Perché l'intestazione HTTP Server non è utilizzata dalla maggior parte dei server, ma l'agente utente utilizzato dalla maggior parte dei browser? [chiuso]

Naviga le tue risposte
2

Ho leggi che l'intestazione del Server potrebbe rivelare informazioni e che il suo utilizzo sarebbe negativo. Gli argomenti fatti in quella domanda valgono anche per l'intestazione dell'agente User. Allora perché è ancora usato, e non un "manichino", come quello usato da Google per il campo dell'intestazione del server?

A quanto ho capito, l'agente utente era utile nei giorni in cui i browser erano ancora pesantemente buggati e restituivano risultati molto diversi. In una certa misura, questo è vero anche oggi, ma certamente è diminuito. Non esiste un altro metodo per sapere se un browser sais "I'm mobile" rispetto all'agente utente? Inoltre, i programmi utente sono un disastro. I produttori di browser hanno cercato di ingannare stupidi script di riconoscimento degli user-agent, a causa dei quali l'agente utente di Chrome si legge come un elenco di browser e motori di rendering pertinenti.

Quindi perché non vengono abbandonati?

    
posta user10008 30.07.2014 - 23:16
fonte

1 risposta

6

Le stringhe user-agent forniscono alle aziende che gestiscono server Web informazioni utili. Se stanno pensando di introdurre funzionalità o contenuti del sito Web, vogliono sapere se la maggior parte della loro base di utenti dispone di browser che supportano tale tecnologia. Possono esaminare le stringhe user-agent registrate negli ultimi due mesi e avere un'idea di quali browser sono in uso. Può anche dirgli informazioni utili come se l'utente si connetta tramite un dispositivo mobile o un PC, che può essere utilizzato per personalizzare l'esperienza utente.

Al contrario, non sono a conoscenza di alcuno scopo offerto dai server Web che rivelano il loro prodotto o versione se non per aiutare terze parti (ad esempio Netcraft ) che raccolgono e riassumono tali informazioni. L'utente non vede mai il tipo di server e il browser non agisce in modo diverso a seconda del banner del server (che io abbia mai visto).

Dal momento che i server web di Internet sono sempre in esecuzione e accessibili al pubblico che consente agli aggressori di eseguire la scansione abbastanza facilmente alla ricerca di segni di vulnerabilità. Un sito non dovrebbe fare affidamento solo sull'offuscamento di quale server Web e versione stanno usando per la sicurezza, ma può aiutare a renderli un target meno probabile. Dal momento che in realtà non disturba nulla per disabilitare il banner del server, è una modifica più semplice da introdurre.

Mentre vi è il rischio per l'utente di rivelare che sta utilizzando un browser specifico che potrebbe essere vulnerabile a specifici attacchi, un utente malintenzionato non può eseguire la scansione di Internet alla ricerca di browser vulnerabili. Un utente dovrebbe inviare una richiesta specificatamente a un server controllato da un utente malintenzionato affinché raccolga tali informazioni. Quindi ci possono essere meno rischi associati alla divulgazione di queste informazioni su un browser.

Sono sicuro che l'agente utente potrebbe essere abbandonato a favore di una "stringa di caratteristiche" o di un altro meccanismo per comunicare le informazioni su ciò che il browser è e può gestire per i server web. Ma anche questi potrebbero probabilmente essere impronte digitali da parte di aggressori che potrebbero indovinare il probabile browser basato sull'elenco delle caratteristiche fornite.

    
risposta data 30.07.2014 - 23:54
fonte

Leggi altre domande sui tag

Domanda di base su OpenSSL e AES-GCM È vantaggioso eseguire il browser da un account utente diverso per dispositivi personali?