Ich frage mich, ob es derzeit eine gute und konsistente Vorgehensweise ist,
die Nginx-Versionsinformationen in den Antwort-Headern zu verbergen, aber
die exakte Version und den Git-Patch-Level im HTML-Quellcode von Discourse anzuzeigen.
Wenn jemand ein automatisiertes Tool verwendet, um nach ungepatchten Sicherheitslücken zu suchen, ist es ziemlich einfach, wenn die Version im HTML-Quellcode im Meta-Generator-Tag angezeigt wird.
Ich schlage vor, diese Informationen zumindest bei anonymen Anfragen und vielleicht sogar bei allen Zugriffen ohne Administratorrechte zu entfernen.
Ich betrachte dies als „Sicherheit durch Verschleierung", was überhaupt keine echte Sicherheit darstellt. Es ist besser, die Bemühungen auf Techniken zu konzentrieren, die die Sicherheit tatsächlich verbessern.
Stimmt, der Fokus sollte darauf liegen, ein sicheres System zu haben, nicht Fehler zu verbergen.
Ich habe mich nur gefragt, warum die Version von Nginx verborgen wird, während die Version der Hauptanwendung nicht.
Aber dann könnte es sogar eine Frage im Zusammenhang mit den IMAP- und SMTP-Protokollen sein, ob man diese Versionen ebenfalls anzeigen oder verbergen/ändern sollte.