Archive for the ‘expose_php Off’ tag
PHP und Apache Versionen von PHP Blogs
Ich habe mal einen kleinen Test gemacht: Ich habe die PHP-Blogs aus meiner großen PHP-Blog Sammlung genommen, dazu noch einige Ergebnisse wenn man nach „php blog“ googled, und mir die PHP-Versionen angeschaut, wenn welche angegeben sind. Und bei einigen kann ich nur mit dem Kopf schütteln.
Aktuell sind zur Zeit: PHP 5.3.8 und PHP 5.2.17, wobei 5.2.x nicht mehr supported wird. PHP 5.3 ist also eigentlich Minimum.
Von denen, die ihre PHP Version bekanntgeben sind nur 5 Seiten mit PHP 5.3.x unterwegs. 17 mit PHP 5.2.x, PHP 5.0 ist mit einem Eintrag vertreten, und PHP 4.4 benutzen sogar noch 2 Leute. Ich kann nur hoffen dass letztere ihre Ausgabe faken und dass das nicht wirklich korrekte Informationen sind. Wobei 4.4.9 neuer ist als 5.2.0 . Beim Apache sind die meisten auf Apache 2.2 angelangt, aber auch dort gibt es alte Versionen von 2.2 die Sicherheitslöcher haben, und auch Apache 2.0 und Apache 1.3 Installationen. Apache 2.2.3 ist beispielsweise über 5 Jahre alt.
Wenn ihr schon alte PHP- und Apache-Versionen einsetzt, dann schaltet wenigstens die entsprechenden Header aus in der php.ini:
expose_php Off
bzw. beim Apache:
ServerSignature On|Off|EMail ServerTokens Minimal|ProductOnly|OS|Full
oder noch besser: UPDATEN!! PHP 5.3 gibt ca. 20-30% Performance frei Haus, ganz zu schweigen von den neuen Möglichkeiten und den geschlossenen Sicherheitslücken. Wenn euer Hoster nicht updaten möchte oder kann, dann wechselt den Hoster…
Hier die Ergebnisse: