Gunicorn: http応答ヘッダーサーバー属性をマスクする機能

通常、gunicornは本番環境のnginxなどのリバースプロキシサーバーの背後にデプロイされ、nginxは独自のServerタグを出力します。

2階プラス1

@benoitcを使用すると、コマンドラインでオプションを提案できます。どう思いますか？ それ以外の場合は、 @ georgexshで説明されているように、このチケットを閉じます。本番モードでは、リバースプロキシ（nginx、apacheなど）を使用できます。

post_requestフックで環境を変更するだけではいけませんか？

@tilgoviそれはうまくいくと思います...別のオプションを作成する必要があるかどうかはわかりません...

動作しません。 リクエストはその時点ですでに送信されています。

Serverがデフォルトのヘッダーにあるため、 @ tilgoviミドルウェアも機能しません。

サーバーヘッダーを完全に削除するとどうなりますか？

+1

ヘッダーの値をランダムな文字列に設定できる場合は、ヘッダーを完全に削除することもできます。

+1

なぜヘッダーを削除したいのですか？

以前は、サーバーソフトウェアとバージョンを非表示にするためにデプロイメントからヘッダーを削除して、既知のエクスプロイトを持つサーバーをクロールしている誰かにヘッダーが取得されないようにしました。

うん。 セキュリティが理由の1つです。 もちろん、 Server値をランダムなものに変更することはできますが、実際には必要のない余分なバイトを送信するのはなぜですか？

私は自由にこの機能のPRを作成しました：＃1384。 それはしばらくの間私の指名手配リストに載っていました。

議論に追加するには： https：//www.w3.org/Protocols/で説明されているように、一部のリバースプロキシサーバーはServerヘッダーを変更しますが、一部はViaヘッダーを追加します。 rfc2616 / rfc2616-sec14.html＃sec14.38

残念ながら、 @ mathiasverhoevenは何らかの理由でPRを終了し、最近は活動していません。

--set-headersように、ここでより一般的なオプションを使用することは不可能でしょうか。ここでは、任意の数のヘッダーをキーと値のペアとして指定できますか？ 空の値はヘッダーを完全に省略します。

現時点では、 Serverを調整したいのですが、応答ヘッダーをもう1つ追加したいと思います（例： X-Product: MyProduct 。

@mathiasverhoevenのPRに基づいて何かを一緒に投げることができます。 @benoitcと@tilgoviどう思いますか？

これをここに残しておきます： https ： Serverヘッダーは非常に一般的であり、完全に不要です。

また、サーバーヘッダーを省略できるようにしたいと思います。 私はHiawathaと呼ばれるセキュリティに重点を置いたWebサーバーを使用してプロキシをリバースし、独自のサーバーヘッダーを追加しないように設定しているため、gunicornのサーバーヘッダーは現在クライアントに提供されています。

@tuukkamustonenのアイデアは私にはいいですね。 :)

編集： https ： です。 server_tokens = true|false|stringは素晴らしいでしょう。

Flaskを実行している人はいますか？ https://stackoverflow.com/a/46858238/452210は、 process_responseラップしてオーバーライドし、ヘッダーを置き換えるか削除することを提案しています。

また、サーバーヘッダーを省略できるようにしたいと思います。 私はHiawathaと呼ばれるセキュリティに重点を置いたWebサーバーを使用してプロキシをリバースし、独自のサーバーヘッダーを追加しないように設定しているため、gunicornのサーバーヘッダーは現在クライアントに提供されています。

cloudflareでさえサーバーヘッダーを表示していることに気づいたので、最近では、それが名声よりもセキュリティに関するものであるかどうかはわかりません。

コマンドラインや設定に別のオプションを追加するのではなく、最初にヘッダーからバージョンを削除するだけだと思います。 次に、構成ファイルのみの設定を追加して、server_tokenを削除します。 その利点は、サーバーを新しいバージョンに正常にアップグレードすると、サービスを停止せずにその設定を追加できることです。 考え？

cloudflareでさえサーバーヘッダーを表示していることに気づいたので、最近では、それが名声よりもセキュリティに関するものであるかどうかはわかりません。

Cloudflareのサービスとサーバーヘッダーは、個々のサイトのサーバーとは異なるコンテキストを持っていると思います。 サイトがCloudflareを介して逆プロキシされる場合、プロキシを実行しているのがCloudflareであるという事実は他の点では不明ではありません。 ネームサーバーやIPアドレスなどを介して明らかです。対照的に、サードパーティのリバースプロキシを使用せずにVPSでサイトをホストしていると、サーバーソフトウェアのHTTPヘッダーを介した少なくとも直接の識別を回避できる可能性があります。 （もちろん、gunicornに将来何らかの脆弱性があることが判明した場合、ターゲットを見つけることは、単にサーバーヘッダーを検索するよりも難しいはずです。）

コマンドラインや設定に別のオプションを追加するのではなく、最初にヘッダーからバージョンを削除するだけだと思います。 次に、構成ファイルのみの設定を追加して、server_tokenを削除します。 その利点は、サーバーを新しいバージョンに正常にアップグレードすると、サービスを停止せずにその設定を追加できることです。 考え？

それは素晴らしいことです。 ：+1 ：： slightly_smiling_face：

はい、少なくともバージョンを削除してください。 バージョンは名声に何も追加せず、攻撃者の時間を大幅に節約します。

バージョンを削除することを考えています。 @tilgoviそれについて何か考えはありますか？

私にとっては大丈夫です！

これについて何か進展はありますか？ これは、セキュリティにとってはすぐに成功するようです。

それは次の20.1の一部になります

バージョンを削除することを考えています。

サーバーヘッダーを完全に削除するための構成ファイルのみの設定はまだ計画されていますか？

@DavidOliverなぜ質問ですか？

@benoitc私が引用したあなたのコメントは、それが「ただ」/削除されるバージョン番号のみであることを意味すると解釈できますが、会話の早い段階で、サーバーヘッダーを完全に削除する設定（私がやりたい）は検討されています。

ありがとう。

サーバーヘッダーを完全に削除できる場合は、それを実行する必要があります。

私はまだそれを削除することは何かと関係があると確信する必要があります
安全。 過去10年間は​​問題になりませんでした。 によるセキュリティ
あいまいさも役に立ちません。問題があり、
修理する。 また、サーバーを知っていると操作に役立ちます

このバージョンが提供しているので、私は現時点でバージョンを削除する傾向があります
サーバーの保守方法に関する情報が多すぎます。 私たちはそれをするべきです
私たちが維持した各ブランチ。

考え？

ブノワ

4時23分ランドールリーズで2019年12月29日に[email protected]書きました：

サーバーヘッダーを完全に削除できる場合は、それを実行する必要があります。

—
あなたが言及されたので、あなたはこれを受け取っています。
このメールに直接返信し、GitHubで表示してください
https://github.com/benoitc/gunicorn/issues/825?email_source=notifications&email_token=AAADRIQBGN2KQRKOKLAYK43Q3AJ2PA5CNFSM4ASCOWF2YY3PNVWWK3TUL52HS4DFVREXG43VMVBW63LNMVXHJKTDN5WW
または購読を解除する
https://github.com/notifications/unsubscribe-auth/AAADRISEUFGD43CKXLV3EZTQ3AJ2PANCNFSM4ASCOWFQ
。

>>

私の携帯から送信

こんにちは、

私はgunicornを使用して、データが存在する接続を介して応答を提供しています
高価です、私が取り除くことができるものは私が支払う必要がないものです。

サーバーヘッダーは小さいですが、小さなものが追加され、場合によっては
小さなことは、すべてを1つ少ないパケットに収めることができることを意味します。
バージョン付きのサーバーヘッダーは24バイトで、ペイロードの約1.7％です。
1460のMSSとTLSヘッダーを使用します。 余分なパケットがなくても、
大きなパケットは、完全に再送する必要がある可能性がはるかに高くなります
接続が悪いとき（遠隔地のセルラーネットワークなど）。

新しいHTTPS接続では、ハンドシェイクと証明書
交換はペイロードの大部分を作り、小さなものはすることができます
無視されます。 キープアライブ、冗長を使用した小さな繰り返しリクエストの場合
ヘッダーは、要求/応答のはるかに大きな部分になります。

これは、クライアントをもっと気にする人にとっても重要かもしれません
コストよりもパフォーマンス（スループットよりもレイテンシー）。

このユースケースの場合、最も便利なオプションは次のことができるようにすることです。
単に値を削除するのではなく、ヘッダーを完全に削除します
またはバージョン部分。

このコメントは、ほとんどの場合、関連する参照/仕様/ RFC情報の追加に限定されており、（願わくば）ほとんどの場合、非ピニオンの解釈/コメントです。

RFC7231ハイパーテキスト転送プロトコル（HTTP / 1.1）：セマンティクスとコンテンツhttps://tools.ietf.org/html/rfc7231#section -7.4.2

...オリジンサーバーは、その応答でサーバーフィールドを生成してもよい[MAY]。

オリジンサーバーは、不必要にきめ細かい詳細を含むサーバーフィールドを生成するべきではなく、サードパーティによるサブプロダクトの追加を制限するべきです（SHOULD）。 サーバーフィールドの値が長すぎて詳細であると、応答の待ち時間が長くなり、内部実装の詳細が明らかになる可能性があります。これにより、攻撃者が既知のセキュリティホールを（わずかに）簡単に見つけて悪用できる可能性があります。

https://tools.ietf.org/html/rfc7231#section -9.6

9.6。 製品情報の開示
User-Agent（セクション5.5.3）、Via（[RFC7230]のセクション5.7.1）、およびServer（セクション7.4.2）ヘッダーフィールドは、多くの場合、それぞれの送信者のソフトウェアシステムに関する情報を明らかにします。 理論的には、これにより、攻撃者が既知のセキュリティホールを悪用しやすくなります。 実際には、攻撃者は、使用されている明らかなソフトウェアバージョンに関係なく、すべての潜在的な穴を試す傾向があります。 ネットワークファイアウォールを介したポータルとして機能するプロキシは、ファイアウォールの背後にあるホストを識別する可能性のあるヘッダー情報の転送に関して特別な予防措置を講じる必要があります。 Viaヘッダーフィールドを使用すると、仲介者は機密性の高いマシン名を仮名に置き換えることができます。

（非推奨の）RFC2616から：

15.1.2機密情報の転送
一般的なデータ転送プロトコルと同様に、HTTPは転送されるデータの内容を規制することはできません。また、特定の要求のコンテキスト内で特定の情報の機密性を判断する先験的な方法もありません。 したがって、アプリケーションは、この情報の提供者に、この情報に対する可能な限りの制御を提供する必要があります。 このコンテキストでは、サーバー、ビア、リファラー、および差出人の4つのヘッダーフィールドについて特に言及する価値があります。
サーバーの特定のソフトウェアバージョンを明らかにすると、サーバーマシンが、セキュリティホールを含むことがわかっているソフトウェアに対する攻撃に対してより脆弱になる可能性があります。 実装者は、サーバーヘッダーフィールドを構成可能なオプションにする必要があります。

PEP3333 PythonWebサーバーゲートウェイインターフェイスv1.0.1https ： //www.python.org/dev/peps/pep-3333/#the -start-response-callable

一般に、サーバーまたはゲートウェイは、正しいヘッダーがクライアントに送信されるようにする責任があります。アプリケーションがHTTP（または有効な他の関連仕様）に必要なヘッダーを省略した場合、サーバーまたはゲートウェイはそれを追加する必要があります。 たとえば、HTTP Date：およびServer：ヘッダーは通常、サーバーまたはゲートウェイによって提供されます。

• サーバー応答ヘッダーは、HTTP1.1に従ってオプションです。
• RFCは、サーバーフィールドの詳細が高すぎると、脆弱なサーバーのサイトをスキャンしやすくなる可能性があることを認識しています。 明らかに、これは1ステップ難しい、あいまいな規定であり、詳細が多すぎるのは状況によって異なります。
• 非推奨のHTTP1.1 RFC2616は、サーバーヘッダーを非表示にする値が少し太字になっています。
• PEP3333は、必須または通常のヘッダーのコンテキストでサーバーヘッダーに言及すると、わずかに踏み越えているようです。

Apache HTTPD ServerTokensなど、これに関する多くの意見： https ：

ServerTokenを最小未満に設定すると、相互運用上の問題のデバッグがより困難になるため、お勧めしません。 また、Server：ヘッダーを無効にしても、サーバーの安全性を高めることはできません。 「隠すことによるセキュリティ」という考え方は神話であり、誤った安心感につながります。

サーバーヘッダーをgunicornとだけ言うように変更することは実用的な解決策であり、構成なしでそれを行う必要があると思います。

@ kmichel-sereemaのように、すべての転送のサイズを最適化したい人は、このようなマイクロ最適化を実行する場所ではないと思います。 HTTPヘッダーのオーバーヘッドが大きすぎる場合、HTTP 1.xは使用するのに理想的なプロトコルではないため、サーバーヘッダーを変更または無効にするために構成を追加する必要はないと思います。

@tilgoviの提案は、私には良い妥協点のように

多くの環境では、これは意味がない場合もあります。 gunicornの導入ドキュメントでは、gunicornの前にnginxなどのプロキシサーバーをサーバー応答ヘッダーを自動的に削除し、さらにヘッダーを削除するように構成できます。 確かに、セキュリティに重点を置いたプロキシでも同じことができます。

@ tilgovi ＆ @ jamaddenからの私の提案とコメントに続いて、私はこの問題を＃2233の賛成で締めくくります。 コードとコメントをありがとう！