Le stringhe user-agent forniscono alle aziende che gestiscono server Web informazioni utili. Se stanno pensando di introdurre funzionalità o contenuti del sito Web, vogliono sapere se la maggior parte della loro base di utenti dispone di browser che supportano tale tecnologia. Possono esaminare le stringhe user-agent registrate negli ultimi due mesi e avere un'idea di quali browser sono in uso. Può anche dirgli informazioni utili come se l'utente si connetta tramite un dispositivo mobile o un PC, che può essere utilizzato per personalizzare l'esperienza utente.
Al contrario, non sono a conoscenza di alcuno scopo offerto dai server Web che rivelano il loro prodotto o versione se non per aiutare terze parti (ad esempio Netcraft ) che raccolgono e riassumono tali informazioni. L'utente non vede mai il tipo di server e il browser non agisce in modo diverso a seconda del banner del server (che io abbia mai visto).
Dal momento che i server web di Internet sono sempre in esecuzione e accessibili al pubblico che consente agli aggressori di eseguire la scansione abbastanza facilmente alla ricerca di segni di vulnerabilità. Un sito non dovrebbe fare affidamento solo sull'offuscamento di quale server Web e versione stanno usando per la sicurezza, ma può aiutare a renderli un target meno probabile. Dal momento che in realtà non disturba nulla per disabilitare il banner del server, è una modifica più semplice da introdurre.
Mentre vi è il rischio per l'utente di rivelare che sta utilizzando un browser specifico che potrebbe essere vulnerabile a specifici attacchi, un utente malintenzionato non può eseguire la scansione di Internet alla ricerca di browser vulnerabili. Un utente dovrebbe inviare una richiesta specificatamente a un server controllato da un utente malintenzionato affinché raccolga tali informazioni. Quindi ci possono essere meno rischi associati alla divulgazione di queste informazioni su un browser.
Sono sicuro che l'agente utente potrebbe essere abbandonato a favore di una "stringa di caratteristiche" o di un altro meccanismo per comunicare le informazioni su ciò che il browser è e può gestire per i server web. Ma anche questi potrebbero probabilmente essere impronte digitali da parte di aggressori che potrebbero indovinare il probabile browser basato sull'elenco delle caratteristiche fornite.