<p>J'encourage à ne pas divulguer ces infos. Notamment dans les en-têtes HTTP. Plus précisément les trois réguliers à virer absolument :</p>
<ul><li>Server</li>
<li>X-Powered-By</li>
<li>X-AspNet-Version</li></ul>
<p>(ou à redéfinir pour qu’ils ne transmettent pas d’infos sensibles. Par exemple “Server: Apache 1.2” => mauvais, transmet des informations logicielles. Mais “Server: Front-23-Paris” => pourquoi pas, transmet une information sur le serveur d’origine au sein d’un ferme de frontaux).</p>
S'il y a des trucs à rajouter : oui, rajoute.
Si c'est juste une figure de style pour éclairer le fait que je ne connaissais pas l'utilité de cette BP potentielle, alors non ça suffit ;-)
En revanche, comme je suis ignorant sur le sujet, je pose les questions :
* de la mise en oeuvre
* du contrôle (Nicolas dit "Certains trucs peuvent se vérifier automatiquement …", Laurent de son côté évoque "on a juste à regarder les entêtes HTTP ?"
Le site a moins de chances d'être hacké, tes données personnelles dérobées, le service interrompu. Ca ira ou je t'en rajoute ?
{Le serveur ne communique pas d'informations sur les logiciels et langages utilisés}
{Le serveur ne communique pas d'informations sur les logiciels et langages utilisés} et on a juste à regarder les entêtes HTTP ?
Attention Laurent propose une reformulation qui déboîte des peaux d'ours
Certes, mais ça donne une obligation de moyens, pas de résultats. Pertinent, mais au mieux, c'est une recommandation.
Certains trucs peuvent se vérifier automatiquement (version d'Apache exposée, etc.). Je crois que Dareboost par exemple le propose.
Pas sûr que ce soit vérifiable, ça. Si ça passe en bonne pratique, je proposerai {les administrateurs du site sont gentils}.
Bref, chouette recommandation.
