Faut-il masquer la version ?

Je me demande si c’est une bonne et cohérente pratique de :

• masquer les informations sur la version de nginx dans les en-têtes de réponse, mais
• afficher la version exacte et le niveau de correctif git dans le code source HTML de Discourse.

Si quelqu’un utilise un outil automatisé pour rechercher des failles de sécurité non corrigées, cela devient assez facile si le code source HTML affiche la version dans la balise meta generator.

Je suggère de supprimer ces informations des requêtes anonymes, du moins, et peut-être même de toutes les requêtes non administrateur.

Je considère cela comme une « sécurité par l’obscurité », ce qui ne constitue pas une véritable sécurité. Il est préférable de concentrer les efforts sur des techniques qui améliorent réellement la sécurité.

Bien sûr, l’objectif doit être d’avoir un système sécurisé, et non de masquer les bugs.

Je me demandais simplement pourquoi la version de nginx est masquée alors que celle de l’application principale ne l’est pas.

Mais cela pourrait aussi soulever la question, pour les protocoles IMAP et SMTP, de savoir s’il faut afficher leurs versions ou les masquer/modifier.

Cela pourrait être dû au fait que nginx se trouve à l’intérieur du conteneur Docker ?