<p>J'encourage à ne pas divulguer ces infos. Notamment dans les en-têtes HTTP. Plus précisément les trois réguliers à virer absolument :</p> <ul><li>Server</li> <li>X-Powered-By</li> <li>X-AspNet-Version</li></ul> <p>(ou à redéfinir pour qu’ils ne transmettent pas d’infos sensibles. Par exemple “Server: Apache 1.2” => mauvais, transmet des informations logicielles. Mais “Server: Front-23-Paris” => pourquoi pas, transmet une information sur le serveur d’origine au sein d’un ferme de frontaux).</p>
S'il y a des trucs à rajouter : oui, rajoute. Si c'est juste une figure de style pour éclairer le fait que je ne connaissais pas l'utilité de cette BP potentielle, alors non ça suffit ;-)
En revanche, comme je suis ignorant sur le sujet, je pose les questions : * de la mise en oeuvre * du contrôle (Nicolas dit "Certains trucs peuvent se vérifier automatiquement …", Laurent de son côté évoque "on a juste à regarder les entêtes HTTP ?"
Pas sûr que ce soit vérifiable, ça. Si ça passe en bonne pratique, je proposerai {les administrateurs du site sont gentils}. Bref, chouette recommandation.