Existe uma maneira de configurar o Apache para interromper a conexão para qualquer solicitação que resulte em um status HTTP diferente de 200 (ou possivelmente uma lista de códigos de status)? A ideia é que, em vez de retornar qualquer informação a um hacker que esteja investigando o servidor, apenas encerre a conexão quando uma solicitação inválida for feita. Estou pensando em algo semelhante às regras DROP do iptables, mas na camada de aplicação.
Sei que isso não substituiria outras medidas de segurança (firewall, proxy reverso, mod_security, controle de acesso, páginas de erro não padrão, etc.), mas seria uma medida adicional.
Responder1
Você poderia fazer com que 403 retornasse uma página 404 e um código de status (certifique-se de que são ambos!), o que afastaria as pessoas bisbilhotando. Acredito que o Google e muitos outros sites grandes fazem isso. No entanto, interromper a conexão após um erro como esse não ajuda (e pode até ser prejudicial).