Gibt es eine Möglichkeit, Apache so zu konfigurieren, dass die Verbindung bei jeder Anfrage unterbrochen wird, die einen anderen HTTP-Status als 200 (oder möglicherweise eine Liste von Statuscodes) ergibt? Die Idee ist, dass, anstatt Informationen an einen Hacker zurückzugeben, der den Server untersucht, die Verbindung einfach beendet wird, wenn eine ungültige Anfrage gestellt wird. Ich denke an etwas Ähnliches wie die DROP-Regeln von iptables, aber auf Anwendungsebene.
Mir ist bewusst, dass dies kein Ersatz für andere Sicherheitsmaßnahmen (Firewall, Reverse-Proxy, Mod_Security, Zugriffskontrolle, nicht standardmäßige Fehlerseiten usw.) wäre, aber es wäre eine zusätzliche Maßnahme.
Antwort1
Sie könnten dafür sorgen, dass 403 eine 404-Seite und einen 404-Statuscode zurückgibt (stellen Sie sicher, dass beides der Fall ist!), was herumschnüffelnde Leute abschrecken würde. Ich glaube, Google und viele andere große Websites machen das. Allerdings ist es nicht hilfreich (und kann sogar schädlich sein), die Verbindung nach einem solchen Fehler abzubrechen.