.

Все, что он делает - это удаляет заголовок X-Powered-By и не дает GET params возвращать кредиты и изображения PHP.

Любое стороннее приложение, которое опирается на заголовок , является хитрым. Вы всегда можете подделать заголовок при необходимости.

Answer 3

Никакой угрозы безопасности в любом случае нет, но разоблачение устаревшей версии PHP может быть приглашением для хакеров попытаться использовать хорошо документированные «дыры» в прошлых версиях.являются независимыми от платформы и не должны заботиться о том, какую версию PHP мы используем.При необходимости мы можем установить просто пустой заголовок или как показано ниже.

header('X-Powered-By: Venu');

Answer 4

Нет абсолютно никакого вреда, если эта опция включена или выключена.

Отключение не повысит безопасность вашего сайта.Эти скриптовые инструменты настолько глупы, что никогда не пытаются отличить одну платформу от другой.

Не говоря уже о том, что если ваш сайт основан на фреймворке / CMS, то все равно бесполезно скрывать присутствие PHP.