expose_php = Onphp.iniに含めることはセキュリティの問題であり、そのためPCIに準拠していないとのアドバイスを受けました。
これまでの私の調査では、オフにすることはリスクが低く、ヘッダーでPHPバージョンを返送することを本質的に停止することが示唆されていますが、この変更の背後にある問題が発生する可能性があるかどうか疑問に思っています。
私が考えている潜在的な問題は、PHPのバージョンを実行していることを示すヘッダーで応答することを期待するサードパーティのサービス(支払いプロバイダー、電子メール追跡システム、ビデオストリーミングAPI)です。
これはシームレスな変更である必要がありますか、それとも問題が発生する可能性がありますか?
そのとおりです。
設定すると、Webサーバーがヘッダーexpose_php = Offを返送できなくなります。X-Powered-By
潜在的なハッカーは、セキュリティホールを悪用する古いバージョンのPHPを探す可能性があると言えますが、ヘッダーがオフになっている場合でも同じことを行う可能性があります。私の意見では、それは良いことですが、それが多くの保護を提供することを期待しないでください。
サードパーティのサービスとのやり取りに関しては、使用しているPHPのバージョンを気にする必要はありません。JSON、XMLなどのプラットフォームに依存しない形式でコンテンツを提供できる必要があります。これにより、サービスはPHPだけでなく、任意のプラットフォームで利用できるようになります。
いずれにせよ、ヘッダーを簡単にオフにしたり、サーバー管理者が操作したりすることができるため、「消費者」のPHPバージョンに依存することは無意味です。
したがって、オフにしても問題はありません。
を無効にしても、悪影響はありませんexpose_php。
ヘッダーを削除し、X-Powered-ByGETparamsがPHPクレジットと画像を返さないようにするだけです。
ヘッダーに依存するサードパーティのアプリケーションは危険です。必要に応じて、いつでもヘッダーをスプーフィングできます。
セキュリティ上の脅威はまったくありませんが、古いバージョンのPHPを公開することは、ハッカーが過去のバージョンで十分に文書化された「穴」を悪用しようとする誘いになる可能性があります。
サードパーティのサービスに関しては、プラットフォームに依存しないため、使用しているPHPのバージョンを気にする必要はありません。必要に応じて、以下のように空のヘッダーなどを設定できます。
header('X-Powered-By: Venu');
このオプションをオンにしてもオフにしても、まったく害はありません。
ただし、オフにしてもサイトにセキュリティは追加されません。これらのスクリプトキディツールは非常に馬鹿げているので、あるプラットフォームと別のプラットフォームをわざわざ区別することはありません。
言うまでもなく、サイトがフレームワーク/ CMSベースの場合、PHPの存在を隠すことは無意味です。