Me pregunto si es una buena y consistente manera actualmente:
ocultar la información de la versión de nginx en las respuestas de los encabezados, pero
mostrar la versión exacta y el nivel de parche de git en el código fuente HTML de Discourse.
Si alguien tiene una herramienta automatizada que busca problemas de seguridad sin parches, es bastante fácil si el código fuente HTML muestra la versión en la etiqueta meta generator.
Sugeriría eliminar esa información de las solicitudes anónimas, al menos, y quizás incluso de todos los accesos que no sean de administrador.
Considero que esto es “seguridad por oscuridad”, lo cual no es realmente ningún tipo de seguridad. Es mejor centrar los esfuerzos en técnicas que realmente mejoren la seguridad.
Claro, el enfoque debe ser tener un sistema seguro, no ocultar los errores.
Solo me preguntaba por qué se oculta la versión de nginx y no la de la aplicación principal.
Pero entonces, podría ser incluso una cuestión relacionada con los protocolos IMAP y SMTP si se deben mostrar también esas versiones u ocultarlas/cambiarlas.